ข่าว 
ข้อมูลเหรียญ 
แนะนำสื่อ 
‘북한 해킹’ 조직이 가상자산 시장에서 사실상 ‘산업화된 탈취 구조’를 구축하며, 국가 차원의 핵심 외화 수입원을 키우고 있다는 경고가 나왔다. 서틱 리서치(CertiK Research)는 최근 보고서에서 2016년부터 2026년 초까지 북한 연계 조직이 확인된 263건의 공격을 통해 약 67억5000만 달러를 탈취한 것으로 추산했다. 특히 2025년 전체 보안 사고 656건 중 북한 관련 공격은 79건에 그쳤지만, 피해액은 20억6000만 달러로 전체의 약 60%를 차지했다. 공격 횟수보다 ‘정밀한 표적 선정’과 ‘고액 자산 집중 타격’이 더 큰 위협이라는 뜻이다.
서틱 리서치는 이번 보고서에서 북한의 가상자산 공격이 단순한 사이버 범죄를 넘어, 제재 회피와 대량살상무기 개발 자금 확보를 위한 전략적 작전으로 진화했다고 진단했다. 국제 제재로 외화 조달이 어려워지자, 북한은 국경 제약 없이 이동 가능한 디지털 자산을 사실상 새로운 외화 창구로 활용해 왔다는 설명이다. 보고서는 유엔과 미국 정보당국의 평가를 인용하며, 탈취된 가상자산 수익이 북한의 핵무기와 탄도미사일 프로그램 자금과 직접 연결된다고 짚었다.
실제 피해 규모는 최근으로 갈수록 더 커지고 있다. 2026년 1월 이후 현재까지 가상자산 생태계에서는 185건의 보안 사고가 발생했고, 손실은 약 11억 달러로 집계됐다. 이 가운데 약 6억2090만 달러가 북한 연계 공격으로 분류되며 전체 손실의 55%를 차지했다. 대형 사건 수는 많지 않지만, 한 번의 침해가 시장 전체에 주는 충격은 압도적이라는 의미다.
북한 해킹 조직의 가장 큰 특징은 코드보다 ‘사람’을 먼저 노린다는 점이다. 보고서는 사회공학을 가장 지배적인 공격 벡터로 지목했다. 가짜 벤처캐피털 제안, 허위 채용 인터뷰, 악성 코드가 심어진 기술 과제, 위장된 화상회의 링크 등을 활용해 개발자와 임직원의 신뢰를 먼저 얻은 뒤 시스템 접근 권한을 탈취하는 방식이다. 스마트 컨트랙트 취약점을 정면 공략하기보다 인간의 심리, 업무 절차, 공급망의 균열을 파고드는 사례가 훨씬 많았다는 분석이다.
북한 연계 공격 조직은 역할별로도 세분화돼 있다. 창업자와 고액 자산가를 겨냥해 벤처캐피털과 투자자로 위장하는 ‘스퀴드스쿼드’, 대형 거래소와 인프라 기업의 기술 인력을 노리는 ‘트레이더트레이터’, 가짜 채용 인터뷰와 악성 저장소로 개발자를 감염시키는 ‘컨테이저스 인터뷰’, 트로이목마형 거래 애플리케이션을 유포하는 ‘애플제우스’ 등이 대표적이다. 여기에 허위 신원으로 서방 기업의 원격근무 직군에 침투하는 북한 IT 인력까지 결합되면서 위협 표면은 더 넓어지고 있다.
조직 규모 역시 작지 않다. 서틱 리서치는 라자루스(Lazarus)를 평양 정찰총국 산하 복수의 사이버 공격 조직을 포괄하는 명칭으로 설명하며, 공개 자료 기준 전체 인력을 약 7000명 수준으로 추정했다. 이들은 장시간 근무 체계와 엄격한 운영 규율 아래 활동하고, 초기 악성코드는 단순하고 소모 가능하게 설계한 뒤 고가치 표적으로 판단될 때만 고급 페이로드를 투입하는 방식으로 탐지 위험을 낮춘다고 분석됐다.
공격 방식도 시간에 따라 뚜렷하게 진화했다. 초기에는 한국 정부기관과 금융기관을 겨냥한 디도스(DDoS)와 파괴형 공격이 주를 이뤘지만, 이후 전통 금융 인프라를 노리는 단계로 이동했다. 2017년 이후에는 거래소 핫월렛 공격이 본격화됐고, 2020년대 들어서는 디파이와 크로스체인 브리지가 핵심 표적으로 바뀌었다. 최근에는 제3자 솔루션을 우회하는 공급망 공격과 오프라인 접촉을 결합한 물리적 침투 단계까지 올라섰다. 방어 체계가 강화될수록 공격자도 더 많은 시간과 비용, 정교한 위장술을 투입하고 있다는 얘기다.
대표 사례로는 2022년 ‘로닌 브리지’ 해킹이 꼽힌다. 당시 액시 인피니티를 지원하던 로닌 네트워크는 링크드인 채용 담당자로 위장한 공격에 노출됐고, 한 엔지니어가 악성 PDF를 내려받으면서 내부 인프라가 침해됐다. 공격자는 검증자 9개 중 5개 권한을 확보해 17만3600 ‘อีเธอเรียม(ETH)’과 2550만 달러 상당의 USD코인(USDC)을 빼냈다. 피해 규모는 약 6억2400만 달러로, 당시 기준 업계 최대 수준이었다.
