링크복사
공유
추천

링크가 복사되었습니다.

Skynet 북한 가상자산 위협 보고서

서틱 리서치 (CertiK Research)

2026.05.22 19:05:15

1. 요약

본 보고서에 인용된 모든 수치는 추정치이며, 조사 진행 상황과 신규 사건 공개에 따라 향후 수정될 수 있습니다.

북한은 가상자산 탈취를 산업화하여 국가 핵심 수익원 중 하나로 활용해 왔습니다. 독립 온체인 연구자 Taylor Monahan의 분석에 따르면, 2016년부터 2026년 초까지 북한 연계 해킹 조직은 총 263건의 확인된 사건을 통해 약 67억 5천만 달러를 탈취한 것으로 추정됩니다. 이러한 통계의 차이 자체도 중요한 의미를 갖습니다. 개인 투자자, 프로젝트 창립자 및 소규모 프로토콜을 대상으로 한 수백 건의 소규모 탈취 사건은 주류 통계에 포함되지 않는 경우가 많기 때문입니다.

2025년 전체 가상자산 생태계에서는 총 656건의 보안 사고가 발생했으며, 이에 따른 총 손실 규모는 약 34억 달러에 달했습니다. 이 가운데 79건은 북한 연계 공격으로 분류되었으며, 탈취 규모는 약 20억 6천만 달러였습니다. 이는 전체 사건 수의 약 12%에 불과하지만, 전체 피해 금액의 약 60%를 차지하는 수준입니다. 이러한 불균형은 북한 해킹 조직의 공격이 적은 횟수로도 가장 가치가 높은 목표를 체계적으로 겨냥하고 있음을 보여줍니다. 특히 2025년 2월 발생한 Bybit 해킹 사건은 약 15억 달러 규모의 피해를 기록하며 역사상 최대 규모의 가상자산 탈취 사건이 되었습니다. 이러한 공격 패턴은 2026년에도 지속되고 있습니다.

2026년 1월 이후 현재까지 가상자산 생태계에서는 총 185건의 보안 사고가 발생했으며, 약 11억 달러 규모의 손실이 발생했습니다. 이 가운데 약 6억 2,090만 달러는 북한 연계 공격으로 분류되며, 이는 전 세계 총 손실의 약 55%에 해당합니다. 이러한 피해 규모는 주로 약 2억 9,100만 달러 규모의 KelpDAO 익스플로잇 사건에 기인합니다.

본 보고서는 북한 연계 사이버 공격의 대표적 사례 세 건에 대한 종합적인 기술 분석을 제공합니다. 대상 사건은 2022년 Ronin Bridge exploit(6억 2,500만 달러), 2025년 Bybit heist(15억 달러), 그리고 Drift Protocol attack(2억 8,500만 달러)입니다. 이 세 사건의 합산 피해 규모는 24억 달러를 초과하며, 북한의 사이버 역량이 단순한 핫월렛 침해에서 기관급 인프라를 겨냥한 정교한 공급망 공격으로 진화해 왔음을 보여줍니다.

그 발전 경로는 매우 분명합니다. 공격 대상의 가치가 지속적으로 증가하고 있으며, 자금 세탁 인프라는 산업화된 수준으로 고도화되고 있습니다. 동시에 개별 규모는 작지만 누적 가치로는 대형 해킹 사건에 필적하는 수많은 장기 꼬리(long-tail) 형태의 소규모 탈취 사건도 병행되고 있습니다. 북한 연계 해킹 조직은 스마트 컨트랙트 코드 취약점보다 인적 요소와 공급망의 약점을 지속적으로 주요 표적으로 삼아 왔습니다. 지난 10여 년간의 공격 활동에서 코드 자체는 거의 핵심 공격 대상이 아니었습니다. 이들이 실제로 침해한 것은 대부분 기술이 아니라 사람이었습니다.

핵심 요약

사회공학(Social Engineering)은 가장 지배적인 공격 벡터입니다. Ronin Bridge exploit에서의 LinkedIn 기반 가짜 채용 공격부터 Bybit 사건에서의 Safe 멀티시그 지갑 개발자 계정 침해에 이르기까지, 주요 북한 연계 해킹 사건의 상당수는 인간을 대상으로 한 조작에서 시작되었습니다. 가짜 벤처캐피털 사칭, 허위 채용 인터뷰, 악성 코드 저장소 구축 등이 각 공격 클러스터가 초기 접근 권한을 확보하는 주요 수단으로 활용되고 있습니다.

공급망 공격은 북한 해킹 조직의 대표적인 공격 방식으로 자리 잡았습니다. Bybit 사건은 제3자 인프라가 침해될 경우 기관급 멀티시그 콜드월렛조차 안전하지 않을 수 있음을 보여주었습니다. 공격자는 스마트 컨트랙트를 직접 해킹한 것이 아니라, 서명자가 신뢰하던 사용자 인터페이스(UI)를 조작했습니다.

북한의 자금 세탁 인프라는 산업화 수준에 도달했습니다. Bybit 공격 이후 단 한 달 만에 탈취된 ETH의 86.29%가 비트코인으로 전환되었습니다. 이 과정에는 믹싱 서비스, 크로스체인 브리지, 탈중앙화 거래소(DEX), OTC 브로커가 결합된 복합적인 자금 세탁 네트워크가 활용되었습니다.

가상자산 탈취는 대량살상무기(WMD) 개발 자금으로 직접 연결되고 있습니다. 유엔 감시기구와 미국 정보기관의 평가에 따르면, 가상자산 탈취 수익은 북한의 핵무기 및 탄도미사일 개발 프로그램 자금으로 사용되고 있습니다.

IT 인력 침투를 통해 위협 범위가 지속적으로 확대되고 있습니다. 수년간 북한 연계 IT 인력은 허위 신원을 이용해 다수의 DeFi 프로토콜에 침투해 왔습니다. 이들은 겉으로는 신뢰받는 내부 직원으로 활동하면서, 동시에 국가 지원 해킹 조직에 정보를 제공해 왔습니다. 일부 공개된 사례에서는 이러한 내부자가 자신이 소속된 조직의 자금 탈취에 직접 관여한 것으로 확인되었습니다.

