가상자산 추적분석 전문기업 클로인트(대표 김준홍)는 북한 해커부대 라자루스 그룹(Lazarus Group)이 전세계 여러 곳으로부터 탈취한 가상자산의 일부를 캄보디아 소재의 금융서비스로 이동시켜 자금 세탁하고 있는 정황을 발견했다고 18일 밝혔다.

라자루스는 2007년 창설된 북한 정찰총국 소속의 해커 조직으로 작년에 발생한 사법부 전산망 해킹 사건의 주범으로 알려져 있으며, 전 세계의 주요 가상자산 거래소, 지갑 서비스 및 다양한 디파이(DeFi; 탈중앙화 금융) 서비스를 대상으로 해킹 공격을 벌이고 있다. 매년 전세계에서 발생하는 가상자산 해킹사고의 절반 이상이 라자루스 등 북한 해커 조직의 소행으로 확인되고 있다.

클로인트의 CRC(크립토 리서치 센터)는 라자루스가 관여한 전세계의 주요 해킹사고에 대한 자금 세탁 경로를 지속적으로 추적해 왔으며 지난 6월 4일부터 이틀간 라자루스 탈취자금 중 약 180만 달러의 자금이 토르체인(Thorchain Network)을 통해 캄보디아 소재의 후이원 그룹의 금융 자회사로 이동한 사실을 확인했다.

이 회사는 2021년 설립, 온라인 마켓플레이스로 부동산 및 자동차 거래로 시작했으나, 최근 대규모 가상자산 사기와 자금 세탁의 중심지로 주목을 받고 있으며 특히 ‘돼지 도살 사기(Pig Butchering)’라는 자금세탁 기법을 이용했다. 이들이 운영하는 마켓플레이스는 텔레그램 기반의 수천 개 메시징 채널로 구성되며 각 채널은 판매자가 독립적으로 관리하고 주요 결제 수단으로 암호화폐인 USDT 스테이블 코인이 사용된다.

관련해 최근 영국의 일립틱 리서치(Elliptic Research)는 후이원 보증(Huione Guarantee)의 마켓플레이스에서 암호화폐 지갑을 이용해 최소 100억 달러 규모의 거래가 일어났고 상당부분이 자금세탁과 사기에 관련되어 있다고 밝힌 바 있다.

또한 FBI는 2023년 8월 라자루스가 아토믹 월렛(Atomic Wallet), 코인스페이드(CoinsPaid), 알파포(Alphapo) 등 크립토 서비스 기업들로부터 1억 6천 만달러 이상의 가상자산을 탈취했다고 발표했으며, 최근 로이터 통신은 해당 사건으로 탈취된 가상자산이 올해 후이원을 통해 자금세탁이 진행된 정황이 있다고 발표했다. 아토믹 월렛과 알파포는 로이터의 논평 요청에 응답하지 않았으나 코인스페이드는 도난당한 3700만 달러 상당의 가상자산이 후이원 페이 지갑으로 이동했다고 밝혔다.

2023년 11월 미국 재무부는 북한의 사이버 활동 관련 신규 제재를 발표하면서 '신바드' 사이트를 재무부 해외자산통제국의 특별지정 제재대상 리스트에 올렸다. 기존에는 신바드 믹서 서비스를 이용해 자금 세탁을 주로 했으나 자금 세탁 루트가 막히면서 새로운 자금 세탁 루트를 탐색하기 시작한 것으로 추정된다고 밝혔다.

북한 라자루스 그룹은 전 세계에서 탈취한 암호화폐를 후이원 페이(Huione Pay) 서비스를 이용해 불법 자금을 전환 및 세탁하는 자금 루트를 활용하는 것으로 의심되며, 특히 금융규제가 상대적으로 느슨한 캄보디아를 주로 활용하고 있다.

특히 후이원 페이(Huione Pay) 이사진 중 훈 투(Hun To)는 현 캄보디아 총리 훈 마넷(Hun Manet)의 사촌으로 알려져 있고, 캄보디아의 느슨한 암호화폐 규제와 맞물려 국제적인 수사나 금융 제재 시도를 무력화하는 데 영향력을 발휘할 수 있다는 점이 우려되고 있다.

제레미 더글라스(Jeremy Douglas) 유엔 마약범죄사무소의 전 동남아시아 지역 책임자는 “동남아시아 지역에 규제를 받지 않는 가상자산 서비스 업체와 ‘지하 은행’ 역할을 하는 온라인 카지노가 넘쳐 난다.”라며 “라자루스와 같은 해커집단이 동남아 지역을 규제가 정착하기 전에 자금세탁 인프라로 활용하기 위해 최대한 노력할 것”이라고 말했다.