북한 해킹, 드리프트 사건으로 드러난 코인 보안의 구조적 취약성

북한의 장기 침투 해킹이 드리프트 사건으로 드러나면서, 암호화폐 업계의 보안 취약성이 다시 도마 위에 올랐다. 단순한 해킹을 넘어 ‘국가 수익 모델’로 자리 잡았다는 점에서 시장의 긴장감이 커지고 있다.

북한, 왜 계속 암호화폐를 노리나

보안 전문가들은 북한이 암호화폐를 반복적으로 공격하는 이유를 ‘생존 자금 확보’로 본다. 국제 제재로 인해 외화 수입이 막힌 상황에서, 암호화폐 해킹이 핵·미사일 개발 자금의 핵심 공급원이 되고 있다는 것이다.

SVRN의 최고운영책임자 데이브 슈웨드는 “북한은 시간을 들여 정상적인 경제 활동을 할 여유가 없다”며 “즉각적인 현금화가 가능한 자산이 필요하다”고 설명했다. 실제로 유엔과 주요 정보기관들도 암호화폐 탈취가 주요 자금 조달 수단이라고 지적해 왔다.

러시아·이란과 완전히 다른 전략

북한의 접근 방식은 다른 국가들과 뚜렷하게 구별된다. 러시아나 이란이 제재 회피를 위해 암호화폐를 ‘결제 수단’으로 활용한다면, 북한은 암호화폐 자체를 ‘목표’로 삼는다.

러시아는 여전히 석유·가스 등 수출 기반 경제를 유지하고 있고, 이란 역시 중동 내 네트워크를 통해 자금을 움직일 수 있다. 반면 북한은 사실상 수출 기반이 붕괴된 상태다.

결국 북한은 거래 상대 없이도 직접 자금을 확보할 수 있는 방식, 즉 대규모 해킹에 집중하게 됐다는 분석이다.

‘국가형 해킹 조직’으로 진화

이 같은 구조적 한계는 북한 해커들의 전략에도 그대로 반영된다. 단순 공격이 아닌 ‘정보기관 수준’의 장기 침투가 특징이다.

ENS랩스의 알렉산더 우르벨리스는 “북한은 거래소, 지갑 서비스, 디파이(DeFi)뿐 아니라 접근 권한을 가진 개발자 개인까지 겨냥한다”며 “핵심은 ‘키를 가진 사람’을 노리는 것”이라고 말했다.

실제로 드리프트 사건에서도 수개월에 걸쳐 신뢰 관계를 구축한 뒤 내부 접근 권한을 탈취하는 방식이 사용됐다.

암호화폐 구조 자체가 ‘취약점’

암호화폐의 기술 구조 역시 공격을 부추기는 요인으로 지목된다. 전통 금융에서는 이상 거래 탐지, 지급 정지, 송금 취소 등 여러 방어 장치가 존재하지만 블록체인에서는 거래가 확정되면 되돌릴 수 없다.

우르벨리스는 “서명이 완료되고 블록에 기록되면 거래는 끝”이라며 “사후 대응이 거의 불가능하다”고 설명했다.

실제 지난해 발생한 바이빗 해킹은 약 15억 달러(약 2조2,282억 원)가 30분 만에 이동하며 전통 금융에서는 보기 어려운 속도를 보여줬다.

보안보다 성장 우선…남은 과제

문제는 많은 프로젝트들이 여전히 보안 체계를 충분히 갖추지 못했다는 점이다. 빠른 성장과 혁신을 우선하면서 내부 통제와 검증 시스템이 뒤따르지 못하고 있다는 지적이다.

우르벨리스는 “정교하게 위조된 신원과 공급망 공격을 걸러내는 문제는 업계가 아직 해결하지 못했다”며 “현재 암호화폐 산업에서 가장 어려운 보안 과제”라고 말했다.

북한의 해킹은 단순 범죄를 넘어 ‘국가 전략’으로 진화하고 있다. 암호화폐 시장이 성숙 단계로 나아가기 위해서는 기술 혁신뿐 아니라 보안 체계의 근본적인 재정비가 불가피하다는 평가가 나온다.