2. 전략적 배경

2006년 북한의 첫 핵실험 이후 국제 제재는 북한의 외화 확보 능력과 국제 금융 시스템 접근을 크게 제한해 왔습니다. 유엔 안전보장이사회는 북한의 수출, 금융 거래, 무역 파트너십에 대해 점진적으로 더욱 강력한 제재를 부과해 왔으며, 2017년경에는 북한의 수출 수익이 급격히 감소했습니다. 이에 따라 북한 정권은 국제 금융 시스템을 완전히 우회할 수 있는 새로운 수익원을 필요로 하게 되었습니다.

가상자산은 이러한 요구를 정확히 충족시켰습니다. 공격자는 디지털 자산을 원격으로 탈취할 수 있으며, 중개기관 없이 국경 간 이동이 가능하고, 이후 공모하거나 인지하지 못한 브로커 네트워크를 통해 법정화폐로 전환할 수 있습니다.

현재 미국과 유엔 관계자들은 가상자산 탈취가 북한 대량살상무기(WMD) 개발의 핵심 자금원으로 자리잡았다고 공개적으로 밝히고 있습니다. 공개 자료에 따르면, 2017년 이후 북한이 탈취한 가상자산 규모는 정권의 대외 수익에서 상당한 비중을 차지하는 것으로 추정됩니다. DeFi 프로토콜 침해와 탄도미사일 발사 사이의 연결은 표면적으로는 직접적인 관련이 없어 보일 수 있으나, 정보기관의 평가에 따르면, 양자 사이에는 명확한 인과관계가 존재합니다.

“사이버 전쟁은 핵미사일과 함께 우리 인민군대의 무자비한 타격 능력을 담보하는 만능의 보검이다.” — 김정은

북한 연계 해킹 조직은 개인적 이익을 추구하는 일반 범죄자가 아닙니다. 이들은 국가의 전폭적인 지원 아래 전략적 임무를 수행하는 국가 소속 인력입니다. 수개월에 걸쳐 단일 작전을 준비할 정도의 집요함과 풍부한 자원을 보유하고 있으며, 이러한 수준의 조직적 실행력은 일반적인 범죄 조직이 따라오기 어려운 수준입니다.

3. 조직 구조

라자루스(Lazarus)는 평양의 주요 대외 정보기관인 정찰총국(RGB) 산하에서 운영되는 여러 사이버 공격 조직을 포괄하는 통합 명칭입니다. 미국 육군은 이러한 사이버 조직 전체 인력을 약 7,000명 규모로 추정하고 있습니다. 이들은 극도로 높은 업무 강도를 보이는 집단으로 평가되며, 일반적으로 UTC 기준 자정부터 업무를 시작해 주 6일, 하루 최소 15시간 이상 활동하는 것으로 알려져 있습니다.

북한 사이버 작전의 내부 구조를 이해하는 것은 매우 중요합니다. 각 공격 클러스터는 서로 다른 전술·기술·절차(TTPs)를 사용하며, 상이한 악성코드와 자금 세탁 인프라를 운영하고, 특정 유형의 피해자를 집중적으로 표적으로 삼기 때문입니다. 현재까지 공개된 자료 가운데 북한 사이버 조직 구조를 가장 포괄적으로 분석한 사례 중 하나로는 DTEX Systems의 연구 보고서가 꼽힙니다.

3.1 공격 클러스터 분류

다음 분류 체계는 Mandiant, Microsoft, Palo Alto Networks 및 독립 연구자들이 추적한 북한 사이버 작전 클러스터에 대한 현재까지의 분석을 반영한 것입니다:

SquidSquad

기타 명칭: Sapphire Sleet, DangerousPassword, CryptoCore, APT38, BlueNoroff, Alluring Pisces, Leery Turtle, SnatchCrypto, CryptoMimic, UNC1069, Black Alicanto, CageyChameleon

사건 발생 건수 기준으로 가장 활발한 활동을 보이는 클러스터 중 하나입니다. SquidSquad는 벤처캐피털, 투자자 및 비즈니스 파트너를 사칭해 가상자산 프로젝트 창립자, 경영진 및 고액 자산가를 주요 표적으로 삼습니다. 일반적인 공격 방식은 Telegram 또는 LinkedIn을 통한 초기 접촉으로 시작되며, 이후 악성코드가 포함된 Google Drive 링크 또는 PDF 문서를 전달하는 형태로 진행됩니다. 주요 미끼 문서에는 가짜 투자 제안서, 스테이블코인 리스크 평가 보고서, 회의 아젠다 등이 포함됩니다.

주요 악성코드: RustBucket, SwiftBucket, NimDoor(macOS), AppleScript 기반 페이로드
주요 자금 세탁 수단: Tornado Cash, eXch, Noones, Paxful, 더스트 분산(dust collectors)

TraderTraitor

기타 명칭: Jade Sleet, Slow Pisces, UNC4899

TraderTraitor는 대규모 거래소 및 인프라 침해 사건을 주도해 온 공격 클러스터입니다. 이 그룹은 정교하게 위장된 가짜 채용 제안과 기술 테스트를 활용해 블록체인 기업의 기술 인력과 백엔드 엔지니어를 집중적으로 표적으로 삼습니다.미국 연방수사국(FBI)은 Ronin Bridge exploit, Bybit heist, Harmony Horizon Bridge hack 등 다수의 주요 거래소 해킹 사건이 이 클러스터와 직접적으로 연계되어 있다고 공식 지목했습니다.

