북한 해킹, 얼마나 벌고 있을까? 누가 훔쳤는지는 아는데, 잡으러 못 간다?
북한의 해킹 이야기를 들으면 놀랍습니다.
비트코인 같은 가상자산 해킹 규모도 상상 이상이고,
국제사회 반응과 북한의 공식 입장도 꽤 극단적으로 갈리고 있습니다.
1. 북한은 해킹으로 얼마나 벌고 있을까
북한의 해킹 수익은 “연 단위로 수십억 달러”
수준이라는 표현이 과장이 아니라는 생각이 듭니다.
- 블록체인 분석 업체 체이널리시스(Chainalysis)에 따르면, 북한 연계 해커들은 2025년에만 최소 20억 2천만 달러(약 2.7조 원) 규모의 가상자산을 탈취한 것으로 추정됩니다. 2024년보다 51% 늘어난 수치라고 합니다.
- 같은 분석에서, 2016년 이후 지금까지 북한이 훔친 것으로 추정되는 누적 암호화폐는 약 67억 5천만 달러 수준으로 집계됩니다.
- 2024년 하나만 놓고 봐도, 북한이 훔친 암호화폐는 약 13억 4천만 달러로, 그 해 전 세계에서 탈취된 가상자산의 60%를 북한이 차지했다는 분석도 있습니다.
- 2023년에는 시장 침체 영향으로 금액이 줄어들었지만, 그래도 약 10억 달러(약 1.3조 원) 수준의 암호화폐를 훔친 것으로 추정됐습니다.
UN 안보리 전문가 패널 보고서와 각종 안보 분석 자료에서는,
북한이 이런 사이버 공격과 IT 인력 위장 파견 등을 통해 벌어들이는 외화가
전체 외화 수입의 상당 부분을 차지하는 것으로 추정된다고 전합니다.
특히 눈에 띄는 점은, 해킹 ‘건수’는 줄어들어도
한 번에 털어가는 금액이 점점 커지고 있다는 점입니다.
예를 들어 2025년 Bybit 거래소에서 북한 연계 라자루스(Lazarus) 그룹이
훔친 이더리움만 15억 달러에 가까웠다는 분석도 나왔습니다.
요약하면, “연간 대략 10억~20억 달러,
누적으로 60억 달러 이상”이라는 숫자가
지금까지 공개된 자료들이 공통적으로 가리키는 규모입니다.
2. 해킹은 ‘추적 가능한데’ 북한이라 잡으러 못 간다?
재미있는 지점은, 암호화폐 해킹이라고 해서 완전히 안 보이는 건 아니라는 점입니다.
오히려 블록체인은 모든 거래가 공개 기록으로 남기 때문에,
돈의 흐름만 놓고 보면 “추적 자체는 꽤 잘 된다”는 평가도 있습니다.
- 블록체인 분석 업체와 수사기관들은, 북한 연계 지갑 주소를 추적하고, 이들이 믹서 서비스나 디파이(DeFi), 다수의 계정을 거쳐 돈세탁을 하는 패턴을 꽤 정교하게 분석해 왔습니다.
- 실제로 북한 해커들이 훔친 코인을 거래소로 옮기려는 순간, 거래소가 지갑을 동결해서 일부 자금을 회수하는 사례들도 보고되고 있습니다.
- 미국 FBI도 라자루스가 훔친 코인이 어떤 체인, 어떤 지갑을 거치는지 공개 경고를 자주 내고, 관련 지갑을 블랙리스트로 지정하기도 합니다.
문제는, 이렇게 디지털 상에서 “누가 했는지”에 대한 근거를 상당 부분 확보해도,
실제로 그 사람을 체포하러 평양까지 들어갈 수 있는 나라는 없다는 점입니다.
- 라자루스, 블루노로프, 안다리엘 같은 북한 연계 해킹 그룹들은 미국 재무부에 의해 ‘북한 정찰총국(RGB) 산하 국가기관’으로 제재 대상에 올라 있습니다.
- 하지만 이들은 북한 영토나 우방국의 보호 아래에서 활동하고 있기 때문에, 국제형사경찰기구(인터폴) 적색수배가 내려져도 실질적인 신병 확보까지 이어지는 경우는 거의 없습니다.
그래서 현실은 조금 아이러니합니다.
“누가 했는지는 아는데, 체포하러 갈 수는 없는 범죄자들”이라는 거죠.
국제사회 입장에서는, 결국 자금 세탁 경로를 최대한 차단하고,
연루된 지갑과 서비스를 제재하며, 관련 인물·기관에 금융 제재를 거는 방식으로
우회 대응을 할 수밖에 없는 구조입니다.
3. 국제사회에서 보는 북한 사이버 해킹
국제사회에서 북한 사이버 활동에 대한 평가는 상당히 단호합니다.
