2025년 10월 26일(일)
|

북한, 4조원 규모 가상자산 탈취...캄보디아 범죄조직과 연결고리 포착

한국·미국·일본 등 서방 11개국으로 구성된 다국적제재모니터링팀(MSMT)이 22일 대북 제재 위반 사례를 다룬 두 번째 보고서를 발표했습니다.


보고서에 따르면 북한은 지난 1년 9개월간 28억 4,000만 달러(한화 약 4조 원) 규모의 가상자산을 탈취한 것으로 집계됐습니다. 특히 올해만 약 16억 5,000만 달러에 달하는 가상자산을 불법적으로 획득한 것으로 나타났습니다.


인사이트김정은 북한 노동당 총비서가 지난 8월 20일 조선민주주의인민공화국 국가표창수여식에 참가하기 위해 귀국한 조선인민군 해외작전부대 주요지휘관들을 만난 모습. / 뉴스1(평양 노동신문)


MSMT는 북한이 탈취한 가상자산을 세탁한 뒤 중국, 러시아, 홍콩, 캄보디아 등에 소재한 해외 브로커들을 통해 현금화하고 있다고 밝혔습니다. 이 과정에서 중국 국적자나 금융 시스템이 상당 부분 관여하고 있으며, 최근 한국인 대상 납치·감금·고문 등이 문제가 된 캄보디아의 기업형 범죄조직도 자금 세탁과 현금화 과정에 활용되고 있다고 보고했습니다.


북한 정찰총국과 관련된 북한 국적자들은 미국과 영국 당국이 제재를 가한 캄보디아 금융서비스 대기업 후이원(Huione) 그룹의 후이원 페이를 자금 세탁에 이용했고, 후이원 페이 소속 직원들과 긴밀한 관계를 유지했습니다.


미국과 영국 정부는 후이원 그룹을 '초국가적 범죄조직'으로 규정했으며, 캄보디아 중앙은행이 후이원 페이의 면허를 박탈했음에도 불구하고 여전히 캄보디아 내에서 운영되고 있는 상황입니다.


인사이트기사의 이해를 돕기 위한 자료 사진 / Unsplash


MSMT는 북한이 정권의 수익 창출을 목적으로 사이버 활동 조직 역량을 강화하고 있으며, 북한의 사이버 공격 조직은 정찰총국, 원자력공업성, 군수공업부 등 대부분 유엔 제재 대상 단체 산하에 위치하고 있다고 지적했습니다.


군 소속 조직으로는 정찰총국 산하의 110호 연구소, 63 연구소, 970소, 772 연락소, 조선엑스포합영회사, 414 연락소, 227 연구소 등이 파악됐습니다.


행정부 영역에는 보위성 소속의 APT37, 사회안전성 소속의 압록강기술개발회사 등이 있으며, 노동당 산하에는 군수공업부에 속한 313총국, 75 지도국, 제2자연과학원 등이 있는 것으로 확인되었습니다.


북한 사이버 조직들은 투자자·사업가·채용담당자 등으로 위장해 아랍에미리트·일본·인도·싱가포르 등의 가상자산 거래소와 접촉하여 악성 소프트웨어를 내려받도록 유도하는 기법을 사용하고 있습니다. 또한 러시아 랜섬웨어 조직과 협력하며, 랜섬웨어 공격으로 취득한 데이터를 제3자에게 판매하기도 했습니다. 최근에는 챗GPT나 딥시크 등 인공지능(AI)을 이용해 수법을 정교하게 가다듬는 정황도 포착되었습니다.


인사이트기사의 이해를 돕기 위한 자료 사진 / Unsplash


북한의 해외 IT 인력 문제도 심각한 수준입니다. 유엔 안보리가 북한 해외 노동자의 고용 금지와 송환 의무를 규정하고 있음에도 불구하고, 북한 IT 인력은 중국, 러시아, 라오스, 캄보디아, 적도기니, 기니, 나이지리아, 탄자니아 등 최소 8개국에 약 1,000∼2,000명이 체류 중인 것으로 나타났습니다.


중국에 1,000∼1,500명으로 가장 많고, 러시아에는 150∼300명이 있으며, 올해 중 모스크바·우수리스크·블라디보스토크 등 지역에서 북한 IT 인력 350∼1,800명을 고용할 가능성이 있는 것으로 파악됐습니다.


이들은 미국·독일·포르투갈·영국 등의 AI, 블록체인, 방위산업 관련 일감을 수주하면서 지난해 기준 3억 5,000만∼8억 달러(한화 약 5,015억~1조 1,462억 원) 수준의 소득을 창출했으며, 소득의 절반가량을 북한에 송금하는 것으로 드러났습니다.


미국이 최근 북한 IT 노동자 활동 단속을 강화하자 북한은 유럽의 중소 IT 기업을 대상으로 활동 범위를 넓히고 있습니다.


한 노동당 기관지 노동신문은 11일 당 창건 80주년 경축 열병식이 전날 김일성광장에서 성대히 거행됐다고 보도했다. 새 대륙간탄도미사일(ICBM) '화성-20형'이 이날 처음 공개됐다. / 뉴스1(평양 노동신문)한 노동당 기관지 노동신문은 11일 당 창건 80주년 경축 열병식이 전날 김일성광장에서 성대히 거행됐다고 보도했다. 새 대륙간탄도미사일(ICBM) '화성-20형'이 이날 처음 공개됐다. / 뉴스1(평양 노동신문)


북한의 사이버 활동은 단순한 돈벌이를 넘어 정보 탈취에도 집중되고 있습니다. 보고서에 따르면 북한은 사이버 공격으로 미국·영국·한국은 물론 중국 등의 군사·과학·에너지 관련 정보와 기술을 빼냈습니다.


보안인증 소프트웨어를 통한 한국 사이버 기반 시설 침투 시도, 악성코드 대량 유포를 통한 한국 건설 분야 정보 수집, 중국 드론업체 DJI 연구 정보 탈취, 한국 방산 분야 정보 절취, 한국 대북 관계자 정보 절취 등이 확인되었습니다.


MSMT는 공동성명에서 "모든 유엔 회원국이 북한의 악의적인 사이버 활동에 대한 인식을 제고하고, 제재 등을 통해 관련자들에게 유엔 안보리 결의 위반에 대한 책임을 물어야 한다"고 밝혔습니다. 또한 "안보리가 전문가패널을 해체 이전과 같은 권한과 구조로 복원할 것을 촉구한다"며 "유엔 안보리 대북 제재 결의 이행을 감시하고, 계속되는 제재 위반 및 회피 시도를 밝혀내기 위한 노력을 지속할 것"이라고 강조했습니다.


MSMT는 러시아의 제동으로 유엔 안전보장이사회 대북제재위 산하 전문가패널이 지난해 4월 활동을 종료하자 대북제재 감시 기능 공백을 메꾸고자 같은 해 10월 출범했습니다.


지난 5월 발간된 1차 보고서는 북한과 러시아 간 군사협력을 중점적으로 다뤘고, 이번 2차 보고서는 북한의 불법 사이버 활동을 주제로 했습니다.