[넥스블록]가상자산 해킹으로 돈 버는 북한, 2025년 피해액 60% 차지

2016년 이후 탈취 추정액 67억5000만 달러…Bybit 사건으로 2025년 피해 집중
거래소 핫월렛에서 디파이·공급망·물리적 침투로 공격 표적 확대
정찰총국 산하 라자루스 조직화…IT 인력 침투·자금 세탁·AI 사회공학 위협 부상

▲2017~2026년 전 세계 가상자산 탈취 피해액 중 북한 연계 공격 비중을 나타낸 그래프. 2021년 이후 북한 연계 탈취 규모가 본격적으로 확대됐으며, 특히 2025년에는 약 15억 달러 규모의 Bybit 해킹 사건 영향으로 북한 연계 피해액이 전체 가상자산 해킹 피해의 절반 이상을 차지한 것으로 나타났다. 2026년 수치도 연초 기준임에도 상당한 피해가 집계돼 북한발 가상자산 공격 위협이 지속되고 있음을 보여준다. (출처=Certik)

북한 연계 해킹 조직이 가상자산 탈취를 국가 차원의 핵심 수익원으로 산업화하고 있다는 분석이 나왔다. 공격 방식도 초기 거래소 핫월렛 침해를 넘어 디파이(DeFi), 크로스체인 브리지, 공급망, 물리적 침투를 결합한 고도화된 형태로 진화하고 있다.

CertiK이 13일 발표한 ‘Skynet 북한 가상자산 위협 보고서’에 따르면 독립 온체인 연구자 테일러 모나한은 북한 연계 해킹 조직이 2016년부터 2026년 초까지 총 263건의 확인된 사건을 통해 약 67억5000만 달러를 탈취한 것으로 추정했다. CertiK은 개인 투자자와 프로젝트 창립자, 소규모 프로토콜을 겨냥한 다수의 소규모 탈취 사건이 주류 통계에 포함되지 않는 경우가 많아 실제 피해 규모는 더 클 수 있다고 지적했다.

2025년 피해액 60%가 북한 연계…Bybit 사건 영향 컸다

2025년 전체 가상자산 생태계에서는 총 656건의 보안 사고가 발생했으며, 손실 규모는 약 34억 달러에 달했다. 이 가운데 북한 연계 공격은 79건으로 전체 사건 수의 약 12%에 불과했지만, 피해액은 약 20억6000만 달러로 전체 손실의 약 60%를 차지했다. 특히 2025년 2월 발생한 약 15억 달러 규모의 Bybit 해킹 사건이 북한 연계 피해액을 크게 끌어올렸다.

2026년 들어서도 북한 연계 공격은 이어지고 있다. 2026년 1월 이후 가상자산 생태계에서는 총 185건의 보안 사고가 발생했고, 손실 규모는 약 11억 달러에 이르렀다. 이 가운데 북한 연계 공격 피해액은 약 6억2090만 달러로 집계됐다.

정치적 교란에서 가상자산 탈취로…공격 표적 단계적 이동

▲북한 사이버 공격 전략의 진화 과정을 나타낸 타임라인. 보고서는 북한 해킹 전술이 2007~2014년 DDoS·파괴형 공격에서 출발해 전통 금융 인프라, 거래소 핫월렛, 디파이 프로토콜·크로스체인 브리지, 공급망 공격으로 표적을 넓혔으며, 최근에는 물리적 침투까지 결합한 장기 정보작전 형태로 고도화되고 있다고 분석했다. (출처=Certik)

분석에 따르면 북한의 사이버 공격 전략은 2007년 이후 단계적으로 변화해왔다. 초기에는 한국 정부·금융기관 대상 DDoS 공격, 2013년 ‘다크 서울’ 와이퍼 공격, 2014년 소니 픽처스 침해 등 정치적 목적의 교란·파괴 작전이 중심이었다. 이후 2014~2017년에는 방글라데시 중앙은행 해킹으로 대표되는 전통 금융 인프라 공격으로 이동했다.

가상자산이 본격적인 표적으로 떠오른 것은 2017년 이후다. 2017~2019년에는 빗썸, 코인체크 등 거래소 핫월렛이 주요 공격 대상이었다. 당시 거래소 보안 인프라는 시장 성장 속도를 따라가지 못했고, 인터넷에 연결된 지갑이 집중적으로 노출됐다.

