북한 IT 노동자들은 전 세계 IT 기업에 침투하여 수입을 얻고 있으며, 주로 암호화폐로 북한의 대량살상무기(WMD) 및 탄도 미사일 생산 자금으로 사용됩니다. 지난 몇 년간 미국 재무부 해외자산통제국(OFAC), 한국 외교부(MOFA) 등의 규제 조치는 이러한 사기를 지원하는 개인과 단체를 대상으로 제재를 가해 왔으며, 여기에는 암호화폐 주소가 식별자로 포함되는 경우가 많습니다.
체이널리시스는 북한 IT 인력을 표적으로 삼는 제재 대상에 암호화폐 주소가 포함되는 사례와 이러한 위협에 대한 오픈소스 정보를 면밀히 추적하고 있습니다. 북한이 암호화폐를 사용하여 수익을 창출하고, 자금을 이동 및 통합하고, 주요 거래소의 가짜 계좌를 이용하거나 비규제 가능성이 높은 장외(OTC) 거래자를 활용하는 방식을 면밀히 모니터링하고 있습니다.
최근의 집행 조치로는 8월에 OFAC가 제재를 가한 것이 있습니다. 이 제재는 북한에 본사를 둔 치닝 정보기술 협력 회사(치닝)에 지불을 원활하게 한 러시아 국민을 대상으로 한 것 입니다. 치닝은 진용 IT 협력 회사로도 알려져 있으며, 이 회사는 2023년 5월에 해외에서 북한 IT 근로자를 고용한 혐의로 OFAC와 한국 외교부(MOFA)로부터 제재를 받았습니다 .
2023년 초, OFAC는 OFAC 지정 조선광선은행(KKBC)의 대표인 심현섭 (Sim Hyon Sop, 심) 의 암호화폐 주소를 제재하고 포함시켰습니다. 심은 수천만 달러 상당의 암호화폐를 받았는데, 그중 일부는 북한 IT 근로자들의 수익에서 나왔습니다. UAE에 거주하는 중국 국적의 OFAC SDN 루 화잉(Lu Huaying, 루) 과 같은 장외거래자들 또한 북한 정권을 위해 북한 IT 근로자들의 자금을 세탁한 혐의로 제재 대상에 올랐습니다.
이러한 활동은 수익 창출 및 자금 세탁을 위해 암호화폐에 크게 의존하는 복잡한 네트워크를 드러내며, 결과적으로 법 집행을 교란할 수 있는 기회에도 노출되어 있습니다. 미국 법무부(DOJ)의 최근 북한 자금 몰수 조치 에서 강조되었듯이, 고급 블록체인 분석은 고유한 통찰력과 사기성 IT 인력의 자금 세탁 네트워크를 적발하고 차단할 수 있는 실질적인 기회를 제공합니다.
이 블로그에서는 북한 IT 종사자들이 수익 창출 및 자금 세탁 과정을 용이하게 하는 운영 방식, 네트워크, 그리고 메커니즘을 살펴봅니다. 이러한 네트워크를 이해함으로써 법 집행 기관, 규제 기관, 그리고 민간 산업은 체인상에서 IT 종사자들의 활동을 탐지하고 북한의 대량살상무기(WMD) 프로그램으로의 자금 흐름을 차단하는 데 더욱 효과적으로 대응할 수 있습니다.
암호화폐로 수익 창출
북한 IT 노동자들은 일반적으로 치닝(Chinyong)과 같은 중개업체를 통해 해외로 파견되어 전 세계 IT 기업에 취업을 지원합니다. 이들은 가상 사설망(VPN), 위조 또는 도난된 신분증, 그리고 인공지능(AI) 음성 및 얼굴 인식 소프트웨어와 같은 다양한 난독화 기법을 활용하여 위치와 신원을 은폐함으로써 성공을 거두고 있습니다.
북한 IT 근로자들은 고용되면 안정적인 가치와 암호화폐에서 법정화폐로의 전환을 용이하게 하는 장외거래(OTC) 거래자들에게 인기가 높기 때문에 스테이블코인으로 지급을 요청합니다. 북한 IT 근로자의 지급 주소와 관련된 온체인 활동을 검토한 결과, 이러한 지갑들은 일정한 금액의 정기적인 지급을 받는 것으로 보이며, 이는 급여 지급을 시사합니다. 예를 들어, 이 북한 IT 근로자는 거의 매달 약 5,000달러의 지급을 받고 있었습니다.
블록체인 기술을 통한 수익 난독화
북한 IT 종사자들은 급여를 받으면 다양한 자금세탁 기법을 통해 암호화폐를 이체합니다. IT 종사자와 자금세탁 담당자들이 온체인 자금의 출처와 목적지 간의 링크(Chainlink) 끊는 방법 중 하나는 체인 호핑(chain-hopping) 및/또는 토큰 스왑(token swapping)입니다. 이들은 분산형 거래소 및 브리지 프로토콜과 같은 스마트 계약을 활용하여 자금 추적을 복잡하게 만듭니다.
아래의 Chainalysis Reactor 그래프에서 볼 수 있듯이, 자금 흐름을 흐리게 하기 위해 분산형 프로토콜과 브리지, 그리고 주류 거래소가 모두 활용되고 있습니다.
북한 IT 노동자들은 자금 세탁 과정을 용이하게 하고 궁극적으로 북한으로 자금을 보내기 위해 중개업체에 의존합니다. 법무부의 북한 자금 몰수 조치에 명시된 바와 같이, IT 노동자들의 지급 자금은 통합 방식으로 세탁됩니다. 이 자금은 다른 범죄 수익금 및 다른 북한 IT 노동자들과 혼합되는 '계층화' 과정을 거쳐, 주요 거래소에 가짜 신분증을 사용하여 계좌를 개설하는 북한 정권 관계자에게 흘러들어갑니다.