주요 공격 방식: Python, SQL, JavaScript 프로젝트를 포함한 가짜 채용 절차 및 기술 과제를 제시합니다. 공격자는 악성 npm 패키지가 삽입된 GitHub 저장소(일부는 비공개 저장소)를 제공하며, LinkedIn에서는 실제 프로필을 복제해 백인 전문직 인물로 위장하는 경우가 많습니다.
주요 특징: 초기 침투 이후 실제 자금 탈취까지 매우 긴 잠복 기간(dwell time)을 유지하며, 경우에 따라 6개월 이상 활동을 은폐하기도 합니다.
주요 공격 사례: Bybit, Phemex, XT, Indodax, WazirX, DMM Bitcoin, Poloniex, HTX/Heco, Stake, CoinEx, Alphapo, CoinsPaid, Atomic Wallet, JumpCloud, 3CX, Harmony, Ronin 등

Contagious Interview

기타 명칭: Famous Chollima

Contagious Interview는 빠르게 확장 중인 사회공학 기반 공격 클러스터입니다. 이 그룹은 가짜 채용 인터뷰와 악성 코드 저장소를 활용해 개발자를 주요 표적으로 삼습니다. 피해자는 채용 공고에 지원하거나 리크루터의 연락에 응답한 뒤 코딩 테스트를 수행하도록 유도되며, 해당 테스트 코드에는 백도어가 삽입된 npm 패키지 또는 Python 모듈이 포함되어 있습니다. 개발자가 이를 설치하는 순간 워크스테이션이 침해됩니다.

주요 악성코드： BEAVERTAIL, INVISIBLEFERRET, OTTERCOOKIE
주요 전달 방식：GitHub 및 Bitbucket 저장소, npm install, 가짜 화상회의 도구(Willo, Survicate, Microsoft Teams 클론 등)
주요 자금 세탁 수단: Stargate, Defiway, RhinoFi, Railgun, 더스트 분산(dust collectors)

AppleJeus

기타 명칭: Citrine Sleet, Gleaming Pisces, UNC4736

AppleJeus는 트로이목마화된 가상자산 거래 애플리케이션 제작을 전문적으로 활용하는 공격 클러스터입니다. 최소 2018년부터 활동해 온 것으로 알려져 있으며, 가짜 거래 플랫폼과 지갑 애플리케이션을 배포해 사용자 자격 증명(credentials)과 프라이빗 키를 탈취합니다. 대표적인 위장 애플리케이션에는 Celas Trade Pro, JMT Trading, Union Crypto, CoinGoTrade, Ants2Whale 등이 포함됩니다. 또한 이 그룹은 Chromium 브라우저 제로데이 취약점(CVE-2024-7971)을 악용한 바 있으며, FudModule 루트킷(rootkit)을 배포하기도 했습니다.

북한 IT 인력

기타 명칭: Jasper Sleet

수천 명의 북한 IT 인력이 허위 신원을 사용해 서방 기업의 원격 근무 직무에 침투하고 있습니다. 이들은 표면적으로는 정상적인 업무를 수행하지만, 동시에 정보 수집 활동을 수행하거나 자금 탈취를 지원하는 역할을 담당합니다. 이들이 벌어들이는 급여 수익 자체도 북한의 대량살상무기(WMD) 프로그램 자금으로 활용되는 것으로 평가되며, 동시에 확보한 시스템 접근 권한은 장기적이고 지속적인 내부자 위협(insider threat)을 형성합니다.

주요 사건: Munchables(6,200만 달러): 내부자가 악성 스마트 컨트랙트를 배포， Solareum(110만 달러): 북한 IT 인력에 의한 러그풀(rug pull)， Paid Network(1억 6천만 달러): 내부자 기반 익스플로잇 사건

4. 운영 특성

효과적인 방어 체계를 구축하기 위해서는 북한 사이버 조직이 무엇을 하는지뿐만 아니라, 어떻게 운영되는지를 이해하는 것이 중요합니다. 다음과 같은 특성은 라자루스(Lazarus)를 다른 위협 행위자들과 구별짓는 핵심 요소입니다.

4.1 높은 전문성과 운영 규율

라자루스는 다수의 독립적인 개발 파이프라인을 통해 지속적으로 새로운 악성코드 샘플을 생산하는 일종의 “악성코드 공장(malware factory)”처럼 운영됩니다. 이들은 광범위한 코드 난독화(obfuscation), 상용 소프트웨어 보호 도구, 자체 개발 패커(packer)를 활용합니다. 초기 단계(first-stage) 백도어는 의도적으로 단순하고 소모 가능(disposable)하게 설계되어 있으며, 탐지·노출되더라도 전체 작전에 미치는 영향은 제한적입니다. 공격자는 감염 대상이 고가치 표적(high-value target)임을 확인한 이후에만 고급 페이로드(payload)를 배포합니다. 이러한 고급 페이로드는 DLL 로더(loader), 암호화된 컨테이너, 비밀번호로 보호된 설치 프로그램 등을 통해 보호되며, 샌드박스 기반 분석을 효과적으로 방해합니다.

4.2 정찰 활동

북한 연계 해킹 조직은 실제 자금 탈취를 수행하기 전까지 수개월 동안 침해된 시스템에 잠복하며 접근 권한을 유지하는 경우가 많습니다. 이 기간 동안 내부 운영 절차, 인력 일정, 소프트웨어 구성, 보안 정책 등에 대한 정보를 지속적으로 수집합니다. 최소 다섯 건 이상의 주요 가상자산 거래소 해킹 사건에서는 공격자의 내부 시스템 이해 수준이 지나치게 정교했던 탓에, 초기 조사 단계에서 내부자 범행(insider job)으로 오인되기도 했습니다.

4.3 스피어피싱

북한 공격 조직은 악성 페이로드를 전달하기 전 피해자와의 신뢰 관계를 구축하는 데 상당한 시간을 투자합니다. 예를 들어 SquidSquad는 수주 동안 가짜 벤처캐피털 관계자를 사칭해 실제 투자 논의처럼 보이는 대화를 이어간 후 악성 문서를 전달합니다. Contagious Interview 역시 여러 차례의 기술 면접과 실제 코딩 과제를 진행한 뒤 백도어가 삽입된 저장소(repository)를 제공하는 방식을 사용합니다. 이처럼 사회공학 과정에 장기간 투자하는 전략은 일반적인 피싱 캠페인보다 훨씬 탐지하기 어렵게 만듭니다.

4.4 지속적인 진화

라자루스는 대부분의 보안 조직이 대응 체계를 구축하는 속도보다 더 빠르게 진화하고 있습니다. 2007년 이후 이들의 작전 방식은 공격 대상 산업의 수익성 변화, 강화된 방어 체계, 그리고 북한의 기술 역량 확대에 따라 여러 차례 뚜렷한 진화 단계를 거쳐 왔습니다.

