자크엑스비티, 북한 연계 크립토 결제 서버 포착…390개 이상 계정·송금 기록 공개

북한 연계 해킹 조직의 암호화폐 침투 정황이 또 한 번 드러났다. 온체인 탐정으로 알려진 자크엑스비티(ZachXBT)가 내부 결제 서버와 채팅 기록, 거래 내역이 담긴 방대한 데이터를 공개하면서다.

북한 정권과 연결된 것으로 추정되는 IT 인력과 해커들이 여러 디파이 프로젝트와 결제망에 깊숙이 들어와 있다는 점도 다시 부각됐다.

자크엑스비티는 사회관계망서비스 X에 올린 글에서 북한 연계 내부 결제 서버와 390개 이상 계정, 대화 로그, 송금 기록을 확보했다고 밝혔다. 이번 데이터는 익명의 제보자가 전달했으며, 감염된 기기에서 정보 탈취형 악성코드가 작동하면서 유출된 것으로 알려졌다. 악성코드는 IP 메시지 대화, 가짜 신원, 브라우저 활동 정보까지 노출한 것으로 전해졌다.

기본 비밀번호는 ‘123456’…북한 인력 결제망 실체 드러나

자크엑스비티가 공개한 웹사이트는 luckyguys.site로, 내부 정산과 송금을 관리하는 일종의 결제 허브처럼 운영된 정황이 포착됐다. 기본 로그인 비밀번호가 ‘123456’으로 설정돼 있었고, 데이터 추출 시점에도 10개 계정이 같은 비밀번호를 그대로 쓰고 있었다.

계정 명단에는 역할, 한국식 이름, 위치, 내부 그룹 코드가 포함돼 있었고, 이미 미국 재무부 해외자산통제국(OFAC) 제재 대상인 소백수, 새날, 송광 관련 정보도 확인됐다. 특히 ‘Rascal’이라는 계정과 서버 관리자 계정 ‘PC-1234’ 사이의 직접 메시지에는 2025년 12월부터 2026년 4월까지 지급 내역과 가짜 신원 사용 정황이 담겼다. 모든 지급은 PC-1234를 거쳐 최종 처리된 것으로 나타났다.

3.5백만달러 이상 흐름 추적…중국 은행 계좌와 핀테크도 활용

자크엑스비티는 2025년 11월 말 이후 이 결제 지갑으로 350만달러 이상이 흘러 들어갔다고 설명했다. 자금은 거래소나 서비스에서 직접 암호화폐로 유입되거나, 중국 은행 계좌를 거쳐 법정화폐로 바뀌는 방식이 반복됐다. 이 과정에서 페이오니어 같은 플랫폼도 활용된 것으로 보인다.

이후 PC-1234가 입금 사실을 확인하고, 사용자별로 다른 암호화폐 거래소 계정이나 핀테크 앱 로그인 정보를 넘겨주는 구조였다. 자크엑스비티는 내부 지갑을 따라가면서 이미 북한 IT 인력 클러스터로 분류된 지갑들과의 연결고리도 확인했다고 밝혔다. 트론(TRX) 기반 지갑 하나는 2025년 12월 테더(Tether)에 의해 동결됐다.

또 다른 단서도 나왔다. 감염된 기기의 소유자로 보이는 ‘Jerry’는 아스트릴 VPN을 쓰고 있었고, 여러 가짜 신원으로 일자리를 지원한 정황이 남아 있었다. 내부 슬랙 공간에서는 북한 IT 인력 관련 딥페이크 지원자 사례를 공유한 뒤 “우리 이야기냐”는 반응이 오가기도 했다.

북한 해킹 조직, 크립토 산업 전반에 규제 압박 키울 가능성

자크엑스비티는 이번 집단이 애플제우스나 트레이더트레이터처럼 정교한 조직에 비하면 덜 세련됐지만, 북한 IT 인력이 매달 수백만달러를 벌어들이는 흐름은 이번 자료로도 재확인됐다고 평가했다. 그는 공개 이후 내부 결제 포털이 오프라인으로 내려갔지만, 관련 데이터는 이미 모두 보관했다고 밝혔다.

이번 사례는 암호화폐가 제재 회피와 그림자 금융의 통로로 활용될 수 있다는 점을 다시 보여준다. 업계에서는 중앙화 거래소(CEX)와 장외거래(OTC) 데스크의 준수 비용이 높아지고, 제재 지역을 겨냥한 스테이블코인 흐름에 더 큰 마찰이 생길 수 있다는 관측이 나온다. 북한 연계 크립토 해킹 사안이 국경 간 자금 이동과 프라이버시 도구에 대한 규제 강화로 이어질지 주목된다.

기사요약 by TokenPost.ai

🔎 시장 해석

북한 연계 IT 인력과 해킹 조직이 암호화폐 생태계 내부까지 침투해 실제 결제망과 자금 흐름을 운영해온 정황이 확인됐다. 내부 서버, 계정, 거래 기록이 대량 공개되면서 크립토가 제재 회피 수단으로 활용되는 구조가 다시 드러났으며, 시장 전반에 규제 압박이 강화될 가능성이 커졌다.

💡 전략 포인트

- 중앙화 거래소(CEX)와 OTC 데스크의 KYC·AML 규제 강화 가능성 대비 필요

- 스테이블코인 및 크로스보더 자금 흐름 관련 리스크 점검

- 디파이 프로젝트는 내부 인력 검증 및 보안 체계 강화 필수

- 의심 지갑 및 해킹 연계 트랜잭션 모니터링 중요성 확대

📘 용어정리

- 디파이(DeFi): 중개자 없이 금융 서비스를 제공하는 블록체인 기반 시스템

- OFAC: 미국 재무부 산하 기관으로 제재 대상 개인·기관을 지정

- 스테이블코인: 달러 등 법정화폐에 가치가 연동된 암호화폐

- OTC 거래: 거래소 외에서 직접 이루어지는 대규모 암호화폐 거래

💡 자주 묻는 질문 (FAQ)

Q.

북한은 어떻게 암호화폐로 수익을 내고 있나요?

북한 연계 IT 인력들이 해외 기업이나 디파이 프로젝트에 취업한 것처럼 위장해 암호화폐로 급여를 받고, 일부는 해킹이나 내부 정보 탈취를 통해 추가 수익을 확보합니다. 이후 이를 중국 계좌나 핀테크 서비스를 통해 현금화하는 구조를 사용합니다.

Q.

이번 사건에서 가장 중요한 발견은 무엇인가요?

내부 결제 서버(luckyguys.site)와 390개 이상의 계정, 그리고 실제 송금 기록이 확인된 점입니다. 특히 350만 달러 이상의 자금 흐름과 가짜 신원 사용, 통합 관리 계정(PC-1234)을 통한 지급 구조가 드러나 조직적인 운영 방식이 입증됐습니다.

Q.

이 사건이 암호화폐 시장에 어떤 영향을 줄까요?

제재 회피 사례가 다시 확인되면서 글로벌 규제 강화 가능성이 커졌습니다. 거래소의 신원 인증 요구가 강화되고, 스테이블코인과 국제 송금에 대한 감시도 확대될 수 있어 사용자와 기업 모두 규제 리스크를 더 크게 고려해야 할 것으로 보입니다.

TP AI 유의사항

TokenPost.ai 기반 언어 모델을 사용하여 기사를 요약했습니다. 본문의 주요 내용이 제외되거나 사실과 다를 수 있습니다.