2025년 2월 발생한 바이비트 해킹은 공급망 공격의 위험성을 극단적으로 보여준 사건으로 평가된다. 서틱 리서치에 따르면 공격자는 바이비트가 사용하던 세이프 멀티시그 지갑 개발자 단말기를 먼저 침해한 뒤, AWS 세션 토큰을 탈취해 다중인증을 우회했다. 이후 정상적인 자금 이체처럼 보이도록 사용자 인터페이스를 조작했고, 서명자들은 평소와 같은 승인 절차라고 판단한 채 악성 거래에 서명했다. 결과적으로 14억 달러를 웃도는 자산이 빠져나가며 가상자산 업계 최대 해킹 사례로 기록됐다.
2026년 4월 발생한 드리프트 프로토콜 사건도 또 하나의 경고음으로 꼽힌다. ‘โซลานา(SOL)’ 기반 탈중앙화 거래소인 드리프트에서는 약 2억8500만 달러가 무단 인출됐다. 공격자는 단순히 키를 훔치는 데 그치지 않고, 유동성이 낮은 토큰 시장을 인위적으로 조성해 가격을 부풀린 뒤 허위 담보 기반을 만들고, 프로토콜의 출금 보호 장치를 비활성화했다. 여기에 사전 서명 체계와 거버넌스 권한 이전까지 결합해 단 몇 분 만에 대규모 유동성을 빼냈다. 더 주목할 부분은 핵심 기여자들과 장기간 오프라인 신뢰 관계를 쌓아온 인물이 북한 국적자가 아닌 제3자 중개인이었다는 점이다. ‘북한 해킹’ 위협이 기술 영역을 넘어 현실 공간으로 확장되고 있다는 신호다.
자금 세탁 구조도 갈수록 정교해지고 있다. 보고서에 따르면 바이비트 공격 이후 한 달 만에 탈취된 ‘อีเธอเรียม(ETH)’의 86.29%가 ‘บิตคอยน์(BTC)’으로 전환됐다. 이 과정에는 믹싱 서비스, 크로스체인 브리지, 탈중앙화 거래소, OTC 브로커, 더스트 분산 계정 등이 복합적으로 동원됐다. 하나의 수법이 아니라 여러 체인을 오가며 거래 흔적을 잘게 쪼개는 방식이기 때문에, 추적과 동결은 점점 더 어려워지고 있다.
최근에는 퍼블릭 블록체인 자체를 명령·제어 인프라로 활용하는 ‘이더하이딩’ 방식까지 등장했다. 이는 악성 페이로드를 스마트 컨트랙트의 트랜잭션 데이터 안에 숨겨 읽기 전용 호출로 불러오는 구조다. 중앙 서버를 마비시키는 전통적인 대응이 효과를 내기 어렵다는 점에서 수사기관과 보안 업계 모두 새로운 과제에 직면하고 있다는 평가다.
시장 충격도 작지 않다. 보고서는 바이비트 해킹 직후 자금 세탁 과정에서 발생한 대규모 매도 압력으로 ‘อีเธอเรียม(ETH)’ 가격이 약 4.2% 하락했다고 분석했다. 직접 피해를 본 거래소나 프로토콜뿐 아니라, 관련 디파이 플랫폼에 자산을 예치한 프로젝트와 투자자들까지 연쇄 충격을 받는 구조다. 결국 보안 사고는 특정 기업의 손실에 그치지 않고 시장 신뢰, 규제 비용, 유동성, 가격 안정성 전반을 흔드는 변수로 작용한다.
국제 공조도 강화되는 흐름이다. 미국·한국·일본이 참여한 다자 제재 모니터링팀(MSMT), 북한 IT 인력 제재 확대, 스테이블코인 발행사의 동결 조치 강화, 동남아 그림자 금융 브로커 단속 등이 함께 추진되고 있다. 다만 일부 탈중앙화 서비스가 자금 동결 협조를 거부하거나, 지정학적 갈등으로 수사 공조에 한계가 있는 만큼 대응 효과는 아직 제한적이라는 지적도 나온다.
보고서는 대응 전략으로 엄격한 신원 검증, 제로 트러스트 채용 정책, 링크드인과 디스코드 등 커뮤니케이션 채널에 대한 보안 교육, 출금 지연과 서킷 브레이커, 타임락 기반 거버넌스, 에어갭 하드웨어 보안 모듈(HSM) 적용 등을 제시했다. 단순히 스마트 컨트랙트 감사를 강화하는 것만으로는 부족하며, 채용부터 운영 절차, 제3자 인프라, 오프라인 접촉까지 포함한 다층 방어가 필요하다는 주문이다.
앞으로의 전망도 밝지 않다. 서틱 리서치는 2026년 이후 북한 해킹 조직이 AI 기반 사회공학, 북한 IT 인력의 산업 전반 침투, 새로운 크로스체인 자금 세탁 경로, VSCode 등 개발자 도구를 악용한 공격을 더욱 확대할 것으로 내다봤다. ‘북한 해킹’은 이제 일회성 사건이 아니라 가상자산 산업 전체가 구조적으로 감당해야 하는 상시 리스크가 됐다는 진단이다. "ความคิดเห็น" 결국 북한이 가상자산 탈취를 체제 유지에 필요한 핵심 수익원으로 무기화한 이상, 보안 사고는 발생 여부보다 ‘언제, 어떤 방식으로 터지느냐’의 문제에 더 가까워지고 있다.
ความคิดเห็น 0