리플, 북한 해커 정보 공유 나서…보안 전선 ‘코드’서 ‘사람’으로

북한 해킹 수법이 ‘코드’에서 ‘사람’으로 이동하면서, 리플이 내부 위협 정보를 업계와 공유하는 새로운 대응에 나섰다. 보안의 초점이 기술에서 인적 침투로 바뀌고 있다는 점에서 시장의 경계가 커지고 있다.

리플은 5일(현지시간) 자사 보안팀이 확보한 북한 해커 관련 내부 정보를 크립토 업계와 공유하기 시작했다고 밝혔다. 이번 조치는 크립토 보안 정보 공유 단체인 크립토 ISAC과 협력해 이뤄졌으며, 최근 일련의 공격 방식 변화에 대응하기 위한 목적이다.

‘해킹 아닌 침투’…드리프트 사건이 바꾼 인식

최근 발생한 드리프트 공격은 기존의 해킹과는 결이 달랐다. 취약한 스마트컨트랙트를 공략한 것이 아니라, 북한 조직이 수개월에 걸쳐 내부 관계자들과 신뢰를 쌓은 뒤 악성코드를 심는 방식이었다. 이후 지갑 접근 권한을 탈취해 약 2억8500만달러(약 4200억원 상당)를 빼냈다.

이 과정에서 기존 보안 시스템은 아무런 이상 신호를 감지하지 못했다. 외부 침입이 아닌 ‘내부 사용자’로 위장한 공격이었기 때문이다.

2022년부터 2024년까지 이어진 디파이(DeFi) 해킹은 주로 코드 취약점을 이용한 공격이 중심이었다. 하지만 보안 수준이 높아지면서 공격 방식은 점차 사람을 겨냥하는 방향으로 바뀌고 있다.

가짜 지원자 위장…기업 내부로 들어오는 해커들

최근 북한 해킹 조직은 크립토 기업 채용 과정에 침투하는 방식까지 활용하고 있다. 정상적인 지원자로 위장해 면접을 통과하고, 화상회의를 통해 관계를 형성한 뒤 내부 접근 권한을 확보한다.

리플은 이러한 공격 패턴을 식별할 수 있도록 다양한 데이터를 크립토 ISAC에 제공하고 있다. 여기에는 링크드인 프로필, 이메일, 위치, 전화번호 등 공격자 식별에 활용할 수 있는 정보가 포함된다.

리플은 “크립토 보안에서 가장 강력한 방어는 ‘공유’”라며 “하나의 기업에서 탈락한 위협 인물이 같은 주에 다른 기업에 지원하는 일이 반복된다. 정보 공유가 없다면 각 기업은 매번 처음부터 대응해야 한다”고 강조했다.

라자루스 그룹 영향 확대…법적 분쟁으로 번져

북한 해킹 조직 ‘라자루스 그룹’의 영향력은 보안 영역을 넘어 법적 분쟁으로도 확산되고 있다.

최근 한 변호사는 아비트럼(ARB) DAO를 상대로 자금 동결 요청을 제기했다. 4월 발생한 켈프 브리지 공격 이후 동결된 3만765 ETH(약 555억원 상당)가 북한 관련 자산이라는 주장이다.

이에 대해 에이브(AAVE)는 “도둑이 훔친 자산으로 법적 소유권을 확보할 수 없다”며 반박하고 나섰다.

켈프 사건에서는 약 2억9200만달러(약 4310억원)가 탈취됐으며, 이 역시 라자루스 그룹의 소행으로 지목됐다. 드리프트 사건과 합치면 단 한 달 만에 5억달러(약 7400억원)를 넘는 피해가 발생한 셈이다.

보안 패러다임 전환…‘정보 공유’가 해법 될까

크립토 업계는 이제 기술 중심 방어에서 인적 리스크 관리로 시선을 옮기고 있다. 하지만 정보 공유가 실제로 공격을 억제할 수 있을지는 아직 불확실하다.

이미 동일한 조직이 또 다른 기업 채용 과정에 침투했을 가능성도 배제할 수 없기 때문이다.

이번 리플의 결정은 업계 차원의 공동 대응 필요성을 드러낸 사례로 평가된다. 다만 공격 방식이 계속 진화하는 만큼, 보안 전략 역시 더욱 유연한 접근이 요구되고 있다.

---

기사요약 by TokenPost.ai
🔎 시장 해석
북한 해킹 전략이 코드 취약점 공략에서 내부 인적 침투로 전환되면서 보안 패러다임이 변화하고 있다.
리플의 정보 공유는 개별 기업 대응에서 업계 공동 방어 체제로 이동하는 신호로 해석된다.
라자루스 그룹의 활동 확대는 단순 해킹을 넘어 법적 분쟁과 자산 동결 이슈까지 연결되며 시장 리스크를 키우고 있다.

💡 전략 포인트
채용·내부 접근 관리 강화가 가장 중요한 보안 요소로 부상하고 있다.
의심 계정, 지원자 데이터, 커뮤니케이션 패턴을 공유하는 ‘집단 방어’ 전략 필요성이 커지고 있다.
기술 보안뿐 아니라 내부자 위협 탐지 시스템 및 신원 검증 프로세스 투자가 요구된다.

📘 용어정리
라자루스 그룹: 북한 정찰총국과 연계된 것으로 알려진 대표 해킹 조직
Crypto ISAC: 암호화폐 업계 내 보안 정보를 공유하는 협의체
사회공학 공격: 기술이 아닌 사람의 신뢰를 이용해 정보를 탈취하는 해킹 방식
디파이(DeFi): 중앙기관 없이 금융 서비스를 제공하는 블록체인 기반 시스템

💡 자주 묻는 질문 (FAQ)

Q. 리플이 해커 정보를 공유하는 이유는 무엇인가요? 리플은 동일한 해커가 여러 기업에 반복적으로 침투하는 것을 막기 위해 관련 데이터를 업계와 공유하고 있습니다. 정보 공유를 통해 각 기업이 동일한 위협을 사전에 식별하고 대응할 수 있도록 돕는 것이 핵심 목적입니다. Q. 최근 해킹 방식이 어떻게 달라졌나요? 과거에는 스마트컨트랙트 같은 코드 취약점을 노렸지만, 최근에는 채용 지원자나 내부 관계자로 위장해 신뢰를 쌓은 뒤 공격하는 방식이 늘고 있습니다. 이런 방식은 기존 보안 시스템으로 탐지하기 어렵다는 특징이 있습니다. Q. 정보 공유만으로 해킹을 막을 수 있나요? 정보 공유는 위협을 빠르게 인지하는 데 도움이 되지만, 완전한 해결책은 아닙니다. 내부 보안 절차 강화, 신원 검증, 접근 권한 관리 등과 함께 병행해야 실질적인 방어 효과를 기대할 수 있습니다. TP AI 유의사항 TokenPost.ai 기반 언어 모델을 사용하여 기사를 요약했습니다. 본문의 주요 내용이 제외되거나 사실과 다를 수 있습니다.