[가상통화 털어가는 北]
재무차관 방한때 정부 대책 요청… “北 가상통화 해킹뒤 현금화 시도”
실명거래 강화 등 공조방안 논의… 北으로 자금 유입 철저 차단 의지

미국이 북한으로 달러화가 유입되는 것을 막기 위해 가상통화를 이용한 북한의 자금세탁을 차단해 달라고 우리 정부에 요청했다. 미국은 국내 가상통화의 실명 거래 현황도 집중 파악했다.

6일 여권 핵심 관계자에 따르면 시걸 맨델커 미 재무부 테러·금융정보담당 차관이 지난달 25일 방한했을 당시 금융위원회 김용범 부위원장을 만나 “한국 가상통화 거래소에서 북한이 자금세탁을 시도한 정황이 포착됐다”며 정부 차원의 대응 방안을 문의했다. 이 자리에서 맨델커 차관은 ‘가상통화 거래 실명제’ 현황 자료를 제공받은 것으로 알려졌다. 정부는 지난달 30일부터 가상통화 거래 실명제를 실시하고 있다. 금융위 관계자는 “북한이 가상통화를 해외 거래소로 빼돌려 환전하더라도 거래 실명제를 하면 자금 추적이 상대적으로 용이하다”고 말했다.

맨델커 차관 방문 당시 금융위는 자세한 논의 내용을 공개하지 않은 채 “자금세탁 방지 조치 강화와 국제 공조 방안을 논의했다”는 설명 자료만 배포했다. 북한의 가상통화 거래와 관련한 논의가 있었다는 사실은 밝히지 않았다. 평창 올림픽을 앞두고 북한을 자극하지 않으려는 의도로 보인다.

도널드 트럼프 행정부에서 대북 금융제재 실무를 총괄하는 맨델커 차관이 북한의 가상통화 범죄 차단을 위한 한미 공조를 강조하고 나선 것은 북한이 해외에서 해킹한 가상통화를 국내 거래소에서 현금화하거나 국내에서 해킹한 가상통화를 제3국으로 옮기려는 시도가 포착된 데 따른 것이다. 한미 공조를 통해 평양으로 흘러가는 달러를 확실히 차단하겠다는 것. 앞서 마이크 펜스 미 부통령은 2일 “전략적 인내의 시대는 끝났다는 메시지를 전달하러 평창 올림픽에 참석할 것”이라며 올림픽을 계기로 대북제재가 느슨해질 수 있는 움직임을 경계하고 나섰다.

금융위는 맨델커 차관과의 논의 내용과 관련 부처 의견을 반영해 ‘특정 금융거래정보의 보고 및 이용 등에 관한 법률’ 개정안에 가상통화 자금세탁 규제 조항을 넣기로 했다. 가상통화 거래도 일반 금융 거래와 마찬가지로 2000만 원 이상의 고액 현금 거래, 여러 차례에 걸쳐 작은 단위로 쪼개는 의심 거래를 금융정보분석원(FIU) 통보 대상에 추가시키는 게 핵심. 관련 자료는 국제협약을 맺은 미국과도 공유할 수 있다. 정부는 신속한 대응을 위해 상대적으로 입법 절차가 간단한 의원입법으로 개정안을 발의할 계획이다. 더불어민주당 관계자는 “미국 측 의견을 반영하느라 개정안에 대한 금융위 의견이 당초보다 늦어지고 있지만 곧 결론이 날 것”이라고 말했다.

북한의 가상통화 해킹과 자금세탁에 대해 미국은 한국뿐만 아니라 일본, 중국과 공동 대응하는 방안도 모색하고 있다. 맨델커 차관은 지난달 일본, 중국도 잇달아 방문해 관련 문제를 논의한 것으로 알려졌다. 특히 중국 옌지(延吉) 등 북-중 접경지대에서 북한 해킹부대가 활동한다는 정보가 있는 만큼 미국이 중국에 관련 제재를 요청했을 가능성도 있다.


▼ 제재 강화로 김정은 돈줄 마르자… 北, 작년부터 가상통화 눈독 ▼

“신입사원 입사지원서를 보내드립니다.”

“경찰청 사이버안전국에서 알려드립니다.”

지난해 여름 국내 가상통화 거래소 임직원들은 입사지원자 혹은 국가기관이 보낸 걸로 보이는 e메일을 받았다. 가상통화 시장이 폭발적으로 성장하던 때라 인력 충원이 급했다. 별 의심 없이 마우스를 클릭했다. 하지만 메일에 숨겨진 해킹 프로그램은 거래소 회원들의 접속 아이디와 비밀번호를 낚아챘다. 한 국내 대형 거래소에선 3만6000여 명의 고객정보가 송두리째 빠져나갔다. 이렇게 투자자들의 전자지갑에서 탈취한 가상통화는 해커의 해외계좌로 옮겨졌다. 상대적으로 정부 감시가 허술한 제3국에서 현금으로 환전하려는 시도다. 해킹으로 시작해 자금세탁으로 끝난 이 해킹 피해액은 수백억 원이었다.

