5월 6일 미국 뉴욕 남부지법에서 두 종류의 북한 관련 피해자가 마주 섰습니다. 같은 7100만달러(약 994억원)를 두고 양쪽이 권리를 주장하는 자리입니다. 한쪽은 미국 정부가 북한 소행으로 규정하고 미 법원이 배상 판결까지 내렸지만 북한이 한 번도 응한 적이 없어 미궁에 빠진 사건들의 피해자 유족들입니다. 다른 쪽은 4월 18일 가상자산 프로토콜 켈프DAO 해킹으로 자금을 잃은 디파이 이용자들입니다.
두 진영의 권리 주장을 가르는 것은 한 문장이지만 결코 가볍지 않은 질문입니다. 라자루스는 북한인가?
美, 라자루스 소행 밝혀낼 수 있을까
라자루스 그룹은 코인 업계에서 거의 신화에 가까운 이름입니다. 2014년 미국 영화사 소니픽처스 해킹, 2016년 방글라데시 중앙은행에서 8100만달러(약 1134억원) 탈취, 2017년 전 세계 컴퓨터를 마비시킨 워너크라이 랜섬웨어, 그리고 사상 최대의 코인 해킹 사건이었던 지난해 바이빗 해킹 등 해마다 이어지는 대형 코인 절도 사건 다수가 이 이름과 연결됩니다.
미국 정부에서 타국에 대한 경제제재를 담당하는 재무부 해외자산통제국(OFAC)은 라자루스를 북한 관련 제재 대상 명단에 올려놓고 그 주소가 “평양 보통강 구역”이라고 설명합니다. 라자루스 명의로 추적된 이더리움 지갑 주소도 명단이 공개돼 있습니다.
또 다른 미 정부 부처인 법무부는 2018년 9월 북한 국적 프로그래머 박진혁을 라자루스 일원으로 기소했습니다. 179쪽짜리 FBI 기소장은 박진혁이 평양 정찰총국 산하 해킹 조직에 소속된 정부 고용 프로그래머이며 소니·방글라데시·워너크라이 사건이 모두 같은 집단의 소행이라고 적시합니다.
하지만 부족해 보이는 부분이 분명 있습니다. 박진혁은 미국으로 인도된 적이 없고 한 번도 미국 법정에 서본 적이 없습니다. 형사재판은 검사와 피고인 양측이 법정에서 증거를 두고 다퉈야 비로소 사실이 확정됩니다. 그런데 박진혁 기소장은 그 과정을 거친 적이 없습니다. 미국 정부가 라자루스를 북한으로 규정한 가장 두꺼운 문서가 7년이 지나도록 한쪽 주장만 적힌 채로 남아 있는 셈입니다.
또한 재무부 OFAC는 라자루스에 ‘OFFICE 91’, ‘HIDDEN COBRA’, ‘GUARDIANS OF PEACE’ 등의 별칭이 있다고 적시했는데 이 명칭들의 신뢰도 등급에 대해서는 모두 ‘약함’으로 표시했습니다. OFAC 스스로 이 별칭들이 실제 같은 조직을 가리키는지 한계가 있다고 기록한 셈입니다.
“8조 털려”…디파이의 ‘리먼 모먼트’
“라자루스는 북한”이라는 미국 정부의 주장이 미국 법원의 판단을 기다리게 된 것은 지난 4월 디파이(탈중앙금융) 프로토콜인 켈프DAO에서 발생한 대규모 코인 절도 사건 때문입니다.
공격자는 서로 다른 블록체인 사이 자산을 옮기는 과정에서 허점을 찾아냈고 이를 이용해 11만6500개의 ‘rsETH’ 토큰을 무에서 만들어냈습니다. rsETH는 원래 이더리움(ETH)을 스테이킹(예치)해놓고 그걸 근거로 다른 곳에 한 번 더 자산을 빌려주면서 받는 토큰입니다. 이를테면 은행에 예금한 돈으로 받은 예금증서를 다른 은행에 또 담보로 맡겨 추가 이자를 얻을 수 있는데 rsETH는 그 과정에서 발행되는 영수증인 셈입니다. 아무것도 맡기지 않고 가짜 영수증을 조작한 셈이지요.