5. 북한 가상자산 공격 전략의 진화

2016년 이후 북한의 가상자산 대상 사이버 작전은 최소 다섯 단계에 걸쳐 뚜렷한 진화 과정을 거쳐 왔습니다. 각 단계의 전환은 공격 대상 산업의 방어 체계 강화, 수익성 구조 변화, 그리고 북한의 기술 역량 확대가 복합적으로 작용한 결과였습니다.

DDoS 공격 및 파괴형 작전 단계 (2007–2014)

자금 탈취가 주요 목표로 자리잡기 이전, 북한 사이버 조직은 정치적 목적의 교란 및 파괴 활동에 집중했습니다. 초기 공격 사례에는 한국 정부 기관과 금융기관을 대상으로 한 대규모 DDoS 공격(2009년, 2011년, 2013년), 2013년 3월 발생한 이른바 “Dark Seoul” 공격(한국 은행 및 방송사를 대상으로 한 파괴형 와이퍼 공격), 그리고 영화 The Interview에 대한 보복 차원에서 이루어진 소니 픽처스 엔터테인먼트 침해 사건(2014년 11월)이 포함됩니다. 2014년 전후부터 북한의 작전 중심은 점차 수익 창출로 이동하기 시작했습니다. 이는 2013년 2월 북한의 3차 핵실험 이후 국제 제재가 급격히 강화된 것과 밀접하게 연관된 것으로 평가됩니다.

전통 금융 인프라 공격 단계 (2014–2017)

가상자산이 주요 공격 대상으로 부상하기 이전, 북한 사이버 조직은 전통 금융 시스템을 집중적으로 공격했습니다. 특히 2016년 발생한 방글라데시 중앙은행 해킹 사건은 북한의 금융 사이버 작전이 상당한 수준의 운영 역량을 보유하고 있음을 보여준 대표 사례였습니다. 그러나 SWIFT 시스템의 중앙집중형 통제 구조, 코레스폰던트 뱅킹 네트워크, 그리고 사건 이후 강화된 금융권 보안 조치로 인해 이러한 공격 방식은 점차 대규모로 반복하기 어려워졌습니다.

거래소 핫월렛 공격 단계 (2017–2019)

북한의 초기 가상자산 공격은 인터넷에 연결된 거래소 핫월렛을 주요 표적으로 삼았습니다. Bithumb 사건(1,400만 달러, 2017년), Coincheck 해킹 사건(5억 3천만 달러, 2018년), 그리고 다수의 한국·일본 중소형 거래소 공격은 보안 인프라보다 시장 성장 속도가 훨씬 빨랐던 당시 업계 상황을 악용한 사례였습니다. 당시 많은 거래소는 아직 콜드스토리지, 멀티시그, 충분한 이상 거래 모니터링 체계를 구축하지 못한 상태였기 때문에, 비교적 낮은 수준의 기술적 정교함만으로도 공격이 가능했습니다.

DeFi 프로토콜 및 크로스체인 브리지 공격 단계 (2020–2023)

중앙화 거래소의 보안 수준이 향상되자, 북한 공격 조직은 수십억 달러 규모 자산을 보유하면서도 상대적으로 보안 인프라가 부족했던 DeFi 프로토콜과 크로스체인 브리지로 공격 대상을 전환했습니다. Ronin Bridge exploit 사건(6억 2,500만 달러)과 Harmony Horizon Bridge hack 사건(1억 달러)은 낮은 검증자 수에 의존하는 브리지 구조의 근본적 취약점을 악용한 사례였습니다. 공격자는 소수의 프라이빗 키만 확보해도 브리지 전체 자금을 인출할 수 있었습니다. 동시에 북한 공격 조직은 배포자 키 및 관리자 권한 탈취를 통해 개별 DeFi 프로토콜 자체를 직접 공격하기 시작했습니다.

공급망 공격 단계 (2024–2025)

2025년 2월 발생한 Bybit 해킹 사건(15억 달러)은 공격 패러다임의 전환점을 보여주었습니다. 북한 공격 조직은 표적을 직접 공격하는 대신, 제3자 인프라 제공업체인 Safe 멀티시그 지갑을 침해했습니다. 이러한 공급망 공격 방식은 표적 기관 자체의 보안 체계를 사실상 우회할 수 있게 만들었습니다. 동시에 WazirX 해킹 사건(2억 3천만 달러)과 DMM Bitcoin 해킹 사건(3억 580만 달러)은 중앙화 거래소에 대한 공격 역량이 여전히 유지되고 있음을 보여주었으며, 침투 방식은 이전보다 훨씬 정교해졌습니다.

물리적 침투 단계 (현재)

2026년 4월 발생한 Drift Protocol 공격 사건(2억 8,500만 달러)은 새로운 진화 단계를 보여주는 사례입니다. 북한 연계 조직은 제3자 중개인을 활용해 실제 가상자산 컨퍼런스에 참석하고, 프로토콜 핵심 기여자들과 오프라인 관계를 구축했으며, 수백만 달러 규모의 실제 자금을 운용하는 것처럼 위장한 뒤 최종적으로 목표 기기를 침해했습니다. 이번 공격은 오프라인 사회공학, 거버넌스 조작 등 다양한 기법이 결합된 형태였으며, 현재 수십 개의 DeFi 프로토콜이 영향을 받은 것으로 추정됩니다. 이는 정보기관 수준의 첩보 활동과 기술적 침해 기법이 결합된 사례로, 순수 기술 중심의 보안 모델만으로는 대응이 어려운 새로운 유형의 위협을 보여줍니다.

6. 사례 연구: Ronin Bridge (2022년 3월)

6.1 배경

2022년 3월 23일, 블록체인 게임 Axie Infinity를 지원하는 사이드체인 네트워크인 Ronin Network가 해킹 공격을 받았습니다. 이번 사건으로 173,600 ETH와 2,550만 USDC가 탈취되었으며, 피해 규모는 약 6억 2,400만 달러에 달했습니다. 이는 당시 기준으로 역사상 최대 규모의 가상자산 익스플로잇 사건이었습니다.

