북한 김정은. 평양 조선중앙통신=연합뉴스.

한국·미국·일본 등 서방 11개국이 국제사회의 대북 제재 이행을 지원하기 위해 구성한 다국적제재모니터링팀(MSMT)이 22일 대북 제재 위반 사례를 다룬 두 번째 보고서를 냈다.

MSMT는 러시아의 제동으로 유엔 안전보장이사회 대북제재위 산하 전문가패널이 지난해 4월 활동을 종료하자 대북제재 감시 기능 공백을 메꾸고자 같은 해 10월 출범했다.

지난 5월 발간된 MSMT 1차 보고서는 북한과 러시아 간 군사협력을 중점적으로 다뤘고 이번 2차 보고서는 북한의 불법 사이버 활동을 주제로 했다.

2차 보고서에 따르면 북한은 지난해 1월부터 올해 9월까지 28억4천만 달러(약 4조 원) 규모의 가상자산을 탈취했다. 탈취 규모는 올해만 약 16억5천만 달러에 이르렀다.

북한 가상화폐 해킹. 연합뉴스. 

◇ 北, 당·군·정 산하 다양한 사이버 조직…자금세탁에 캄보디아 조직 활용

보고서는 북한이 정권의 수익 창출 목적으로 사이버 활동 조직 역량을 강화하고 있으며, 이런 조직은 대부분 정찰총국, 원자력공업성, 군수공업부 등 유엔 제재 대상 단체 산하에 있다고 지적했다.

군 소속 조직으로는 정찰총국 산하의 110호 연구소, 63 연구소, 970소, 772 연락소, 조선엑스포합영회사, 414 연락소, 227 연구소 등이 있는 것으로 파악됐다.

행정부 영역에는 보위성 소속의 APT37, 사회안전성 소속의 압록강기술개발회사, 원자력공업성 소속의 조선만경대컴퓨터기술회사, 국방성 소속의 53·61국 등이 식별됐다.

노동당 산하에는 군수공업부에 속한 313총국, 75 지도국, 제2자연과학원 등이 있다.

보고서는 이들 당·군·정 산하 사이버 조직들이 상당히 복잡하고 상호 중첩되는 지휘 체계를 가졌다고 분석했다.

북한 사이버 조직들은 투자자·사업가·채용담당자 등으로 위장해 아랍에미리트·일본·인도·싱가포르 등의 가상자산 거래소와 접촉, 이들이 악성 소프트웨어를 내려받도록 유도하는 기법을 활용했다.

북한은 악성 사이버 활동 과정에서 러시아 랜섬웨어 조직 등과도 협력하고 있으며, 랜섬웨어 공격으로 취득한 데이터를 제 3자에게 판매하기도 했다.

챗GPT나 딥시크 등 인공지능(AI)을 이용해 수법을 정교하게 가다듬는 정황도 포착됐다.

북한은 탈취한 가상자산을 세탁한 뒤 중국, 러시아, 홍콩, 캄보디아 등에 소재한 해외 브로커들을 통해 현금화하는 것으로 파악됐다.

보고서는 이런 현금화 과정에 중국 국적자나 금융 시스템이 상당 부분 관여하고 있다고 지적했다.

특히 최근 한국인 대상 납치·감금·고문 등이 불거진 캄보디아의 기업형 범죄조직이 자금 세탁과 현금화 과정에 활용됐다는 내용도 담겼다.

북한 정찰총국과 관련된 북한 국적자들은 최근 미국과 영국 당국이 제재를 가한 바 있는 캄보디아 금융서비스 대기업 후이원(Huione) 그룹의 후이원 페이를 자금 세탁에 이용했고, 후이원 페이 소속 직원들과 긴밀한 관계를 유지했다.

미국과 영국 정부는 후이원 그룹 등을 '초국가적 범죄조직'으로 규정했다. 캄보디아 중앙은행은 후이원 페이의 면허를 박탈했지만, 후이원 페이는 캄보디아 내에서 계속 운영되고 있다고 보고서는 전했다.

신분위장 북한 IT인력. 연합뉴스. 

◇ "北 IT인력 8개국에 1천∼2천명 체류…지난해 최대 8억 달러 소득"

북한의 정보통신(IT) 인력이 해외에서 벌어들이는 소득 문제도 거론됐다. 안보리는 북한 해외 노동자의 고용 금지와 송환 의무를 규정하고 있다.

그런데도 북한 IT 인력은 중국, 러시아, 라오스, 캄보디아, 적도기니, 기니, 나이지리아, 탄자니아 등 최소 8개국에 약 1천∼2천 명이 체류 중이다.

중국에 1천∼1천500명으로 가장 많은 것으로 나타났고, 러시아에는 150∼300명이 있으며 올해 중 모스크바·우수리스크·블라디보스토크 등 지역에서 북한 IT 인력 350∼1천800명을 고용할 가능성이 있는 것으로 파악됐다.

이들은 미국·독일·포르투갈·영국 등의 AI, 블록체인, 방위산업 관련 일감을 수주하면서 지난해 기준 3억5천만∼8억 달러 수준의 소득을 창출했으며 소득의 절반가량을 북한에 송금하는 것으로 드러났다.

미국이 최근 북한 IT 노동자 활동 단속을 강화하자 북한은 유럽의 중소 IT 기업을 대상으로 활동 범위를 넓히고 있다고 한다.

이들은 합성 정보를 생성하거나 기존 계정을 구매·대여하는 방식으로 가상의 인물을 구축한 다음 원격 근무가 가능한 업체에서 일감을 따내는 식으로 일했다.

북한 사이버 활동은 돈벌이에 그치지 않았다. 보고서는 북한이 사이버 공격으로 미국·영국·한국은 물론 중국 등의 군사·과학·에너지 관련 정보와 기술을 빼앗았다고 밝혔다.

보안인증 소프트웨어를 통한 한국 사이버 기반 시설 침투 시도, 악성코드 대량 유포를 통한 한국 건설 분야 정보 수집, 중국 드론업체 DJI 연구 정보 탈취, 한국 방산 분야 정보 절취, 한국 대북 관계자 정보 절취 등이 보고서에 실렸다.

MSMT는 함께 발표한 공동성명에서 "우리는 모든 유엔 회원국이 북한의 악의적인 사이버 활동에 대한 인식을 제고하고, 제재 등을 통해 관련자들에게 유엔 안보리 결의 위반에 대한 책임을 물을 것을 장려한다"고 밝혔다.

이어 "우리는 안보리가 전문가패널을 해체 이전과 같은 권한과 구조로 복원할 것을 촉구한다"며 "유엔 안보리 대북 제재 결의 이행을 감시하고, 계속되는 제재 위반 및 회피 시도를 밝혀내기 위한 노력을 지속할 것"이라고 강조했다.

북한 사이버 활동. 연합뉴스TV. 

연합뉴스