“67억달러 탈취, 이제는 산업” …서틱 리서치, 북한 해킹조직의 가상자산 전쟁 경고

북한 연계 해킹 조직이 가상자산 생태계에서 ‘산업화된 탈취 구조’를 구축하며 국가 차원의 핵심 수익원을 확대하고 있다는 경고가 나왔다. 서틱 리서치(CertiK Research)는 최근 보고서를 통해 2016년부터 2026년 초까지 북한 연계 조직이 확인된 263건의 사건으로 약 67억5000만 달러를 탈취한 것으로 추정된다고 분석했다. 특히 2025년 전체 보안 사고 656건 가운데 북한 연계 공격은 79건에 그쳤지만 손실액은 20억6000만 달러로 전체 피해의 약 60%를 차지했다. 공격 횟수보다 ‘정밀한 표적 선정’과 ‘고액 자산 집중 타격’이 더 위협적이라는 의미다.

이번 보고서는 북한의 가상자산 공격이 단순한 범죄가 아니라 제재 회피와 대량살상무기 개발 자금 확보를 위한 전략적 사이버 작전으로 진화했다고 진단했다. 국제 제재로 외화 수급이 어려워진 이후, 북한은 국경 제약 없이 이동 가능한 디지털 자산을 사실상 새로운 외화 조달 창구로 활용해 왔다는 설명이다. 보고서는 유엔과 미국 정보당국 평가를 인용해, 탈취된 가상자산 수익이 북한의 핵무기 및 탄도미사일 프로그램 자금과 직접 연결된다고 짚었다.

실제 피해 규모는 최근으로 갈수록 더 커지고 있다. 2026년 1월 이후 현재까지 가상자산 생태계에서는 185건의 보안 사고가 발생했고 손실 규모는 약 11억 달러로 집계됐다. 이 가운데 약 6억2090만 달러가 북한 연계 공격으로 분류돼 전체 손실의 55%를 차지했다. 대형 사건 수는 제한적이지만, 한 번의 침해가 시장 전체에 미치는 충격은 압도적이라는 뜻이다.

북한 해킹 조직의 특징은 코드 자체보다 ‘사람’을 우선 겨냥한다는 점이다. 보고서는 사회공학을 가장 지배적인 공격 벡터로 지목했다. 가짜 벤처캐피털 제안, 허위 채용 인터뷰, 악성 코드가 심어진 기술 과제, 위장된 화상회의 링크 등을 활용해 개발자와 임직원의 신뢰를 먼저 확보한 뒤 시스템 접근권을 탈취하는 방식이다. 스마트 컨트랙트 취약점 공략보다 인간의 심리와 업무 프로세스, 공급망 허점을 파고드는 사례가 훨씬 많았다는 평가다.

북한 연계 클러스터는 역할별로 세분화돼 있다. 벤처캐피털과 투자자를 사칭해 창업자와 고액 자산가를 노리는 ‘스퀴드스쿼드(SquidSquad)’, 대형 거래소와 인프라 기업의 기술 인력을 겨냥하는 ‘트레이더트레이터(TraderTraitor)’, 가짜 채용 인터뷰와 악성 저장소로 개발자를 감염시키는 ‘컨테이저스 인터뷰(Contagious Interview)’, 트로이목마화된 거래 애플리케이션을 유포하는 ‘애플제우스(AppleJeus)’ 등이 대표적이다. 여기에 허위 신원으로 서방 기업 원격근무 직군에 침투하는 북한 IT 인력까지 결합되며 위협 표면은 더 넓어지고 있다.

조직 규모도 만만치 않다. 보고서는 라자루스(Lazarus)를 평양 정찰총국 산하 복수의 사이버 공격 조직을 포괄하는 명칭으로 설명하면서, 공개 자료상 전체 인력을 약 7000명 수준으로 추정했다. 이들은 장시간 근무 체계와 엄격한 운영 규율 아래 활동하며, 초기 악성코드는 단순하고 소모 가능하게 설계하고 고가치 표적이라고 판단될 때만 고급 페이로드를 투입하는 방식으로 탐지 위험을 낮춘다.

공격 양상은 시간 흐름에 따라 뚜렷하게 진화했다. 초기에는 한국 정부기관과 금융기관을 겨냥한 DDoS 및 파괴형 공격이 주를 이뤘고, 이후 전통 금융 인프라를 노리는 단계로 이동했다. 2017년 이후에는 거래소 핫월렛 공격이 본격화됐고, 2020년대 들어서는 디파이(DeFi) 프로토콜과 크로스체인 브리지가 주요 표적으로 바뀌었다. 최근에는 제3자 솔루션을 우회하는 공급망 공격과 오프라인 접촉까지 결합한 물리적 침투 단계로 올라섰다. 이 같은 진화는 방어 체계가 강화될수록 공격자 역시 더 많은 시간과 비용, 정교한 위장술을 투입하고 있음을 보여준다.

대표 사례로는 2022년 로닌 브리지(Ronin Bridge) 사건이 꼽힌다. 당시 액시 인피니티를 지원하던 로닌 네트워크는 링크드인 리크루터로 위장한 공격에 노출됐고, 한 엔지니어가 악성 PDF를 내려받으면서 내부 인프라가 침해됐다. 공격자는 검증자 9개 중 5개 권한을 확보해 17만3600 이더리움(ETH)과 2550만 달러 상당의 USD코인(USDC)을 빼냈다. 탈취 규모는 약 6억2400만 달러로, 당시 기준 사상 최대 규모였다.