2020~2023년에는 공격 대상이 디파이 프로토콜과 크로스체인 브리지로 확대됐다. 중앙화 거래소의 보안 수준이 높아지자 북한 공격 조직은 Ronin Bridge와 Harmony Horizon Bridge처럼 대규모 자산을 보유하면서도 검증자 구조와 관리자 권한에 취약점이 있는 인프라를 겨냥했다.

2024~2025년에는 공급망 공격이 본격화했다. Bybit 해킹은 거래소 자체가 아닌 제3자 멀티시그 인프라를 침해해 서명 화면을 조작한 사례다. 이는 기관급 보안 체계도 외부 인프라가 침해될 경우 우회될 수 있음을 보여줬다.

최근에는 물리적 침투와 장기 정보작전까지 결합하고 있다. 2026년 Drift Protocol 공격에서는 제3자 중개인을 통한 오프라인 신뢰 구축, 거버넌스 조작, 담보 자산 조작 등이 함께 활용됐다. 이는 북한의 가상자산 공격이 단순 해킹을 넘어 정보기관형 작전으로 고도화하고 있음을 보여준다.

정찰총국 산하 세분화 조직…표적별로 다른 공격 방식

CertiK은 이러한 공격이 개별 해커의 일탈이 아니라 조직화된 국가 지원 사이버 작전이라는 점에 주목했다. 북한 정찰총국(RGB·Reconnaissance General Bureau) 산하에서 운영되는 여러 사이버 공격 조직을 포괄하는 라자루스(Lazarus)는 가상자산 거래소, 디파이 프로토콜, 블록체인 인프라, 개발자, 프로젝트 창립자 등을 표적으로 삼는다. 미국 육군은 북한 사이버 조직 전체 인력을 약 7000명 규모로 추정한다. 이들은 주 6일, 하루 최소 15시간 이상 활동하는 고강도 운영 체계를 갖춘 것으로 알려졌다.

북한 사이버 작전은 정찰총국을 중심으로 여러 하위 조직과 공격 클러스터로 나뉜다. 각 조직은 같은 북한 연계 조직으로 분류되더라도 맡는 역할과 표적이 다르다. 일부는 대형 거래소나 블록체인 인프라처럼 대규모 자금이 모여 있는 곳을 직접 노리고, 일부는 투자자나 벤처캐피털 관계자로 위장해 프로젝트 창립자와 고액 자산가에게 접근한다.

개발자를 겨냥하는 조직도 있다. 이들은 정상적인 채용 절차처럼 보이도록 가짜 구인 공고를 내거나 코딩 테스트를 제안한 뒤, 악성 코드가 포함된 저장소를 전달한다. 개발자가 이를 실행하면 PC가 감염되고, 브라우저에 저장된 계정 정보, 지갑 데이터, SSH 키, 개인 키 등이 빠져나갈 수 있다. 악성 거래 앱이나 지갑 프로그램을 배포해 이용자의 자산 접근 권한을 빼내는 방식도 활용한다.

▲북한 사이버 작전 조직 구조도. 보고서는 라자루스(Lazarus)를 정찰총국(RGB) 산하 여러 공격 조직을 포괄하는 통합 명칭으로 설명하며, 하위 조직별로 TraderTraitor, CryptoCore, AppleJeus, 북한 IT 인력 조직 등 서로 다른 공격 클러스터가 거래소 침해, 가짜 채용, 악성 애플리케이션 배포, 원격 근무 침투 등을 수행한다고 분석했다. (출처=Certik)

북한 사이버 조직의 내부 구조를 이해하는 것은 방어 전략 수립에도 중요한 요소다. 같은 북한 연계 공격이라도 조직별로 노리는 대상과 침투 방식이 다르기 때문이다. TraderTraitor(거래소·인프라 침해 조직)는 대형 거래소와 블록체인 인프라 침해에 관여하고, SquidSquad(투자자·VC 사칭 조직)는 투자자나 벤처캐피털을 사칭해 프로젝트 창립자와 고액 자산가에게 접근한다. Contagious Interview(가짜 채용 공격 조직)는 채용 절차처럼 꾸민 코딩 테스트와 악성 저장소를 활용해 개발자 PC를 감염시킨다. 이처럼 북한 연계 공격은 지갑 보안뿐 아니라 개발자 업무 환경과 외부 커뮤니케이션까지 공격 표면으로 삼는다.

Ronin·Bybit·Drift, 공격 고도화 보여준 대표 사례

대표 사례인 Ronin, Bybit, Drift는 북한 해킹 방식의 진화를 압축적으로 보여준다. Ronin Bridge 사건은 가짜 채용 제안을 활용한 사회공학 공격이었다. 공격자는 LinkedIn 리크루터로 위장해 Sky Mavis 엔지니어에게 고액 연봉의 채용 기회를 제안했고, 이후 악성 PDF 파일을 통해 내부 인프라에 침투했다. 그 결과 검증자 키가 탈취됐고 피해 규모는 약 6억2500만 달러에 달했다.

