북한이 전 세계 주요 가상 자산 거래소를 해킹 공격해 탈취한 자금을 세탁하고 현금화하는 데 캄보디아 금융 기업 후이원(Huione)그룹의 도움을 받은 것으로 22일 확인됐다. 후이원 그룹은 캄보디아 등에서 외국인 납치, 사기 등을 저지르는 초국가 범죄 집단들의 불법 자금을 세탁해 준 혐의로 지난 14일 미국과 영국의 금융 제재를 받았다.
한·미·일, 영국, 프랑스, 독일, 호주, 캐나다 등 11국이 지난해 10월 유엔 안보리 대북 제재 회피 행위를 적발하기 위해 설립한 다국적제재모니터링팀(MSMT)은 이날 북한의 불법 사이버 활동을 추적한 보고서를 발간했다. 보고서에 따르면, 북한은 아랍에미리트(UAE), 일본, 인도 등의 가상 자산 거래소를 해킹 공격해 작년 1월부터 올해 9월까지 총 28억4000만달러(약 4조623억원)를 훔친 것으로 집계됐다.
북한 해커들은 UAE 바이비트(Bybit), 일본 DMM 비트코인, 인도 와지르엑스(WazirX) 등 가상 자산 거래소를 공격해 작년 한 해 동안 11억9000만달러를 탈취했다. 작년 북한 전체 외화 수익의 3분의 1에 해당한다. 올해 1~9월에는 16억5000만달러를 탈취했다. MSMT는 “북한 사이버 조직들이 챗GPT나 딥시크 등 AI(인공지능)를 활용해 수법이 정교해졌다”고 했다.
북한 정찰총국 산하의 해커 집단 ‘라자루스’는 작년 5월 일본 가상 자산 거래소인 DMM비트코인에서 훔친 3500만달러 상당의 가상 화폐 등을 후이원 그룹의 결제 시스템 ‘후이원 페이’를 통해 세탁했다. MSMT는 “2022~2024년 북한 국적자들이 후이원페이 소속 직원들과 협업 및 긴밀한 관계를 유지했다”고 밝혔다. 캄보디아에서 활동하는 정찰총국의 무기 수출업체 ‘청송연합’ 관련 인물들도 후이원 그룹에 돈 세탁과 외화 거래 등을 위탁한 것으로 보인다.
일부 MSMT 참여국이 작년 10월과 12월 후이원페이가 유엔 제재 대상인 북한 정찰총국 활동을 지원하는 데 대해 캄보디아 정부에 우려를 제기했다. 이에 캄보디아 중앙은행은 후이원페이 면허를 박탈했지만, 이후에도 후이원은 영업을 이어가고 있는 것으로 알려졌다.