공격자는 이 가짜 영수증을 디파이 최대 대출 프로토콜 아베(Aave)에 담보로 맡기고 약 1억9000만달러(약 2660억원)어치 진짜 이더리움을 빌려갔습니다. 아베 입장에서는 가짜를 받고 진짜를 내준 셈입니다. 피해는 곧바로 도미노로 번졌습니다. 소문이 퍼지자 아베에 돈을 맡겨 두었던 이용자들이 동시에 인출에 나섰고 며칠 만에 60억달러(약 8.4조원)에 가까운 자금이 빠져나갔습니다. 디파이 대출 프로토콜은 누군가 예치한 돈을 또 다른 누군가가 빌려가는 구조라 빌려간 돈이 돌아오지 않으면 예치자가 인출하고 싶어도 빼낼 자금이 없습니다. 사고와 무관한 정상 이용자들도 자기 돈을 인출하지 못하는 상황이 이어졌습니다.
사고 직후 디파이 사상 가장 큰 자금 이탈이 기록됐고 아베(AAVE) 코인은 20% 가까이 빠졌습니다. 누군가 “디파이의 리먼 모먼트”라고 평가할 정도였으니 곧 망할 것 같은 위기였습니다.
업계의 대응은 두 갈래로 나뉘었습니다. 한쪽에서는 아베 창업자 스타니 쿨레초프가 주도하고 다른 디파이 기업들이 참여해 약 3억 2000만달러(약 4480억원)의 펀드를 만들었습니다. 그리고 다른 쪽에서는 도난 자금 일부를 추적해 7100만달러어치 이더리움을 묶었습니다. 이렇게 형성된 자금은 자기 자산을 잃은 rsETH 보유자들의 피해 금액을 보전하는 데 쓰여야 했습니다.
북한이 가져갔다고? 그럼 우리 거야!
그런데 문제가 꼬였습니다. 도난 직후부터 민간 온체인 분석업체들은 이번 사건을 라자루스 소행으로 지목했습니다. 도난 이더리움이 흘러간 지갑 주소들이 OFAC의 라자루스 지갑 리스트와 연결됐기 때문입니다. 아베도 사고 보고서에서 “북한 연계 해커”라고 표현했습니다.
동결되었던 7100만달러가 피해자에게 돌아가기 직전이었던 5월 1일 저녁 한 미국 로펌이 동결 자산에 가압류를 걸었습니다. 이 로펌은 북한 관련 사건 피해자들을 대리하고 있으며 미국 법원이 판결했지만 북한이 응하지 않은 미지급 규모는 8억7700만달러(약 1조2278억원)가 넘습니다.
대표적인 예가 2000년 중국에서 북한 주민들의 탈북을 돕다가 북한 공작원에 납치된 것으로 알려진 김동식 목사 사건입니다. 미국 시민권자인 그의 동생과 아들은 2015년 워싱턴DC 연방지법에서 북한을 상대로 보상적 손해배상 3000만달러와 징벌적 손해배상 3억달러, 모두 3억3000만달러(약 4620억원) 배상 판결을 받아냈습니다. 그 뒤 이들은 11년간 이 판결을 집행할 북한 자산을 찾아왔는데 켈프 자금을 훔친 것이 라자루스이고 라자루스는 곧 북한이니 북한 자산인 동결 자금은 자기들의 배상에 쓰여야 한다는 논리였습니다.
아베 측은 이 논리를 정면으로 받아쳤습니다. 도둑이 훔친 것을 소유한다고 볼 수 없다는 게 뼈대였지만 흥미로운 것은 라자루스를 북한으로 특정해온 미국 정부의 입장을 “인터넷 게시물의 추측에 근거해 도둑이 북한이라는 주장”이라고 잘라 말한 부분입니다. 법정은 이제 도둑이 북한이었는지, 북한에는 과연 소유권이 있는지를 입증하고 판단해야 합니다.
라자루스라는 이름은 6년간 너무 자명해서 굳이 증명할 필요가 없는 전제처럼 쓰여 왔습니다. 한국에서도 매년 가상자산 도난 사건마다 “북한 소행”이 발표됩니다. 미 법정의 이번 판단이 한국 법정에서 같은 질문이 나올 때의 거울이 될 것입니다. 그 자명함이 처음으로 법정에 섰습니다.
김외현 우석대 겸임교수