6.2 공격 벡터

라자루스 그룹은 인적 요소와 시스템 취약점을 동시에 악용하는 정교한 사회공학 공격을 통해 Ronin Bridge를 침해했습니다. 공격자는 LinkedIn 리크루터로 위장해 Sky Mavis 엔지니어에게 고액 연봉의 채용 기회를 제안했으며, 한 고위 엔지니어가 이에 응답했고, 여러 차례 면접을 진행한 뒤 최종 채용 제안을 받았습니다. 이후 해당 엔지니어는 연봉 정보가 포함된 PDF 파일을 다운로드했는데, 이 파일에는 스파이웨어가 삽입되어 있었습니다. 이를 통해 공격자는 Sky Mavis 내부 인프라에 침투했으며, 총 9개의 검증자(validators) 중 4개의 검증자 권한을 확보했습니다. 공격자는 이후 프로젝트의 가스 프리 RPC 노드(gas-free RPC node)에 존재하던 백도어를 이용해 다섯 번째 검증자 키까지 탈취했습니다.

6.3 공격 실행 및 사후 대응

이번 공격은 스피어피싱 기반으로 수행되었으며, 대규모 자금 탈취 규모와 약 2천만 달러 상당의 자금을 거래소를 통해 세탁한 정황 등으로 인해 초기부터 북한 연계 가능성이 강하게 제기되었습니다. 이후 2022년 4월 14일, 미국 재무부 해외자산통제국(OFAC)이 관련 지갑 주소를 제재 대상으로 지정하면서 북한 연계 공격이라는 점이 공식적으로 확인되었습니다. 탈취된 자산의 대부분은 이후 약 두 달에 걸쳐 다수의 지갑 주소를 통해 Tornado Cash로 이동되며 세탁되었습니다.

7. 사례 연구: Bybit 사건 (2025년 2월)

7.1 배경

2025년 2월 21일, Bybit 거래소가 공격을 받아 14억 달러를 초과하는 자산이 탈취되었습니다. 이번 사건은 Bybit 직원들이 정상적인 거래처럼 위장된 악성 트랜잭션을 승인하면서 발생했으며, 현재까지 기록된 가상자산 해킹 사건 가운데 최대 규모의 피해 사례로 기록되고 있습니다.

7.2 공격 벡터

Bybit 공격은 여러 단계에 걸쳐 수행된 고도로 정교한 작전이었습니다.

첫 번째 단계: 2025년 2월 4일, 공격자는 Bybit가 사용하던 제3자 멀티시그 플랫폼인 Safe 멀티시그 지갑의 개발자 단말기를 침해했습니다. 조사 과정에서 해당 개발자의 다운로드 폴더 내 악성 Docker 구성 파일이 발견되었습니다.
두 번째 단계: 공격자는 AWS 세션 토큰(session token)을 탈취했고, 이를 통해 다중인증(MFA)을 우회한 뒤 Safe의 AWS 계정에 접근했습니다.
세 번째 단계：이후 공격자는 Safe 사용자 인터페이스(UI)를 조작해 정상적인 작업이 수행되는 것처럼 보이도록 만들었습니다. Bybit 직원들은 이를 일반적인 자금 이체 요청으로 인식하고 승인했지만, 실제로는 백엔드에 삽입된 악성 코드가 자금을 공격자 지갑 주소로 전송하도록 변경된 상태였습니다.

7.3 공격 실행 및 사후 대응

이번 사건의 피해 규모는 가상자산 업계 역사상 가장 대규모의 공동 대응을 촉발한 사례 중 하나로 평가됩니다. 다수의 제3자 기관과 업계 참여자들이 탈취 자금 동결, 관련 지갑 추적 및 신고 활동에 협력했습니다. 그러나 현재 운영이 중단된 eXch와 같은 일부 플랫폼은 자금 세탁 차단에 협조하지 않았습니다. 이러한 일부 사업자의 비협조적 대응은 탈중앙화 원칙과 북한 연계 자금 세탁 방지 책임 사이의 충돌에 대한 논쟁을 더욱 심화시키는 계기가 되었습니다.

8. 사례 연구: Drift Protocol 사건 (2026년 4월)

8.1 배경

2026년 4월 1일, Solana 기반 탈중앙화 거래소인 Drift Protocol에서 약 2억 8,500만 달러 규모의 디지털 자산이 무단 인출되는 사건이 발생했습니다. 이번 사건은 약 6개월에 걸쳐 진행된 장기 침투 작전의 결과로 평가됩니다.

8.2 공격 벡터

공격자는 관리자 키 탈취와 담보 자산 조작을 결합한 다단계 공격을 수행했습니다. 멀티시그 권한을 확보한 뒤, 공격자는 유동성이 낮은 토큰 시장을 인위적으로 조성하고 가격을 급격히 부풀려 허위 담보 기반을 형성했습니다. 이후 프로토콜 내부의 출금 보호 장치를 강제로 비활성화함으로써, 결과적으로 공격자는 조작된 담보를 기반으로 프로토콜 유동성 풀에서 SOL, USDC, 비트코인 등 실제 자산을 대규모로 차입할 수 있었습니다.

8.3 공격 실행 및 사후 대응

온체인 준비 작업은 2026년 3월 11일 시작되었습니다. 공격자는 Tornado Cash에서 10 ETH를 인출한 뒤, 이를 이용해 허위 토큰인 CarbonVote Token(CVT)을 발행하고 초기 유동성을 공급한 후 워시 트레이딩을 수행했습니다. 3월 27일에는 타임락 없이 Security Council 마이그레이션을 실행해, 무단 관리자 행위를 방어하던 프로토콜의 마지막 통제 장치를 제거했습니다. 공격자는 이후 durable nonce(Solana에서 트랜잭션을 사전 서명하고 나중에 실행할 수 있도록 하는 기본 기능)를 활용해 멀티시그 승인값을 사전에 확보했습니다. 2026년 4월 1일, 이 승인값을 이용해 단 몇 분 만에 Drift 프로토콜 유동성 풀에서 약 2억 8,500만 달러 규모 자산을 인출했습니다. 탈취 자금은 즉시 Solana 기반 DEX 애그리게이터를 통해 USDC로 교환된 뒤 Ethereum 네트워크로 브리지되었습니다.

