북한 해킹, 가상자산 겨냥한 ‘국가 단위’ 공격으로 고도화

글로벌 웹3 보안기업 서틱(CertiK)이 북한 연계 해킹 조직의 가상자산 공격이 ‘국가 단위’로 고도화됐다고 경고했다. 지난 10년간 탈취 규모만 약 10조원에 달하며, 최근에는 공급망과 내부자 위협까지 결합된 정교한 방식으로 진화하고 있다는 분석이다.

서틱은 13일 ‘스카이넷(Skynet) 북한 가상자산 위협 보고서’를 통해 2016년 이후 북한 연계 조직이 탈취한 디지털자산 규모가 총 67억5천만 달러(약 10조원)에 이른다고 밝혔다. 특히 2025년 한 해에만 20억6천만 달러를 빼돌리며 글로벌 가상자산 업계 전체 피해의 약 60%를 차지했다. 가상자산 시장 전반에서 북한 해킹 조직의 영향력이 빠르게 확대되고 있음을 보여주는 수치다.

단순 해킹 넘어 ‘공급망·내부자’ 결합

보고서는 북한 해킹 조직이 기존의 코드 취약점 공격을 넘어 ‘공급망 침투’와 ‘사회공학 기법’을 결합한 복합 공격으로 진화했다고 강조했다. 공격 건수는 많지 않지만, 유동성이 높은 프로젝트나 거래소를 정밀 타격하는 전략이 특징이다.

대표 사례로는 2022년 로닌(Ronin) 브리지 공격이 꼽힌다. 당시 공격자는 사회공학 기법으로 내부 신뢰를 확보한 뒤 시스템 접근 권한을 탈취했다. 2025년에는 바이비트(Bybit) 거래소를 겨냥해 세이프(Safe) 지갑 개발자 장비를 침해하고 사용자 인터페이스(UI)를 변조하는 ‘공급망 공격’을 실행했다.

2026년 드리프트(Drift) 프로토콜 공격에서는 더 진화된 방식이 확인됐다. 공격자는 오프라인 접촉을 통해 신뢰를 쌓은 뒤 오라클 조작과 거버넌스 권한 장악을 시도했다. 단순 기술 해킹을 넘어 사람과 조직을 동시에 공략하는 형태다.

‘EtherHiding’ 등 추적 회피 기술도 등장

외부 침투뿐 아니라 내부자 위협도 주요 리스크로 지목됐다. 보고서는 북한 IT 인력이 위조 신원을 활용해 해외 기업에 원격으로 취업한 뒤 내부 시스템 접근 권한을 확보하는 방식이 증가하고 있다고 설명했다.

또한 퍼블릭 블록체인을 명령·제어(C2) 인프라로 활용하는 ‘EtherHiding’ 기법도 등장했다. 이는 악성 코드를 숨기고 추적을 어렵게 만드는 수법으로, 기존 보안 체계를 우회할 수 있다는 점에서 위험성이 크다.

“제로트러스트·출금 지연 등 방어 체계 필요”

서틱은 대응 방안으로 제로트러스트 기반의 채용 및 인증 절차 강화, 사회공학 공격 대응 교육 확대, 멀티시그·클라우드 등 서드파티 공급망 보안 점검을 제시했다. 여기에 고액 출금 시 일정 시간을 두는 ‘출금 지연’과 타임락(time-lock) 같은 자금 보호 장치도 필수 요소로 꼽았다.

이번 보고서는 가상자산 산업이 단순 기술 경쟁을 넘어 ‘보안 역량’이 핵심 경쟁력으로 부상했음을 시사한다. 특히 국가 차원의 조직적 공격이 현실화된 만큼, 거래소와 프로젝트 모두 기존 보안 체계를 재점검해야 할 필요성이 커지고 있다.