이더리움 생태계에 북한 인력 100명 침투…웹3 보안 위협, 내부로 옮겨갔다

이더리움(ETH) 생태계에서 북한 연계 인력의 ‘내부 침투’가 확인되며 웹3 보안 위협 양상이 근본적으로 바뀌고 있다. 약 100명의 북한 IT 인력이 위조 신분으로 프로젝트 내부에 잠입한 사실이 드러나며 단순 해킹을 넘어선 구조적 위험이 부각됐다.

“100명 침투” 확인…6개월 추적 끝에 드러난 내부 위협

이더리움 재단의 보안 프로그램 ‘ETH 레인저스(ETH Rangers)’ 산하 케트만 프로젝트(Ketman Project)는 6개월간 조사 끝에 웹3 기업 내부에 침투한 북한 IT 인력 약 100명을 식별했다고 밝혔다.

이번 조사는 단순 취약점 분석을 넘어, 채용 과정과 개발 활동 전반을 추적한 ‘정보 분석’ 성격에 가깝다. 조사팀은 위장 신원, 비정상적인 경력 패턴, 시간대 은폐 정황, 특정 결제 경로, 반복되는 기술적 흔적 등을 종합적으로 분석해 북한 연계 인력을 가려냈다.

이는 깃허브 활동, 채용 플랫폼, 내부 협업 과정까지 장기간 추적해야 가능한 작업으로 기존 보안 감사보다 훨씬 깊은 수준의 접근이다.

해킹에서 ‘취업’으로…북한 крипто 전략 변화

이번 사례는 북한의 크립토 공격 방식이 변화했음을 보여준다. 과거에는 거래소 해킹이나 원격 공격이 중심이었다면, 최근에는 정상 직원으로 위장해 프로젝트 내부에 장기간 머무는 방식이 주류로 떠오르고 있다.

이들은 급여를 통한 외화 확보뿐 아니라 코드베이스 접근, 내부 정보 수집, 향후 공격을 위한 사전 포지셔닝 등의 역할을 수행한다.

실제 사례도 확인됐다. 한 암호화폐 거래소는 북한 IT 인력이 경영진 수준까지 침투한 사실을 파악하고 출금 경고를 발령한 바 있다.

2025년 피해 20억 달러…디파이 공격 확대

북한 연계 크립토 범죄 규모도 빠르게 증가하고 있다. 2025년 한 해 동안 탈취된 자금은 약 20억2000만 달러(약 2조9600억 원)로 전년 대비 51% 증가했다. 누적 피해액은 67억5000만 달러를 넘어섰다.

2026년 4월 1일에는 디파이 프로젝트 드리프트 프로토콜(Drift Protocol)에서 약 2억8500만 달러 규모 해킹이 발생하며 올해 최대 사건으로 기록됐다. 이 공격 역시 북한 연계 조직의 소행으로 추정된다.

ETH 레인저스 성과…보안 생태계 확장

ETH 레인저스 프로그램은 17명의 독립 보안 연구자를 지원해 약 580만 달러(약 85억 원) 상당의 자금을 동결하거나 회수했고, 785건 이상의 취약점을 추적했다. 또한 36건의 보안 사고 대응과 80회 이상의 교육 프로그램을 진행했다.

특히 깃허브 의심 계정 탐지 도구, 디파이 사고 분석 플랫폼 등 오픈소스 보안 도구가 공개되며 실제 탐지 능력 강화에 기여했다. 이러한 도구는 북한 개발자의 위장 활동을 식별하는 데 핵심 역할을 한 것으로 분석된다.

“즉각 피해보다 구조적 리스크”…규제 강화 신호

‘100명의 침투’가 의미하는 것은 단순한 해킹 실행 인력이 아니라는 점이다. 이들은 장기적으로 시스템 내부에 자리 잡아 미래 공격을 준비하는 ‘잠재 위협’이다.

단기적인 금전 피해보다 더 큰 문제는 생태계 전반의 신뢰와 구조적 안전성이다. 이에 따라 향후 디파이 및 웹3 기업의 채용 검증과 신원 확인에 대한 규제와 감시는 더욱 강화될 가능성이 크다.

💡 자주 묻는 질문 (FAQ)