북한 연계 해커, 디파이 기업에 장기 잠복…드리프트 해킹이 드러낸 ‘내부자’ 리스크

북한과 연계된 작업자들이 수년간 가상자산 기업과 디파이 프로젝트에 조용히 침투해 왔다는 경고가 나왔다. 최근 드리프트 프로토콜($DRIFT) 해킹까지 겹치며, 가상자산 업계의 ‘내부자’ 리스크가 구조적 보안 문제로 번지고 있다.

보안 연구자이자 메타마스크 개발자인 테일러 모나한은 최근 소셜미디어 X에 올린 글에서 북한 IT 인력이 디파이 초기부터 7년 가까이 40개가 넘는 프로젝트에 참여해 왔다고 밝혔다. 이들은 실제 블록체인 개발 경력을 쌓은 뒤 도용하거나 조작한 신원을 앞세워 정상 채용 절차를 통과하는 방식으로 팀에 합류한 것으로 전해졌다.

모나한의 폭로는 솔라나 기반 DEX 애그리게이터인 타이탄(Titan)의 빌더 ‘tim’이 과거 면접에서 최고 수준의 지원자를 만났지만, 나중에 라자루스(Lazarus) 소속 인물이었다고 밝힌 데 대한 답글 형식으로 나왔다. 온체인 추적자로 알려진 잭엑스비티(ZachXBT)도 이에 동조하며, 북한의 금융 사이버 범죄는 라자루스뿐 아니라 APT38, AppleJeus 등 여러 조직이 정찰총국 지휘 아래 움직이는 구조라고 지적했다.

미국 재무부 해외자산통제국(OFAC) 제재와 체이널리시스 분석도 이런 흐름을 뒷받침한다. 체이널리시스는 북한 IT 네트워크가 2024년 한 해에만 8억달러를 벌어들였고, 2017년 이후 탈취한 가상자산 규모는 수십억달러에 이른다고 봤다. 수익은 대량살상무기와 미사일 프로그램 자금으로 쓰인 것으로 추정된다.

드리프트 해킹, 공급망·사회공학 결합한 ‘내부자형’ 공격으로 드러나

이번 우려를 더 키운 사건은 지난 1일 발생한 드리프트 프로토콜의 2억8500만달러 규모 해킹이다. 드리프트는 주말에 공격 배후가 북한 해킹 조직이라는 추측이 맞았다고 인정했고, UNC4736이라는 북한 연계 국가 지원 해킹 그룹과 ‘중간 수준의 신뢰도’로 연관된다고 밝혔다.

드리프트에 따르면 공격자들은 가짜 직업 이력과 실재하는 것처럼 꾸민 신원, 오프라인 콘퍼런스 접촉까지 동원해 장기간 신뢰를 쌓았다. 이후 VS Code와 Cursor 설정 파일에 악성 작업을 심고, 개발자가 로컬에서 그대로 실행할 수밖에 없는 조작된 저장소를 전달하는 방식으로 최종 침투를 시도했다. 단순한 스마트컨트랙트 취약점보다 공급망 공격에 가까운 형태였다.

이틀 뒤 레저의 최고기술책임자 샤를 기예메는 이번 수법이 바이비트(Bybit)에서 발생한 14억달러 해킹과도 닮았다고 지적했다. 이후 블록체인 분석업체 엘립틱은 온체인 자금세탁 방식과 네트워크 지표가 과거 북한 연계 작전과 유사하다는 조사 결과를 내놨다.

가상자산 시장, ‘보안 비용’과 규제 압박 커질 가능성

이번 사안은 단순한 해킹 사건을 넘어 가상자산 산업 전반의 국가안보 리스크로 번지고 있다. 북한 IT 네트워크를 둘러싼 제재와 단속이 강화되는 흐름 속에서, 거래소와 디파이 프로젝트는 채용 검증부터 개발 환경 관리까지 더 엄격한 보안 체계를 요구받을 가능성이 크다.

시장 측면에서도 후폭풍이 남을 수 있다. 대형 프로젝트가 국가 연계 공격에 노출되면 보험료 상승, 상장 심사 강화, 거버넌스 분쟁, 보상 논의 장기화로 이어질 수 있다. 디파이 토큰과 파생상품 거래량에는 위험 회피 심리가 반복적으로 반영될 가능성이 있다.

한편 비트코인(BTC)은 보도 시점 기준 일간 차트에서 6만9000달러대 고점을 형성하고 있다. 북한 연계 해킹 이슈가 당장 가격 흐름을 뒤집는 재료는 아니지만, 가상자산 업계 전반에는 ‘보안이 곧 신뢰’라는 현실을 다시 각인시키는 계기가 되고 있다.

TP AI 유의사항

TokenPost.ai 기반 언어 모델을 사용하여 기사를 요약했습니다. 본문의 주요 내용이 제외되거나 사실과 다를 수 있습니다.