북한 자금세탁범들이 주요 거래소에 계좌를 개설하기 위해 위조 신분증을 사용한 것으로 지적된 반면, 다른 관할권에서 활동하는 행위자들은 실제 신분을 사용하여 계좌를 개설했습니다. 법무부의 몰수 조치에 따르면, 심 씨는 위조 러시아 신분증을 사용하여 주요 거래소에 계좌를 개설한 반면, 루 씨는 현재는 폐쇄된 거래소 FTX에 본인의 이름과 UAE 거주 카드를 사용하여 계좌를 개설했습니다.
몰수 조치에서는 또한 북한 IT 종사자 자금이 북한 국민이자 치녕 대표인 김상만(KIM), 북한의 외국무역은행(FTB) 자회사인 KKBC에 고용된 심현섭(SIM), 그리고 2024년 12월 UAE 기반 유령 회사를 이용해 불법 수익을 평양으로 흘린 혐의로 제재를 받은 중국 국민이자 OTC 거래자인 OFAC SDN 루에게 흘러들어간 사실도 지적했습니다.
다음 Reactor 그래프는 조선민주주의인민공화국 IT 종사자들의 자금이 주요 거래소에서 KIM이 관리하는 계좌와 SIM과 Lu가 운영하는 호스팅되지 않은 지갑으로 어떻게 이체되었는지 보여줍니다.
법정 화폐로 수익을 오프램핑하다
북한 IT 종사자들이 블록체인에서 수익을 세탁하고 북한 정부를 대신하여 활동하는 중개인에게 넘기면, 이 자금은 법정화폐로 전환됩니다. 이는 일반적으로 주요 거래소에서 운영되는 가상 계좌나 장외거래(OTC) 거래자를 통해 이루어집니다. 아래 그래프는 SIM이 북한 정부를 대신하여 자금 세탁을 조장한 혐의로 2024년 12월 제재를 받은 루(Lu)에게 얼마나 크게 의존하고 있는지 보여줍니다.
암호화폐 자금 세탁 네트워크를 타겟팅하기 위해 얻은 교훈
최근 OFAC 지정과 법무부의 몰수 조치는 북한 IT 인력의 불법 행위에 대한 전 세계적인 관심과 국제 제재 회피를 가능하게 하는 금융 네트워크를 해체하려는 움직임을 보여줍니다. 가해자부터 인프라 및 조력자에 이르기까지, 이러한 네트워크는 북한 정권에 자금을 지원하기 위해 블록체인을 계속 활용하고 있기 때문에 여전히 법 집행의 주요 타깃으로 남아 있습니다.
영국 재무부 금융제재이행국(OFSI) 과 연방수사국(FBI) 인터넷범죄신고센터가 북한 IT 종사자에 대해 발표한 권고는 민간 부문이 이러한 위험을 모니터링하고 파악해야 할 위험 신호를 강조합니다. 권고에는 신원, 위치 또는 자격 증명의 불일치, 익명화 인프라, 불규칙적인 결제 흐름, 그리고 은폐를 암시하는 행동 등이 포함됩니다. IT 업계 이해관계자들은 이러한 온체인 및 오프체인 지표를 파악함으로써 이러한 행위자들을 지탱하는 금융 파이프라인을 차단하는 데 중추적인 역할을 할 수 있습니다.
기업들은 잠재적인 북한 IT 근로자 활동을 파악하기 위해 구체적인 점검을 시행해야 합니다. 주요 위험 신호로는 명시된 위치와 일치하지 않는 IP 주소, 조작된 신분증, 화상 통화 참여 또는 AI 생성 프로필 사용을 꺼리는 행위 등이 있습니다. 재무적인 측면에서는 스테이블코인 결제 선호, 여러 지갑으로 분할 결제 요청, 복잡한 제3자 결제 계약 등을 주의 깊게 살펴보십시오. 특히 시장 가격보다 낮은 가격으로 고급 기술을 제공하는 지원자에게는 주의를 기울여야 합니다. 이러한 점검을 규정 준수 체계에 포함하고 계약자 상호 작용에 대한 상세한 문서화를 통해 기업은 의도치 않게 북한의 제재 회피 계획을 조장하는 것을 방지할 수 있습니다.
본 웹사이트에는 Chainalysis, Inc. 또는 그 계열사(통칭하여 "Chainalysis")가 관리하지 않는 제3자 사이트로 연결되는 링크가 포함되어 있습니다. 이러한 정보에 대한 접근은 Chainalysis가 본 사이트 또는 운영자와 제휴, 보증, 승인 또는 추천하는 것을 의미하지 않으며, Chainalysis는 본 웹사이트에 호스팅된 제품, 서비스 또는 기타 콘텐츠에 대해 책임을 지지 않습니다.
본 자료는 정보 제공 목적으로만 제공되며, 법률, 세무, 재무 또는 투자 관련 자문을 제공하기 위한 것이 아닙니다. 수신자는 이러한 유형의 결정을 내리기 전에 본인의 자문가와 상담해야 합니다. Chainalysis는 수신자가 본 자료를 사용하는 것과 관련하여 내린 결정이나 기타 행위 또는 부작위에 대해 어떠한 책임도 지지 않습니다.
Chainalysis는 이 보고서에 있는 정보의 정확성, 완전성, 적시성, 적합성 또는 타당성을 보장하거나 보증하지 않으며, 해당 자료의 어떠한 부분의 오류, 누락 또는 기타 부정확성으로 인해 발생하는 모든 청구에 대해 책임을 지지 않습니다.
조선민주주의인민공화국 IT 종사자들: 북한의 암호화폐 세탁 네트워크 내부라는 게시물이 Chainalysis 에 처음 게재되었습니다.
