미국 정부는 북한이 사이버 보안에 취약한 이른바 '디파이(DeFi·탈중앙화 금융)'를 악용해 암호화폐 자산을 탈취하는 등의 방법으로 대량살상무기(WMD) 개발 자금을 조달하고 있다고 밝혔다. 디파이는 정부나 기업의 통제 없이 개개인이 가산 자산이나 블록체인 기술 등을 활용해 자유롭게 진행하는 금융 거래를 의미한다.
미국 재무부는 6일(현지 시각) 첫 발간물인 '디파이 관련 불법 금융 위험 평가' 보고서에서 "북한과 사이버 범죄자, 랜섬웨어 공격자, 절도범, 사기꾼 등의 행위자들이 북한에 불법 수익 자금을 송금하고 세탁하기 위해 디파이 서비스를 악용하고 있다"고 밝혔다.
재무부는 특히 "미국과 유럽, 유엔의 제재를 받는 북한이 중앙 집중형 '가상 자산 서비스 제공업체(VASP)'와 디파이 서비스를 통해 갈수록 더 많은 가상 자산을 훔치고 있다"고 지적했다. VASP는 가상 자산과 현금 자산 간의 직접적인 연결 관계가 있는 사업을 운영하는 업체를 일컫는다.
한 사례로 북한 정부와 연계된 해킹 조직인 라자루스 그룹이 2022년 3월 블록체인 비디오 게임업체 '엑시 인피니티'와 2020년 블록체인 기술기업 '하모니'에서 7억2000만 달러(한화 약 9500억원)의 가상자산을 훔쳤다고 재무부는 알렸다. 라자루스는 2022년 6월에도 서로 다른 암호화폐 거래를 중개하는 '호라이즌 브리지'에서 1억 달러 상당의 암호화폐를 탈취했다고 보고서는 밝혔다.
앞서 미국 법무부는 지난달 북한이 훔친 가상 자산을 사법당국이 추적할 수 없도록 세탁하는 데 필요한 믹싱(mixing)이란 서비스를 제공한 온라인 암호화폐 기업 '칩믹서'를 단속하기도 했다.
북한이 가상 자산과 관련된 랜섬웨어 공격 등의 프로젝트를 이행하는 고숙련된 정보기술(IT) 노동자 수천 명을 전 세계에 파견했으며 이들이 북한의 WMD와 탄도미사일 개발 자금을 벌고, 해킹과 자금 세탁을 도울 수 있다고 경고했다.
재무부는 디파이 서비스가 한 곳에 대량의 자금이 모여 있고, 사이버 보안 기준이나 규제가 없는 데다 관리자에 권한이 집중되고, 소스 코드가 공개되는 등의 특성들 때문에 절도에 취약하다고 강조했다. 이에 국제자금세탁방지기구(FATF) 등을 통해 국제 사회와 협력해 규제의 틀을 마련하고 관리·감독을 강화해야 한다고 언급했다.