2025년 2월 발생한 바이비트(Bybit) 해킹은 공급망 공격의 위험을 극단적으로 드러낸 사건이다. 서틱 리서치(CertiK Research)에 따르면 공격자는 바이비트가 사용하던 세이프(Safe) 멀티시그 지갑 개발자 단말기를 먼저 침해한 뒤 AWS 세션 토큰을 탈취해 다중인증을 우회했다. 이후 정상적인 자금 이체처럼 보이도록 사용자 인터페이스를 조작했고, 서명자들은 평소와 다름없는 승인 절차라고 판단한 채 악성 트랜잭션에 서명했다. 결과적으로 14억 달러를 웃도는 자산이 유출되며 가상자산 업계 최대 규모의 해킹 사건으로 기록됐다.

2026년 4월 드리프트 프로토콜(Drift Protocol) 사건은 또 다른 변곡점이다. 솔라나(SOL) 기반 탈중앙화 거래소인 드리프트에서는 약 2억8500만 달러가 무단 인출됐다. 공격자는 단순히 키를 훔치는 데 그치지 않고, 낮은 유동성 토큰 시장을 인위적으로 조성해 가격을 부풀리고 허위 담보 기반을 만든 뒤, 프로토콜 출금 보호 장치를 비활성화했다. 여기에 사전 서명 체계와 거버넌스 권한 이전까지 결합하며 단 몇 분 만에 대규모 유동성을 빼냈다. 더 주목할 대목은, 핵심 기여자들과 장기간 오프라인 신뢰 관계를 쌓은 인물이 북한 국적자가 아닌 제3자 중개인이었다는 점이다. 위협이 기술 영역을 넘어 현실 공간으로 확장되고 있다는 신호다.

자금 세탁 체계 역시 고도화됐다. 보고서에 따르면 바이비트 공격 이후 한 달 만에 탈취된 이더리움(ETH)의 86.29%가 비트코인(BTC)으로 전환됐다. 이 과정에는 믹싱 서비스, 크로스체인 브리지, 탈중앙화 거래소, OTC 브로커, 더스트 분산 계정 등이 복합적으로 활용됐다. 단일 수법이 아니라 여러 체인을 오가며 거래 흔적을 잘게 쪼개는 방식이어서, 추적과 동결이 갈수록 어려워지고 있다.

특히 최근에는 퍼블릭 블록체인 자체를 명령·제어 인프라로 활용하는 ‘이더하이딩(EtherHiding)’ 방식까지 등장했다. 악성 페이로드를 스마트 컨트랙트 트랜잭션 데이터 내부에 숨겨 읽기 전용 호출로 가져오는 구조다. 중앙 서버를 마비시키는 전통적 대응이 통하지 않는다는 점에서 수사기관과 보안 업계 모두 새로운 과제에 직면하게 됐다.

시장 파장도 적지 않다. 보고서는 바이비트 해킹 직후 자금 세탁 과정에서 발생한 대규모 매도 압력으로 이더리움 가격이 약 4.2% 하락했다고 분석했다. 직접 피해를 본 거래소나 프로토콜뿐 아니라, 관련 디파이 플랫폼에 자산을 예치한 프로젝트와 투자자까지 연쇄 충격을 받는 구조다. 결국 보안 사고는 단일 기업의 손실을 넘어 시장 신뢰, 규제 비용, 유동성, 가격 안정성 전반을 흔드는 변수로 작용한다.

국제 공조도 강화되는 흐름이다. 미국·한국·일본이 참여한 다자간 제재 모니터링팀(MSMT), 북한 IT 인력 제재 확대, 스테이블코인 발행사의 동결 조치 강화, 동남아 그림자 금융 브로커 단속 등이 병행되고 있다. 다만 탈중앙화 서비스 일부가 자금 동결 협조를 거부하거나, 지정학적 갈등으로 수사 공조에 한계가 존재하는 만큼 대응 효과는 여전히 제한적이라는 지적도 나온다.

보고서는 방어 전략으로 엄격한 신원 검증, 제로 트러스트 채용 정책, 링크드인·디스코드 등 커뮤니케이션 채널에 대한 보안 교육, 출금 지연 및 서킷 브레이커, 타임락 기반 거버넌스, 에어갭 하드웨어 보안 모듈(HSM) 적용 등을 제시했다. 단순히 스마트 컨트랙트 감사만 강화해서는 부족하며, 인력 채용부터 운영 프로세스, 제3자 인프라, 오프라인 접촉까지 포함한 다층 방어가 필요하다는 주문이다.

향후 전망도 밝지 않다. 보고서는 2026년 이후 북한 해킹 조직이 AI 기반 사회공학, 북한 IT 인력의 산업 전반 침투, 새로운 크로스체인 자금 세탁 경로, VSCode 등 개발자 도구를 악용한 공격을 더욱 확대할 것으로 내다봤다. 결국 ‘북한 해킹’ 위협은 일회성 사건이 아니라, 가상자산 산업 전체가 구조적으로 감당해야 할 상시 리스크가 됐다는 진단이다. 서틱 리서치(CertiK Research)는 북한이 가상자산 탈취를 체제 유지에 필수적인 수익원으로 무기화한 이상, 보안 사고는 발생 여부가 아니라 ‘언제, 어떤 방식으로 터지느냐’의 문제라고 경고했다.