▲북한 연계 주요 가상자산 공격 사례 비교. 보고서는 Ronin Bridge 사건이 가짜 채용 제안을 통한 검증자 키 탈취, Bybit 사건이 제3자 서명 인터페이스를 조작한 공급망 공격, Drift Protocol 사건이 물리적 침투와 거버넌스·오라클 조작을 결합한 장기 정보작전이었다고 분석했다. 세 사례는 북한의 공격 방식이 사회공학에서 공급망 침해, 물리적 침투로 고도화되고 있음을 보여준다. (출처=Certik)

Bybit 사건은 제3자 인프라와 서명 인터페이스를 겨냥한 공급망 공격이었다. 공격자는 Bybit가 사용하던 Safe 멀티시그 지갑 개발자 단말기와 AWS 세션 토큰을 침해한 뒤, 사용자가 신뢰하는 화면을 조작했다. 직원들은 정상 거래로 인식해 승인했지만, 실제 트랜잭션은 공격자 지갑으로 자금을 이동시키는 구조였다. 피해 규모는 약 15억 달러로 기록됐다.

Drift Protocol 사건은 장기 침투와 물리적 접촉, 온체인 조작이 결합된 사례다. 공격자는 약 6개월간 신뢰 관계를 구축한 뒤 관리자 권한, 거버넌스, 담보 구조를 악용해 약 2억8500만 달러 규모의 자산을 무단 인출했다. CertiK은 이 사건이 순수 기술 중심의 보안 모델만으로 대응하기 어려운 새로운 유형의 위협을 보여준다고 평가했다.

코드보다 사람 노린다…IT 인력 침투와 자금 세탁도 위협

북한 연계 조직의 핵심 공격 벡터는 코드 자체보다 사람과 조직의 신뢰 구조다. CertiK은 “지난 10여 년간 북한이 실제로 침해한 것은 대부분 기술이 아니라 사람”이라고 분석했다. 주요 방식은 가짜 벤처캐피털 사칭, 허위 채용 제안, 악성 코드 저장소 제공, 가짜 화상회의 도구 배포, 악성 npm·PyPI 패키지 활용 등이다.

북한 IT 인력의 위장 취업도 주요 위협으로 꼽힌다. 수천 명의 북한 IT 인력이 허위 신원을 사용해 서방 기업의 원격 근무 직무에 침투하고 있으며, 이들은 겉으로는 정상 직원처럼 활동하지만 내부 정보 수집이나 자금 탈취를 지원할 수 있다. 이들이 벌어들이는 급여 수익 자체도 북한의 대량살상무기(WMD·Weapons of Mass Destruction) 프로그램 자금으로 쓰이는 것으로 평가된다.

자금 세탁 인프라도 고도화하고 있다. Bybit 공격 이후 단 한 달 만에 탈취된 이더리움의 86.29%가 비트코인으로 전환됐다. 이 과정에는 믹싱 서비스, 크로스체인 브리지, 탈중앙화거래소(DEX), 장외거래(OTC) 브로커가 결합된 복합 네트워크가 활용됐다. 가상자산 탈취 수익은 북한의 핵무기와 탄도미사일 개발 프로그램 자금으로 연결된다.

AI 사회공학·개발 환경 공격 확대 전망…제로 트러스트 대응 필요

향후 북한의 가상자산 공격은 더 확대될 가능성이 높다. 주요 위협으로는 AI 기반 딥페이크와 생성형 인물 계정을 활용한 사회공학 공격, 북한 IT 인력의 AI·국방·엔터프라이즈 SaaS 분야 침투, 프라이버시 코인 모네로와 신규 크로스체인 프로토콜을 활용한 자금 세탁, VSCode·Cursor 등 개발자 통합개발환경(IDE)을 겨냥한 공격 등이 제시됐다.

대응 방안으로는 엄격한 신원 검증, 지원자와 외부 인력을 처음부터 신뢰하지 않고 검증 전까지 민감 자산 접근을 제한하는 제로 트러스트 기반 채용 정책, 원격 프리랜서와 외부 인력의 운영 코드·프라이빗 키 접근 제한, 출금 지연과 서킷브레이커 도입, 관리자·거버넌스 작업에 대한 타임락 적용 등이 권고됐다.