특히 약 6개월 동안 각종 업계 행사와 컨퍼런스에 참석하며 Drift 핵심 기여자들과 신뢰 관계를 구축했던 인물들은 북한 국적자가 아니라, 정교한 전문직 신분을 갖춘 제3자 중개인이었던 것으로 확인되었습니다.

9. 교차 사례 비교 분석

Ronin Bridge exploit에서 Drift Protocol attack으로 이어지는 진화 과정은 매우 명확하면서도 심각한 공격 패턴을 보여줍니다. Ronin 사건은 단 한 명의 직원 단말기 침해와 철회되지 않은 접근 권한만으로도 성공할 수 있었습니다. 이후 Bybit 해킹 사건에서는 제3자 개발자 워크스테이션 침해와 운영 인프라에 대한 악성 코드 주입이 필요했습니다. 반면 Drift Protocol 사건은 6개월에 걸친 장기 침투 작전으로 발전했습니다. 공격자는 중개인을 실제 업계 행사에 참석시키고, 실제 자금을 투입해 신뢰를 구축했으며, durable nonce, 오라클 조작, 거버넌스 마이그레이션 등 여러 기술 메커니즘을 동시에 활용했습니다. 각 단계로 갈수록 공격 조직은 더 많은 시간과 자원을 투입하고 있으며, 그 결과 기존 보안 방어 체계로는 탐지와 대응이 점점 더 어려워지고 있습니다.

10. 전술·기술·절차(TTPs)

다음은 북한 연계 가상자산 공격 전반에서 공통적으로 관찰된 주요 공격 벡터, 악성코드 계열 및 침해 이후 활동을 정리한 내용입니다.

10.1 사회공학

가짜 VC 사칭

공격자는 유명 벤처캐피털(VC), 투자자 및 가상자산 업계 경영진을 사칭한 정교한 Telegram 프로필을 생성합니다. 이후 투자 기회, 협업 제안 또는 컨퍼런스 미팅 등을 명목으로 접근한 뒤, 악성코드가 포함된 Google Drive 문서, PDF 파일 또는 가짜 화상회의 플랫폼 링크를 전달합니다.

방어 측에서는 Telegram, Discord, LinkedIn 등을 통한 비정상적이거나 사전 접촉이 없던 투자 제안에 대해 매우 높은 수준의 경계심을 유지해야 합니다.

가짜 채용 제안

북한 연계 공격 조직 가운데 두 개의 주요 클러스터는 서로 다른 방식의 채용 기반 사회공학 공격을 활용하고 있습니다.

TraderTraitor는 특정 조직의 고위 기술 인력을 표적으로 삼아, 여러 단계에 걸친 정교한 면접 절차를 진행합니다. 이후 악성코드가 포함된 채용 제안 PDF 또는 기술 과제 저장소를 전달하는 방식으로 공격을 수행합니다.
Contagious Interview는 LinkedIn 및 프리랜서 플랫폼을 통해 광범위한 개발자를 대상으로 채용 공고를 게시하며, 코딩 과제에 포함된 npm 패키지를 이용해 악성코드를 배포합니다. 피해자는 GitHub 저장소를 클론한 뒤 npm install 명령을 실행하는 순간 즉시 침해됩니다. 이 악성코드는 브라우저 자격 증명(credentials), 지갑 데이터 및 SSH 키를 탈취하며, 이후 지속적인 접근 권한을 유지하기 위한 2차 페이로드를 추가로 배포합니다.

가짜 화상회의 도구

공격자는 면접, 투자 미팅 또는 협업 논의를 명목으로 피해자를 화상회의에 초대합니다. 그러나 회의 링크는 Zoom이나 Teams 등을 사칭한 가짜 플랫폼으로 연결되며, 사용자는 별도의 전용 클라이언트를 다운로드하도록 유도됩니다. 이때 다운로드되는 애플리케이션에는 트로이목마가 삽입되어 있습니다. 이러한 공격 방식은 사회적 상황 자체가 긴박감을 조성하기 때문에, 피해자의 경계심을 약화시키고 보안 검증 절차를 우회하게 만든다는 점에서 특히 효과적인 것으로 평가됩니다.

악성 코드 저장소

북한 연계 공격 조직은 악성 npm 패키지, PyPI 모듈 및 GitHub 저장소로 구성된 지속적으로 확장되는 공격 생태계를 운영하고 있습니다. 여기에는 정상 오픈소스 패키지에 백도어를 삽입한 변조 버전, 가상자산 관련 이름으로 위장한 완전한 가짜 패키지, 그리고 허위 기술 면접 과정에서 공유되는 비공개 저장소가 포함됩니다. 예를 들어 2026년 1월에는 VSCode 및 Cursor 코드 에디터를 악용하는 새로운 공격 방식이 확인되었습니다. 공격자는 runOn:folderOpen 작업(task) 설정을 이용해, 사용자가 프로젝트 폴더를 단순히 열기만 해도 별도의 추가 조작 없이 임의 코드가 자동 실행되도록 구성했습니다.

10.2 악성코드

북한 연계 공격 조직은 방대한 규모의 다중 플랫폼 기반 공격 툴셋(toolkit)을 운영하고 있으며, 이를 지속적으로 업데이트하고 있습니다.

macOS 계열: RustBucket, SwiftBucket, NimDoor, AppleScript 기반 페이로드, KANDYKORN, 트로이목마화된 거래 애플리케이션

크로스 플랫폼 계열: BEAVERTAIL(JavaScript/Python 기반 정보 탈취기), INVISIBLEFERRET(Python 기반 RAT), OTTERCOOKIE, Docker 기반 커스텀 페이로드

Windows 계열: MagicRAT, QuiteRAT, LPEclient, FoggyBrass, PhantomStar, Gh0st RAT 변종, 커스텀 PowerShell 임플란트(implant)

공급망 공격 계열: 악성 npm/PyPI 패키지, 트로이목마화된 설치 프로그램(3CX, CyberLink 등), 변조된 브라우저 확장 프로그램(가짜 MetaMask 등)

이 조직은 악성코드를 매우 빈번하게 교체·변형하는 것으로 악명이 높으며, 서로 다른 작전에서 동일한 도구를 반복적으로 사용하는 경우는 드문 것으로 알려져 있습니다.

