북한 IT 인력, 디파이·크립토에 7년 잠입 정황…라자루스 ‘가짜 이력’ 논란

2026년 4월 06일 22:44:35 | 김미래 기자

북한 IT 인력이 최소 7년 동안 크립토 기업과 디파이(DeFi) 프로젝트에 스며들었다는 보안 전문가의 경고가 나왔다. 메타마스크 개발자이자 보안 연구원인 테일러 모나한은 이들이 ‘디파이 여름’ 시기부터 이미 핵심 인프라를 구축해 왔다고 주장했다.

모나한은 일요일 “많은 DPRK IT 노동자들이 우리가 알고 사랑하는 프로토콜을 아주 초창기부터 만들었다”고 말했다. 그는 40개가 넘는 디파이 플랫폼에서 북한 IT 인력이 프로토콜 개발에 관여한 정황이 있다고 주장했다. 이력서에 적힌 ‘블록체인 개발 경력 7년’도 ‘거짓이 아니다’라고 덧붙였다.

배경에는 북한 정찰총국 산하 해킹 조직으로 알려진 라자루스 그룹이 있다. 분석가들은 이 조직이 2017년 이후 암호화폐 약 70억달러를 탈취한 것으로 추산한다. 라자루스는 2022년 로닌 브리지 해킹, 2024년 와지르엑스($WAZIRX) 해킹, 2025년 비트겟($BTC) 기반 대형 탈취 사건 등 업계 충격을 키운 공격들과도 연결돼 있다.

모나한의 발언은 드리프트 프로토콜이 최근 2억8000만달러 규모 해킹에 대해 북한 국가 배후 그룹이 개입했을 ‘중간 이상’의 확신이 있다고 밝힌 직후 나왔다. 드리프트는 사고 보고서에서 실제 접촉이 북한 국적자가 아니라 ‘제3자 중개인’을 통해 이뤄졌다고 설명했다. 이들은 고용 이력과 공개 경력, 인맥까지 갖춘 ‘완성형 신원’을 내세웠다.

현업에서의 유사 사례도 드러났다. 솔라나 기반 탈중앙화 거래소 애그리게이터 타이탄 익스체인지의 창업자 팀 아흘은 과거 채용 과정에서 라자루스 조직원으로 추정되는 인물을 면접했다고 밝혔다. 그는 영상 면접에서는 매우 유능했지만 대면 인터뷰를 거부했고, 이후 해당 이름이 라자루스 관련 정보 유출 자료에서 확인됐다고 말했다.

미국 재무부 해외자산통제국(OFAC)은 기업들이 제재 명단과 거래 상대를 대조하고, IT 인력 사기와 유사한 패턴을 점검할 수 있는 페이지를 운영하고 있다. 채용 과정 자체가 공격 경로가 될 수 있다는 점에서, 단순한 계정 해킹을 넘어 ‘인력 침투’가 새로운 위협으로 부상한 셈이다.

온체인 수사 전문가 잭엑스비티(ZachXBT)는 이런 수법이 생각보다 정교한 공격은 아니라고 짚었다. 그는 구인 공고, 링크드인, 이메일, 줌, 면접을 통한 접근은 “기본적인 수준”이라며, 문제는 집요함이라고 말했다. 이어 “2026년에도 여기에 속아 넘어간다면 매우 부주의한 것”이라고 지적했다.

북한 IT 인력과 라자루스 그룹의 침투 의혹은 디파이와 크립토 업계가 보안만큼이나 ‘사람 검증’에 취약하다는 점을 다시 드러낸다. 대형 해킹이 계속되는 상황에서, 채용과 협업 과정까지 공격 표면으로 보는 시각이 더 중요해지고 있다.

기사요약 by TokenPost.ai

🔎 시장 해석

북한 IT 인력이 최소 7년간 디파이 및 크립토 프로젝트에 침투해왔다는 의혹은 업계 신뢰 구조 자체를 흔드는 이슈다.

단순 해킹이 아닌 ‘인력 기반 침투’가 주요 공격 벡터로 부상하면서 채용 과정이 새로운 보안 리스크로 부각되고 있다.

라자루스 그룹의 지속적인 대형 해킹 연계는 국가 단위 조직의 장기 전략 가능성을 시사한다.

💡 전략 포인트

프로젝트 및 기업은 스마트컨트랙트 보안뿐 아니라 채용·협업 프로세스까지 보안 범위를 확장해야 한다.

OFAC 제재 리스트 확인, 신원 검증 강화, 다중 인증 인터뷰 절차 도입이 중요하다.

개발자 커뮤니티 및 DAO 역시 기여자 검증 시스템 마련이 필요하다.

📘 용어정리

라자루스 그룹: 북한 정찰총국 산하로 알려진 해킹 조직, 대형 암호화폐 탈취 사건과 연관됨.