지난 2016년 2월 북한 해커그룹 ‘라저러스(Lazarus)’는 방글라데시 중앙은행이 미국 뉴욕의 연방은행에 보관한 9억5100만 달러(약 1조812억원)를 훔치려는 해킹을 저질렀다. 그런데 이 공작은 해커들의 몇몇 작은 ‘실수’ 덕분에, 그나마 피해액이 6500만 달러(약 740억원)로 줄 수 있었다고 BBC 방송이 21일 보도했다. 북한의 당시 해킹 사실은 보도됐지만, 왜 애초 범행 목표인 1조 원이 넘는 돈 모두를 훔치지 못했는지는 알려지지 않았다.

◇하필이면 북 해커들이 계좌를 연 필리핀 은행 주소가 ‘주피터’인 바람에…

해킹은 방글라데시 시간으로 목요일 퇴근 후인 2016년 2월4일 저녁에 시작했다. 북 해커들이 교묘하게 잡은 날짜였다. 방글라데시는 금~토 휴일이었고, 방글라데시 중앙은행이 토요일 늦게 인출사실을 알더라도, 그때 뉴욕은 이미 주말이었다. ‘라저러스’는 이 돈을 필리핀 마닐라의 RCBC 은행 지점으로 옮기려고 했다. 2월8일 월요일은 필리핀을 비롯한 많은 아시아 국가에서 설날 연휴의 시작이었다. 북한 해커들로선 범행 당일부터 최대 5일간 범행 사실을 숨기려고 했다.

2월4일 오후8시 36분, 북한 해커들은 뉴욕 연방은행에 보관된 방글라데시 중앙은행의 외화 거의 다인 9억5100만 달러에 대해 35건의 이체 명령을 내렸다. 돈의 행선지는 마닐라의 RCBC 은행이었다.

필리핀 마닐라의 '주피터 스트리트'에 위치한 RCBC 은행 지점. 북한 해커들은 이 곳에 유령 인물들을 내세워 해킹한 돈을 받아 인출할 계좌를 열었지만, '주피터'란 이름 때문에 좌절됐다. /구글 지도

필리핀 마닐라의 '주피터 스트리트'에 위치한 RCBC 은행 지점. 북한 해커들은 이 곳에 유령 인물들을 내세워 해킹한 돈을 받아 인출할 계좌를 열었지만, '주피터'란 이름 때문에 좌절됐다. /구글 지도

그런데 북 해커들이 필리핀 내 수백 개의 은행 지점 중에서, 하필이면 RCBC의 마닐라 지점에 계좌를 연 것이 ‘실수’였다. 이 은행은 ‘주피터(Jupiter) 스트리트’에 위치했는데, ‘주피터’는 미국의 경제 재제를 받는 이란 선박의 이름이기도 했다. 미 연방은행의 컴퓨터 시스템은 ‘주피터’란 단어에 자동으로 경보를 울렸고, 결국 5건의 거래를 통한 1억100만 달러만이 이 ‘장애물’을 통과했다.

◇북 해커들, 영어 철자 틀려서 또 2000만 달러 ‘날려’

북 해커들은 해킹에 성공한 1억100만 달러 중 2000만 달러를 필리핀의 자선단체인 ‘샬리카 재단’을 보내 돈세탁을 하려고 했다. 그런데 해커가 재단(foundation)의 철자를 ‘fundation’으로 오기(誤記)하면서 또 이체가 거절됐다.

남은 돈은 8100만 달러였다. 방글라데시 정부가 부랴부랴 돈의 회수에 나설 무렵엔, 북한 해커들은 이미 RCBC의 마닐라 지점에서 5100만 달러를 인출해 두 곳의 필리핀 카지노 계좌로 옮겨놓았다. 돈세탁을 하기 위해서였다. 나머지 3100만 달러는 중간 거래책으로 알려진 한 중국인에게 넘어간 것으로 파악됐지만, 그는 이미 자가용 비행기를 타고 도주했고 이후 행방이 묘연하다.

◇근 10억 달러 노렸던 북 해커들이 결국 훔친 돈은 3500만 달러

방글라데시 은행은 5100만 달러 중에서 김용이라는 북한인으로부터 1600만 달러는 되찾을 수 있었다. 그는 북 해커들의 현지 조력자들이 필리핀 카지노의 개인 룸에서 ‘짜고 치는’ 도박을 통해 돈을 잃지 않고 합법적으로 돈세탁할 수 있도록 절차를 꾸민 인물이었다. 나머지 3500만 달러는 결국 마카오를 거쳐 북한으로 흘러들어간 것으로 추정된다.

방글라데시 정부의 피해액은 회수 못한 3500만 달러와 중국인 중간책이 가져간 3000만 달러 등 모두 6500만 달러였다. 인구의 20%가 빈곤선 이하에서 사는 방글라데시에게 이 돈은 여전히 막대한 돈이었다.

◇ 북, 방글라데시 은행 해킹 성공하고도 1년간 잠복

BBC 방송은 미 연방수사국(FBI)의 수사 발표 등을 토대로, “북한 해커들은 수년에 걸쳐 해킹 대상에 대해 면밀히 조사하고 해킹에 성공한 뒤에도, 잠복했다”고 보도했다. 2015년 1월, ‘라셀 아흘람’이란 사람이 이력서를 첨부한 구직(求職) 이메일을 방글라데시 국립은행 직원들에게 보냈다. 은행 직원 중 한 명이 이를 열었다. 그러나 ‘라셀 아흘람’은 북한 해커그룹 ‘라저러스(Lazarus)’가 내세운 유령 인물이었고, 곧 방글라데시 중앙은행에는 해킹 코드가 심어졌다. ‘라저러스’는 이후 1년간 방글라데시 중앙은행의 모든 구좌를 면밀히 훑었고, 디지털 금고를 비롯해 각종 거래 루트를 파악했다. 또 이 돈을 안전하게 제3국의 북한 계좌로 빼돌릴 수 있도록 준비하는 시간도 필요했다.

◇북 해커들, 자금이체 사실 즉시 알리는 은행 프린터도 통제해

해커들은 또 방글라데시의 수도 다카에 있는 중앙은행 본점 10층의 보안실에 있는 프린터도 통제했다. 이 프린터는 중앙은행 계좌에서 자금 이체가 발생하면, 바로 이를 인쇄해 통보하는 기능을 하고 있었다. 그러나 북 해커들이 이를 오(誤)작동시켜, 자금 이체가 이뤄진 2월4일 오후8시 36분(방글라데시 시간)에 프린터는 작동하지 않았다.

다음날 휴일 당직자가 이 프린터가 작동하지 않는 것을 발견한 것은 오전8시45분였지만, 대수롭지 않게 여겼다. “전에도 종종 그런 고장이 있었기 때문”이었다. 그러나 그가 프린터를 재부팅하자, 뉴욕 연방은행에 보관돼 있던 방글라데시 중앙은행 보유 달러화 거의 전액(全額)에 대한 간밤의 거래 내역이 인쇄되기 시작했다.

저작권자 © 조선일보 동북아연구소 무단전재 및 재배포 금지