10.3 EtherHiding

2025년 10월, Google Threat Intelligence Group은 국가 지원 공격 조직이 EtherHiding 기법을 처음으로 활용한 사례를 공개했습니다. Contagious Interview 클러스터는 퍼블릭 블록체인을 탈중앙화된 명령·제어(C2) 인프라로 활용하기 시작했습니다. 이 기법은 스마트 컨트랙트 트랜잭션 내부에 악성 페이로드를 저장한 뒤, 읽기 전용(read-only) API 호출을 통해 이를 불러오는 방식으로 동작합니다. 이러한 접근은 온체인에 명확한 트랜잭션 흔적을 남기지 않는다는 특징이 있습니다.

전체 공격 흐름은 다음과 같습니다. 피해자는 사회공학 공격을 통해 초기 JavaScript 다운로더인 JADESNOW를 실행하게 됩니다. 이후 해당 다운로더는 BNB Smart Chain 상의 악성 스마트 컨트랙트에 질의해 2차 페이로드를 받아옵니다. 이 2차 페이로드는 다시 Ethereum 네트워크로 이동해, burn address인 0x00…dEaD로 전송된 트랜잭션 calldata 내부에 저장된 최종 백도어인 INVISIBLEFERRET를 가져옵니다.

EtherHiding은 악성 코드가 탈중앙화·무허가(permissionless) 블록체인에 저장된다는 점에서 특히 대응이 어렵습니다. 중앙 서버와 달리 법 집행기관이 해당 인프라를 강제로 차단하거나 제거하기 어렵기 때문입니다.

10.4 침해 이후 활동

프라이빗 키 탈취：공격자는 침해된 기기에서 지갑 파일, 브라우저 확장 프로그램 데이터, 시드 문구, SSH 키 등을 탐색 및 탈취합니다.

스마트 컨트랙트 장악： 탈취한 배포자 키를 이용해 transferOwnership 호출, 프록시 컨트랙트 업그레이드 또는 무제한 토큰 발행 등을 수행합니다.

공급망 주입 공격： Bybit 해킹 사건과 같은 고도화된 공격에서는 침해된 개발자 계정을 활용해 운영 인프라 자체를 수정하며, 이를 통해 하위 의존 대상까지 영향을 확산시킵니다.

11. 자금 세탁 인프라

공격 성공과 자금 탈취는 전체 작전의 시작에 불과합니다. 공격자는 이후 브리지, 거래소, DeFi 프로토콜 및 믹싱 서비스를 이용해 자금을 이동시킵니다. 최종적으로 탈취 자산은 법정화폐로 전환되어야 하며, 이 과정에서 프런트 컴퍼니(front company)와 같은 협력 네트워크를 활용하거나, 의심을 피하기 위해 우회적이고 은밀한 경로를 사용합니다. 전자의 사례로, 2024년 12월 미국 재무부 해외자산통제국(OFAC)은 아랍에미리트 소재 회사를 이용해 북한을 위한 자금 세탁 활동에 관여한 두 명의 개인에 대해 제재를 부과했습니다. https://home.treasury.gov/news/press-releases/jy2752

북한의 자금 세탁 방식 분석 결과는 중국 기반 개인 및 조직에 대한 높은 의존성도 보여주고 있습니다. 다자간 제재 모니터링팀(MSMT) 보고서에 따르면, 참여국들이 제공한 정보에는 다수의 중국 국적 인사가 북한의 가상자산을 법정화폐로 전환하는 과정에 협력했다는 구체적인 정보가 포함되어 있습니다. https://www.mofa.go.jp/files/100922718.pdf

12. 생태계 영향 및 국제 대응

이러한 대규모 보안 사고의 영향은 단순한 초기 자금 손실이나 피해 플랫폼의 운영 중단을 넘어, 가상자산 생태계 전반에 광범위한 파급 효과를 초래합니다. 대표적인 영향은 다음과 같습니다.

가격 영향 ：Bybit 해킹 사건 이후, 자금 세탁 과정에서 발생한 대규모 매도 압력으로 인해 이더리움 가격은 약 4.2% 하락했습니다.

컴플라이언스 비용 증가： 각국은 불법 자금 흐름을 차단하기 위해 관련 규제를 강화하고 있습니다. 예를 들어, 2026년 1월 시행된 EU의 MiCA II 규정과 미국 행정명령 14155는 플랫폼 사업자에게 1만 달러 초과 거래에 대한 강화된 고객 실사를 의무화했습니다.

연쇄 효과：탈취 자금의 피해는 단순히 직접 공격받은 프로토콜에만 국한되지 않습니다. 많은 Web3 프로젝트가 자체 자금을 DeFi 플랫폼에 예치·운용하고 있기 때문에, 하나의 익스플로잇이 연쇄적인 재무 피해로 이어질 수 있습니다. 피해 사례가 누적될수록 업계 전반의 신뢰 역시 지속적으로 약화됩니다.

빠르게 변화하는 Web3 환경에서는 북한 연계 조직이 수십억 달러 규모의 가상자산을 탈취·세탁하는 상황에 대해 충분한 대응이 이루어지지 않는 것처럼 보일 수 있습니다. 그러나 실제로는 이에 대응하기 위한 다양한 국제적 조치가 점차 확대되고 있습니다.

다자간 제재 모니터링팀(MSMT)：미국, 한국, 일본이 공동 출범한 MSMT는 북한의 제재 위반 활동 추적을 주도하며, 변화하는 자금 세탁 전술에 대한 경고 보고서를 지속적으로 발간하고 있습니다.

유엔 사이버범죄 협약： 해당 조약은 국가 간 디지털 증거 공유 절차를 간소화하는 것을 목표로 하고 있습니다. 다만 러시아 및 중국과의 지정학적 갈등으로 인해 실제 집행 효과는 아직 검증 단계에 있습니다.