이 범죄는 며칠 후 금융정보분석원(FIU) 등을 통해 가상통화 시장을 추적하던 한미 정보당국 레이더망에 포착됐다. 해킹 서버의 인터넷주소(IP주소)를 추적한 결과, 발신처는 북한 혹은 북-중 접경지대로 파악됐다.

○ 실명거래와 자금추적으로 해킹 이중차단

시걸 맨델커 미국 재무부 테러·금융정보담당 차관이 지난달 25일 금융위원회를 방문해 가상통화 자금세탁 차단을 요청한 이유는 북한 때문이다. 2016년까지 주로 다른 나라의 은행계좌를 해킹하던 북한이 국제사회의 감시망을 피하기 위해 지난해부터 가상통화를 해킹한 뒤 제3국 거래소 등으로 옮겨 세탁하는 수법을 사용해왔기 때문. 가상통화의 실명거래와 자금세탁 방지 대책이 세워지면 북한 해커가 해외로 가상통화를 보내 환전을 시도해도 상당 수 추적이 가능하다는 게 한미 당국의 판단이다. 금융위 관계자는 “(시행 중인) 거래실명제에 이어 자금세탁 대책까지 마련되면 북한이 해외로 가상통화를 빼돌려도 돈의 흐름을 어느 정도 파악할 수 있다”고 말했다.

일반적으로 탈취한 가상통화 규모가 크지 않으면 해외 거래소의 전자지갑 등으로 옮겨 현금화할 수 있다. 전자지갑은 실명 인증 없이도 휴대전화 번호나 e메일 등만 있으면 만들 수 있기 때문이다. 하지만 최근 북한 해킹 사건처럼 금액이 크면 바로 현금화하기가 쉽지 않다. 특정 계좌에 한꺼번에 많은 금액이 입금되면 고액거래로 금융당국 보고해야 하기 때문. 이를 피하기 위해 북한은 현금화가 아니라 ‘물물 교환’을 선택할 수 있다. 한미의 감시망을 피해 제3국에서 석유나 원자재 등을 대량으로 구매한 뒤 이를 가상통화로 대금을 결제하는 방식이다. 또는 제3국에서 거래소를 통하지 않고 개인 간(P2P) 거래를 통해 가상통화를 현금화할 수도 있다.


○ ‘계좌 쪼개기’로 해외서 환전 시도

가상통화 해킹 추적을 피하기 위한 북한의 세탁 수법은 지난달 26일 5700억 원어치의 피해를 입힌 일본 코인체크 해킹에서 일부 드러났다. 해커는 1개 계좌에 모여 있던 가상통화를 현재 30여 개 계좌로 분산 이체했다. 이 계좌에 있던 가상통화는 미국, 뉴질랜드, 필리핀, 체코 등에서 환전을 하려다 실패했다. 유출된 가상통화에 전자태그가 붙어있어 거래를 시도하면 ‘장물’이라는 표시가 자동으로 나오기 때문이다.

일본 금융당국은 해커가 코인체크의 가상통화를 현금이나 다른 가상통화로 교환하기 위해 분산 이체를 시도했다고 보고 있다. 다만 가상통화 특성상 자금 흐름을 감시할 수는 있지만 계좌 소유주를 특정하기는 힘들다고 한다. 일본 경찰은 코인체크로부터 서버와 통신기록을 제출받아 수사에 나섰지만, 해커가 동유럽 등 해외 서버를 경유한 탓에 자금 추적에 어려움을 겪고 있다.

꼬리표가 붙어있더라도 가상통화를 추적하기 쉽지 않다는 분석도 많다. 전문가들은 북한이 해킹 직후 꼬리표가 달려 있지 않은 다른 종류의 코인으로 환전했다면 추적이 쉽지 않을 수 있다고 본다.


○ ‘달러벌이 블루오션’ 개척 나선 북한 해킹부대

과거 북한의 해킹부대는 국가기밀을 훔치거나 주요 홈페이지 등을 마비시키는 활동을 했다. 그러나 핵·미사일 도발 후 국제사회의 대북 제재로 달러벌이가 힘들어지면서 해커들이 지난해부터 가상통화 해킹을 ‘블루오션’으로 여기고 있는 것으로 보인다. 지난해 12월 백악관은 세계 150개국에서 컴퓨터를 해킹한 뒤 비트코인 갈취를 시도한 ‘워너 크라이’ 공격의 배후가 북한이라고 발표한 바 있다.

북한 해커들은 보안수준이 허술한 가상통화 거래소, 실명 대신 익명으로 거래가 가능한 ‘모네로’ 등의 가상통화에도 관심이 높은 것으로 알려져 있다. 현재 북한은 수백 명 규모로 알려진 해킹부대 육성에 힘을 쏟고 있는데, 정보당국은 북한의 사이버전 능력이 미국에 필적하는 세계적 수준으로 파악하고 있다.

김상운 기자 sukim@donga.com / 도쿄=장원재 특파원 / 강유현 기자 / 박성진 기자