북한이 보유하고 있는 비트코인의 개수, 알고 나면 놀랄 수 있다

17일(현지시각) 세계 최대 가상화폐 거래소 바이낸스가 운영하는 바이낸스 뉴스와 블록체인 분석 업체 아크햄인텔리전스 자료에 따르면, 북한의 해킹 조직 라자루스 그룹이 현재 약 1만 3562 비트코인(BTC)을 보유 중인 것으로 추정된다. 이는 11억 4000만 달러(약 1조 6500억 원)에 달하는 규모로, 비트코인 가격 변동을 감안하면 실시간 가치는 더 높을 수 있다. 이 수치는 미국(19만 8109 BTC), 영국(6만 1245 BTC)에 이어 세계 3위에 해당한다.

북한의 비트코인 보유량은 비트코인을 법정 통화로 채택한 엘살바도르(6117 BTC)나 수력 자원을 활용해 비트코인을 채굴하며 국부로 삼아온 부탄(1만 635 BTC)을 훨씬 웃돈다. 엘살바도르는 2021년부터 비트코인을 공식 통화로 사용하며 꾸준히 매수해왔고, 부탄은 친환경 에너지를 기반으로 채굴을 확대해왔다. 반면 북한은 합법적 채굴이나 구매가 아닌 해킹을 통해 이 자산을 축적한 것으로 보인다. 아크햄인텔리전스에 따르면, 라자루스가 보유한 비트코인은 최근 몇 년간 여러 차례 대형 해킹 사건을 통해 모아진 결과다.

특히 북한의 비트코인 보유량이 급증한 계기는 지난달 21일 세계 최대 가상화폐 거래소 중 하나인 바이비트(Bybit)가 당한 해킹 사건과 연관이 깊다. 당시 해커는 14억 6000만 달러(약 2조 1000억 원) 상당의 암호화폐를 탈취했는데, 피해액 대부분은 이더리움(ETH)이었다. FBI는 이 공격이 라자루스 그룹의 소행이라고 공식 확인했다. 해킹 당시 바이비트는 콜드 스토리지에서 핫 월릿으로 자산을 옮기는 과정에서 보안 취약점을 노출했다.

북한은 탈취한 이더리움을 빠르게 비트코인으로 전환한 것으로 추정된다. 아크햄인텔리전스와 블록체인 분석 업체 엘립틱 자료에 따르면, 라자루스는 지난달 22일 당시 778 BTC를 보유하고 있었지만, 지난 4일까지 약 1만 4000 BTC로 늘어났다. 이는 바이비트에서 훔친 이더리움을 토르체인(THORchain) 같은 크로스체인 프로토콜을 통해 비트코인으로 변환한 결과로 보인다. 이후 지난 12일에는 400 이더리움(약 75만 달러)을 토네이도 캐시로 옮겨 세탁을 시도했다. FBI는 라자루스가 훔친 자산을 비트코인 외에도 여러 가상자산으로 바꿔 수천 개 블록체인 주소로 분산했다고 경고했다.

북한은 라자루스 그룹을 통해 최근 수년간 가상화폐 거래소를 상대로 한 해킹을 반복해왔다. 엘립틱에 따르면, 2017년 이후 북한 연계 해커들이 훔친 가상화폐는 60억 달러를 넘는다. 지난해에만 라자루스는 13억 4000만 달러를 탈취했다. 이는 전체 암호화폐 도난액의 61%를 차지한다. 과거 주요 사건으론 2022년 3월 론인 네트워크 해킹(6억 2500만 달러), 2021년 8월 폴리 네트워크 공격(6억 1100만 달러), 2022년 10월 바이낸스 BNB 브리지 해킹(5억 6900만 달러)이 있다. 이 자금은 현금으로 세탁된 뒤 핵무기 개발과 김정은 정권 유지에 쓰인다는 의혹이 제기돼왔다.

북한 정찰총국 산하 라자루스 그룹은 2009년부터 활동을 시작했다. 2014년 소니 픽처스 해킹, 2016년 방글라데시 은행 8100만 달러 도난, 2017년 워너크라이 랜섬웨어 공격으로 악명을 떨쳤다. 미국은 2020년 라자루스 소속으로 의심되는 북한인을 사이버 수배자 명단에 올렸지만, 이들이 북한을 떠날 가능성은 낮다. 전문가들은 라자루스가 자동화 도구와 교대 근무를 통해 자산을 빠르게 세탁한다고 분석한다. TRM 랩스의 아리 레드보드는 “이번 해킹 후 48시간 만에 1억 6000만 달러를 세탁한 속도는 1년 전엔 상상도 못 한 것”이라고 말했다.

바이비트는 해킹 후 고객 자금을 투자자 대출로 충당하며 출금을 보장했다. 벤 조우 바이비트 최고경영자(CEO)는 “라자루스와의 전쟁”을 선포하며, 훔친 자산을 추적하는 웹사이트를 열고 동결에 기여하면 5~10% 보상을 주겠다고 발표했다. 현재 4230만 달러(3%)가 동결됐다. 하지만 북한의 폐쇄 경제 특성상 자금을 추적해 회수하기는 어렵다.

라자루스는 대형 거래소인 바이낸스나 코인베이스 같은 곳을 피하고, KYC(고객 신원 확인)가 없는 경로로 자산을 이동시킨다. 북한은 라자루스 연관성을 부인하지만, FBI는 이들이 김정은 정권의 자금줄이라고 본다.