영국–한국 전략적 사이버 파트너십：2026년 초 런던과 서울은 러시아–북한 간 “적대적 협력” 대응을 위한 양자 협력을 강화했습니다. 특히 랜섬웨어와 가상자산 자금 세탁 대응에 중점을 두고 있습니다.
북한 IT 인력 사기 대응： 2026년 3월 미국 재무부 해외자산통제국(OFAC)은 북한 인력이 정상 개발자로 위장해 백도어 설치 및 프라이빗 키 탈취를 시도한 이른바 “IT worker scheme”을 운영한 개인 6명과 단체 2곳에 대해 제재를 부과했습니다.

그림자 금융(Shadow Banking) 차단： 법 집행기관은 북한의 USDT 등 스테이블코인 현금화를 지원한 동남아시아 기반 “그림자 금융” 브로커 및 중개 조직에 대한 단속을 강화하고 있습니다. 대표 사례로는 2025년의 Huione Group 관련 조사가 있습니다.

스테이블코인 동결 조치 강화 ：Tether와 같은 스테이블코인 발행사에 대한 규제 압력이 증가하면서, 북한 연계 주소에 대한 선제적 자산 동결 조치 역시 더욱 빈번하게 이루어지고 있습니다.

13. 권고 사항

북한(DPRK) IT 인력을 식별하기 위한 일부 이례적인 방법(예: 최고지도자에 대한 비판을 유도하는 방식 등)이 거론되기도 하지만, 국가 지원형 공격을 효과적으로 방어하기 위해서는 다층적이고 심층적인 보안 체계가 필요합니다. 북한 연계 공격 조직은 세계 최고 수준의 공격 역량을 보유한 집단 가운데 하나로 평가되며, 시스템 내 취약점이 존재할 경우 이를 악용하기 위해 매우 장기간에 걸친 침투와 자원 투입도 마다하지 않습니다. 대규모 자금을 보관하는 프로토콜의 경우, 공격 발생 가능성은 “일어날지 여부”보다 “언제 발생할지”의 문제에 가깝습니다.

엄격한 신원 검증：실시간 반응 확인이 포함된 의무적 화상 면접과, AI 생성 또는 도용된 신원을 탐지할 수 있는 전문 배경 검증 서비스를 활용해야 합니다. 북한 연계 인력은 종종 위조되거나 차용된 신원을 사용합니다.
제로 트러스트 채용 정책：모든 원격 프리랜서 또는 외부 인력을 잠재적 고위험 행위자로 간주해야 합니다. 장기간 검증 가능한 물리적 실체와 신뢰가 확보되기 전까지는, 운영 코드나 프라이빗 키와 같은 민감 자산에 대한 접근 권한을 제한해야 합니다.
커뮤니케이션 리스크 축소：직원들이 LinkedIn, Discord 등 플랫폼에서 이루어지는 사회공학 공격을 인지할 수 있도록 정기적인 보안 교육을 실시해야 합니다. 라자루스는 가짜 채용 제안이나 기술 협업 요청을 통해 접근한 뒤, 악성코드가 포함된 “코딩 테스트”를 전달하는 방식을 자주 사용합니다.
인프라 보호： 많은 공격이 블록체인 간 브리지 또는 거래소의 핫월렛을 겨냥하기 때문에, 기술적 보안 강화가 필수적입니다.
출금 지연 및 서킷 브레이커：대규모 출금에 대해 의무적인 “쿨링오프” 기간을 적용해야 합니다. 최근 한국 규제 사례에서 볼 수 있듯이, 24~72시간 수준의 지연은 보안팀이 의심 거래를 탐지하고 믹싱 서비스로 자금이 이동하기 전에 동결할 시간을 확보해 줍니다. 또한 모든 관리자 및 거버넌스 작업에는 반드시 타임락을 적용해야 합니다.
하드웨어 보안 모듈(HSMs)：고액 거래 서명 및 재무 자산 관리에 사용되는 프라이빗 키는 물리적 상호작용 없이는 어떠한 작업도 승인할 수 없는 에어갭(air-gapped) 기반 하드웨어 보안 장치에 저장해야 합니다.

추가적인 대응 전략에 대해서는, 해당 주제를 전문적으로 다루는 SEAL 프레임워크를 참고할 것을 권장합니다.

14. 2026 전망

북한의 가상자산 대상 사이버 작전은 앞으로도 지속적으로 확대될 가능성이 높습니다. 실제로 2026년 첫 4개월 동안에만 총 7건의 사건에서 약 6억 2,090만 달러 규모의 피해가 기록되었습니다. 앞으로 예상되는 주요 흐름은 다음과 같습니다.

AI 기반 사회공학 고도화: 딥페이크 기술과 AI 생성 인물의 발전으로 인해 사회공학 공격은 더욱 탐지하기 어려워질 것으로 예상됩니다. 또한 수천 개의 가짜 신원과 상호작용을 동시에 운영하는 자율형 AI 에이전트가 등장하면서, 산업화된 규모의 표적 공격이 가능해질 전망입니다.
북한 IT 인력 침투 확대 (Expanded IT Worker Infiltration)：북한 연계 인력은 앞으로 AI, 국방, 엔터프라이즈 SaaS 분야까지 공격 범위를 확대할 가능성이 높습니다. 이미 수십 개의 DeFi 프로토콜이 북한 IT 인력에 의해 침투된 것으로 파악되고 있습니다.
새로운 자금 세탁 경로：북한 공격 조직은 Tornado Cash와 함께 프라이버시 코인인 Monero 및 다양한 대체 블록체인을 활용해 자금 흐름을 은폐하고 있습니다. 향후에는 신규 크로스체인 프로토콜을 활용한 더욱 분산되고 다변화된 세탁 경로가 등장할 것으로 예상됩니다.
VSCode 및 IDE 기반 공격：2026년 1월 공개된 VSCode의 악성runOn:folderOpen 작업(task) 사례는 개발자 워크플로우 자체를 직접 겨냥하는 새로운 공격 전달 메커니즘을 보여주었습니다. 이는 IDE(통합 개발 환경)가 앞으로 주요 공격 표면 가운데 하나가 될 수 있음을 시사합니다.