북한 IT 인력이 구글 독스·업워크 통해 암호화폐 산업 잠입
북한 소속 해커들이 구글 독스와 업워크(Upwork), 링크트인(LinkedIn)과 같은 일반적인 업무 플랫폼을 활용해 전 세계 암호화폐 개발 시장에 대규모로 잠입하고 있는 사실이 드러났다. 익명의 제보자가 북한 IT 인력의 기기를 해킹해 확보한 자료에 따르면, 이들은 5명으로 구성된 소규모 팀이지만 30개 이상의 가짜 신원을 구축하고 활동 중이다. 해당 조사 결과는 유명 블록체인 분석가인 잭엑스비티(ZachXBT)가 공개했다.
조사에 따르면 북한 해커들은 정부가 발행한 신분증, VPN, AI 소프트웨어, 컴퓨터 장비를 구매해 각종 플랫폼에 등록하고 개발자 자리를 확보했다. 이들이 사용한 구글 드라이브, 크롬 프로필, 스크린샷 등의 자료에서는 구글 제품이 일정 관리, 업무 분담, 예산편성의 핵심 도구로 활용됐으며, 영어로 주로 소통했던 것으로 드러났다.
특히 눈에 띄는 점은 이 조직이 작성한 2025년 스프레드시트로, 팀원 간 주간 업무 보고서와 회계 자료가 포함돼 있다. 해당 문서에는 “업무가 이해되지 않는다”는 식의 솔직한 평가와 함께 “충실히 하자”는 자기 개선 메모도 포함돼 이들이 업무 적응을 위해 노력하고 있었음을 보여준다.
또 다른 파일에는 신분 도용을 통한 사회보장번호, 업워크·링크트인 계정, 가상전화번호, AI 서비스, 컴퓨터 임대, VPN 등을 구매한 내역이 기록돼 있었다. ‘헨리 장(Henry Zhang)’이라는 가명을 포함한 면접용 스크립트와 회의 일정표도 찾아졌다.
이들이 업무를 수행할 때는 컴퓨터를 구매하거나 임대한 후, 원격 접속 툴 애니데스크(AnyDesk)를 사용해 해외에서 근무하는 것처럼 위장했다. 지급받은 현금 보수는 파이오니어(Payoneer)를 통해 암호화폐로 전환했으며, 이와 연결된 지갑 주소 중 하나인 ‘0x78e1’은 2025년 6월 암호화폐 프로젝트 ‘Favrr’를 겨냥한 68만 달러(약 9억 4,520만 원) 규모의 해킹 사건과 연루돼 있는 것으로 알려졌다. Favrr의 최고기술책임자(CTO)를 포함해 다수 개발자들이 북한 출신 해커로 밝혀졌다.
북한 출신의 흔적은 이들이 자주 구글 번역을 통해 한국어 키워드를 러시아 IP 주소로 검색한 점에서도 발견된다. ZachXBT는 “이들이 기술적으로 매우 정교하진 않지만, 전 세계를 대상으로 수많은 자리에 지원하는 끈질김으로 전략적 위협을 가하고 있다”고 평가했다. 민간 기업들과 서비스 간 공조 부족, 그리고 내부자들이 문제를 제보해도 이를 외면하려는 태도는 이들을 추적하는 데 추가적인 장벽이 되고 있다.
한편, 북한의 해킹 조직인 라자루스 그룹(Lazarus Group)은 암호화폐 산업의 기반을 흔드는 심각한 위협으로 여전히 활약하고 있다. 2025년 2월 이들은 두바이 기반 거래소 바이빗(Bybit)에서 약 15억 달러(약 2조 850억 원)를 탈취하며 역대 최대 규모의 암호화폐 해킹을 일으켰다. 이 사건은 세이프월렛(Safe{Wallet})의 보안 취약점을 이용해 다중서명 검증을 무력화했으며, 미국 FBI는 해당 공격을 북한에 의한 ‘트레이더트레이터(TraderTraitor)’ 공격으로 규정했다.
이후 7월에는 인도 암호화폐 거래소인 코인DCX(CoinDCX)에서도 4,400만 달러(약 611억 6,000만 원) 규모의 해킹이 발생했으며, 역시 라자루스 그룹과 연계돼 있음이 밝혀졌다. 이들은 코인DCX 내부의 유출된 자격 증명을 악용해 유동성 인프라에 접근해 범행을 실행한 것으로 전해졌다.
북한의 암호화폐 침투 시도는 단순한 사이버 범죄를 넘어, 글로벌 블록체인 생태계의 신뢰 기반을 흔드는 위협적인 요소로 떠오르고 있다. 전 세계 암호화폐 기업과 개발자 커뮤니티는 위장된 북한 인력의 침투에 보다 면밀하고 집요한 대응이 필요하다.