리플, 북한 해커 정보 공유 나서…보안 전선 ‘코드’서 ‘사람’으로

북한 해킹 수법이 ‘코드’에서 ‘사람’으로 이동하면서, 리플이 내부 위협 정보를 업계와 공유하는 새로운 대응에 나섰다. 보안의 초점이 기술에서 인적 침투로 바뀌고 있다는 점에서 시장의 경계가 커지고 있다.

리플은 5일(현지시간) 자사 보안팀이 확보한 북한 해커 관련 내부 정보를 크립토 업계와 공유하기 시작했다고 밝혔다. 이번 조치는 크립토 보안 정보 공유 단체인 크립토 ISAC과 협력해 이뤄졌으며, 최근 일련의 공격 방식 변화에 대응하기 위한 목적이다.

‘해킹 아닌 침투’…드리프트 사건이 바꾼 인식

최근 발생한 드리프트 공격은 기존의 해킹과는 결이 달랐다. 취약한 스마트컨트랙트를 공략한 것이 아니라, 북한 조직이 수개월에 걸쳐 내부 관계자들과 신뢰를 쌓은 뒤 악성코드를 심는 방식이었다. 이후 지갑 접근 권한을 탈취해 약 2억8500만달러(약 4200억원 상당)를 빼냈다.

이 과정에서 기존 보안 시스템은 아무런 이상 신호를 감지하지 못했다. 외부 침입이 아닌 ‘내부 사용자’로 위장한 공격이었기 때문이다.

2022년부터 2024년까지 이어진 디파이(DeFi) 해킹은 주로 코드 취약점을 이용한 공격이 중심이었다. 하지만 보안 수준이 높아지면서 공격 방식은 점차 사람을 겨냥하는 방향으로 바뀌고 있다.

가짜 지원자 위장…기업 내부로 들어오는 해커들

최근 북한 해킹 조직은 크립토 기업 채용 과정에 침투하는 방식까지 활용하고 있다. 정상적인 지원자로 위장해 면접을 통과하고, 화상회의를 통해 관계를 형성한 뒤 내부 접근 권한을 확보한다.

리플은 이러한 공격 패턴을 식별할 수 있도록 다양한 데이터를 크립토 ISAC에 제공하고 있다. 여기에는 링크드인 프로필, 이메일, 위치, 전화번호 등 공격자 식별에 활용할 수 있는 정보가 포함된다.

리플은 “크립토 보안에서 가장 강력한 방어는 ‘공유’”라며 “하나의 기업에서 탈락한 위협 인물이 같은 주에 다른 기업에 지원하는 일이 반복된다. 정보 공유가 없다면 각 기업은 매번 처음부터 대응해야 한다”고 강조했다.

라자루스 그룹 영향 확대…법적 분쟁으로 번져

북한 해킹 조직 ‘라자루스 그룹’의 영향력은 보안 영역을 넘어 법적 분쟁으로도 확산되고 있다.

최근 한 변호사는 아비트럼(ARB) DAO를 상대로 자금 동결 요청을 제기했다. 4월 발생한 켈프 브리지 공격 이후 동결된 3만765 ETH(약 555억원 상당)가 북한 관련 자산이라는 주장이다.

이에 대해 에이브(AAVE)는 “도둑이 훔친 자산으로 법적 소유권을 확보할 수 없다”며 반박하고 나섰다.

켈프 사건에서는 약 2억9200만달러(약 4310억원)가 탈취됐으며, 이 역시 라자루스 그룹의 소행으로 지목됐다. 드리프트 사건과 합치면 단 한 달 만에 5억달러(약 7400억원)를 넘는 피해가 발생한 셈이다.

보안 패러다임 전환…‘정보 공유’가 해법 될까

크립토 업계는 이제 기술 중심 방어에서 인적 리스크 관리로 시선을 옮기고 있다. 하지만 정보 공유가 실제로 공격을 억제할 수 있을지는 아직 불확실하다.

이미 동일한 조직이 또 다른 기업 채용 과정에 침투했을 가능성도 배제할 수 없기 때문이다.

이번 리플의 결정은 업계 차원의 공동 대응 필요성을 드러낸 사례로 평가된다. 다만 공격 방식이 계속 진화하는 만큼, 보안 전략 역시 더욱 유연한 접근이 요구되고 있다.