요약하자면 “제재 회피와 대량살상무기(WMD) 프로그램 자금 조달을 위한 국가 차원의 범죄 행위”라는 인식이 지배적입니다.
- UN 안보리 전문가 패널은 여러 차례 보고서에서, 북한이 사이버 공격을 통해 수십억 달러 규모의 가상자산과 외화를 확보해 왔으며, 그 자금이 핵·미사일 개발에 사용되고 있을 가능성이 높다고 분석했습니다.
- 미국 재무부(OFAC)는 라자루스 그룹, 블루노로프, 안다리엘을 북한 정찰총국 산하 기관으로 공식 지정하면서, 이들의 해킹을 “북한의 불법적인 무기 프로그램을 지원하는 활동”으로 규정했습니다.
- 호주, 한국, 일본, EU 등도 미국과 보조를 맞추어, 북한 해킹에 연루된 개인과 기관에 대해 자산 동결, 여행 금지, 금융 거래 제한 등의 제재를 잇달아 발표했습니다.
- 사이버 보안 업계에서는, 북한 해커들을 이란·러시아·중국과 함께 “가장 공격적인 국가 지원 해킹 그룹”으로 분류하고 있습니다.
국제사회의 공통적인 우려는 두 가지 정도로 정리할 수 있습니다.
- 사이버 공간에서 ‘사실상 전시 수준’의 공격을 저지르면서도, 현실 세계의 전면전 없이 막대한 자금을 확보
- 이 돈이 단순한 범죄 수익이 아니라, 핵무기·미사일 개발
그래서 북한의 해킹 문제는, 단순한 사이버 범죄가 아니라
“비확산(핵·미사일) 이슈”와 “국제 금융 안보” 문제로 엮여서 다뤄지고 있습니다.
4. 북한의 공식·비공식 입장과 주장
그렇다면 북한은 어떤 입장을 내놓고 있을까요.
예상하실 수 있듯이, 공식 입장에서는 거의 전면 부인을 하고 있습니다.
- BBC 보도에 따르면, 영국 주재 북한 외교관은 미국과 서방이 제기한 라자루스 관련 해킹 의혹에 대해 “터무니없는 날조이며, 우리 나라의 이미지를 훼손하려는 음모”라고 반박했습니다.
- 북한 매체와 외무성 담화에서도, 사이버 공격 관련 비난이 나올 때마다 “미국이 대조선 적대 정책을 정당화하기 위한 모략극”이라는 식의 표현이 자주 등장해 왔다고 전해집니다.
- 북한은 자국의 IT 인력 해외 파견 문제에 대해서도, “정상적인 노동 수출” 혹은 “합법적인 IT 서비스 제공”이라는 식의 논리를 펴며, 이를 제재 대상에 올리는 국제사회의 움직임을 부당하다고 주장해 왔습니다.
조금 더 구조적으로 보면, 북한의 주장은 대략 이런 방향으로 정리할 수 있습니다.
자신들이 사이버 공격을 했다는 ‘기술적 증거’는 서방의 일방적 주장일 뿐이며, 이를 근거로 한 제재는 국제법 위반이라는 주장입니다.
또 미국이 제기하는 ‘북한 해킹–핵 개발 자금 연계’는 정치적 프레임이고, 실제로는 미국 패권을 유지하기 위한 구실에 불과하다는 주장입니다.
물론, 이런 북한의 해명과 달리,
미국 재무부, FBI, 한국 정부, 여러 보안 업체들이
공격에 사용된 악성코드, 인프라, IP, 자금 흐름 등을 근거로
“북한 연계”를 반복해서 확인해 왔다고 밝히고 있습니다.
그래서 국제사회에서는 북한의 부인을 거의 신뢰하지 않는 분위기입니다.
대신 “공개적으로 인정하지는 않지만,
국가 차원에서 조직적으로 운영되는 해킹 조직”이라는 전제가 사실상 굳어진 상태입니다.
마무리하며 – 사이버 범죄, 새로운 ‘외화벌이 공장’
동물이나 자연 이야기를 쓰다가 이런 주제를 다루면, 한편으로는 조금 씁쓸한 마음이 들기도 합니다.
숲이 자라는 속도보다, 데이터를 털어가는 속도가 훨씬 빠른 시대라는 생각이 들어서입니다.
하지만 북한 사례를 보면, 앞으로 환경이나 기후, 에너지 문제를 이야기할 때도 “디지털 안보”라는 키워드를 같이 봐야겠다는 생각이 들었습니다.
에너지 인프라, 정유 시설, 전력망, 탄소 배출 거래 시스템까지 모두 네트워크로 연결된 세상에서, 사이버 공격은 곧 현실 세계의 리스크이기도 하니까요.