북한 해커, 암호화폐 산업을 어떻게 지속적으로 공격할까?
글쓴이: 류훙린
지난 반년 이상의 암호화폐 업계는 마치 썰물이 빠진 해변처럼 침체된 분위기였다.
사람은 여전히 있고, 프로젝트도 계속되고 있지만, 과거처럼 3일마다 한 번씩 새 프로젝트가 등장해 스토리를 펼치고, 곳곳에서 펀딩 소식이 넘쳐나며, 커뮤니티 내내 ‘타야 할 차’를 외치는 분위기는 크게 줄어들었다.
남아 있는 팀들은 입으로는 당연히 비전과 장기적 성장을 이야기하지만, 사적으로 나누는 대화는 훨씬 소박한 주제에 집중된다: 현재 계좌 잔고는 얼마이며, 비용을 어떻게 더 절감할 수 있을지, 그리고 팀을 어떻게 안정시켜 불황의 겨울을 버텨낼지.
그러나 불황이 프로젝트 팀에게 가하는 가장 치명적인 타격은 단순히 토큰 가격 하락이나 자금 조달 어려움이 아닐 때도 있다. 오히려 원래부터 넉넉하지 않던 상황에 눈덩이처럼 쌓이는 악재, 예를 들어 자산 도난이 바로 그것이다.
호황기에 도난당하면 육체적 통증이 느껴질 뿐이지만, 불황기에 도난당하면 진짜 생명을 위협받는다.
1. 드리프트(Drift) 해킹 사건: 2.85억 달러 유출
이번에 피해를 본 곳은 드리프트(Drift)다. 2026년 개년 이후 지금까지 발생한 최대 규모의 DeFi 공격 중 하나로, 유출 금액은 약 2.85억 달러에 달한다.
솔라나(Solana) 생태계에 익숙한 이들에게 이 이름은 낯설지 않다. 드리프트는 영구선물 거래를 중심으로 현물, 대출, 보관소 등 다양한 서비스를 제공하는 탈중앙화 거래소다. 공식 자료에 따르면, 드리프트는 솔라나 기반 최대 규모의 오픈소스 영구선물 거래 플랫폼 중 하나로 소개된다.
공개 정보에 따르면, 이번 공격은 2026년 4월 1일 발생했으나, 그 이전부터 약 6개월간 철저한 준비 과정이 있었다. 2025년 가을, 일군의 자칭 양적거래팀이 주요 산업 컨퍼런스에서 드리프트 직원들을 접촉했다. 이후 그룹 채팅방 생성, 미팅 개최, 전략 및 사업 연동 논의 등 일련의 절차는 모두 정상적으로 진행됐다. 특히 중요한 점은, 이들이 단순히 말만 한 것이 아니라 실제로 생태계 보관소에 100만 달러 이상의 자체 자금을 입금했다는 사실이다. 누가 알았으랴, 이것이 긴 실을 던져 큰 고기를 낚는 작전이었을 줄을.
드리프트 한 프로젝트 관점에서만 보면, 이번 사건은 또 다른 선두 프로젝트의 보안 사고일 뿐이다. 그러나 이를 지난 몇 년간 업계에서 발생한 여러 대규모 사건들과 함께 놓고 보면, 그 성격이 달라진다.
여러 사건을 추적하다 보면 결국 한 가지 공통 분모로 귀결되는데, 바로 북한이다.
2. 북한 해커의 활동 실적
2025년 2월, FBI는 바이비트(Bybit)에서 약 15억 달러 규모의 가상자산이 도난당한 사건이 북한에 의해 자행됐다고 공식 발표하며, 이를 ‘트레이더트레인터(TraderTraitor)’ 작전의 일환으로 규정했다.
2025년 말, 체인얼리시스(Chainalysis)는 연간 보고서를 통해, 북한 관련 해커들이 2025년 한 해 동안 최소 20.2억 달러의 암호화 자산을 탈취했으며, 이는 전년 대비 51% 증가한 수치라고 밝혔다. 누적 도난 금액의 하한치는 67.5억 달러에 달한다. 또한 명확한 특징이 있는데, 북한의 공격 횟수는 줄어드는 대신, 단일 공격 규모는 점점 커지고 있다는 점이다.
북한이라는 이름은 최근 바이비트나 드리프트 사건으로 인해 갑작스럽게 부각된 것이 아니다. 이 이름은 오랜 시간 동안 꾸준히 존재해 왔으며, 암호화폐 업계 내 존재감은 점점 희미해지는 게 아니라 오히려 강해지고 있다.
더 거슬러 올라가면, 북한의 암호화폐 탈취 실적 역시 흔히 볼 수 있다.
로이터는 2024년 유엔 제재 전문가 자료를 인용해, 유엔이 2017년부터 2024년까지 북한이 주도한 것으로 의심되는 암호화폐 기업 대상 사이버 공격 97건을 조사했으며, 이들 사건의 총 피해 규모는 약 36억 달러에 달한다고 보도했다.
한국 경찰은 2024년 11월, 2019년 발생한 약 4200만 달러 규모의 이더리움 도난 사건의 배후에 북한 군부 정보기관과 연계된 해커 조직이 있다고 공식 발표했다.
드리프트 사건에는 또 하나의 주목할 만한 세부 사항이 있다. 관련 보안팀의 지원 하에, 이번 공격과 2024년 10월 라디언트 캐피털(Radiant Capital) 공격 모두 북한과 연계돼 있다는 결론이 도출됐다.
이 두 사건을 종합해 보면, 이는 서로 무관한 개별 사건이 아니라, 동일한 집단이 다양한 프로젝트, 시기, 상황에서 이미 상당히 정교하게 다듬어진 공격 방식을 반복적으로 활용하고 있다는 것을 의미한다.
3. 북한 해커의 수확 체계
여기까지 설명하면서 이 글이 진정으로 독자들과 나누고 싶은 핵심 메시지는 “북한이 최근 얼마나 많은 자금을 훔쳤는가?”가 아니다. 오히려 업계 종사자들이 더욱 주의 깊게 살펴봐야 할 것은 다음과 같은 사실이다: 지난 몇 년간 암호화폐 업계에 대한 논의는 홍콩, 미국, 두바이 등 지역, 라이선스, ETF, 스테이블코인, 퍼블릭 체인, 결제, RWA, 자산 보관 등 표면적인 서사에 집중되어 왔다.
그러나 동시에 또 하나의 더 단단하고 현실적인 흐름이 존재하는데, 바로 암호화폐 업계에서 가장 지속적이며, 가장 체계적이며, 가장 조직적으로 실제 자금을 빼가는 행위자가 바로 북한이라는 점이다.
많은 이들이 암호화폐 업계 내 북한의 존재를 언급할 때, 여전히 익숙한 몇 가지 키워드—해커 조직, 자산 도난, 자금 세탁—를 떠올린다. 물론 이러한 표현은 틀리지 않다. 그러나 지금의 상황을 고려할 때, 우리는 여전히 이를 과소평가하고 있을 가능성이 크다.
왜냐하면 북한이 하는 일은 이미 단순히 ‘몇 개의 프로젝트를 해킹하는’ 수준을 넘어섰기 때문이다. 좀 더 정확히 말하자면, 북한은 암호화폐 업계를 중심으로 완전히 정착된 ‘수확 체계’를 구축해 가고 있다.
첫 번째 단계: 대규모 자산 도난
거래소, 크로스체인 브리지, 월렛, 프로토콜 등을 공격하여 자산을 직접 탈취한다. 바이비트 사건이 가장 대표적인 사례인데, 15억 달러라는 규모는 일반적인 업계 사고를 넘어서는 차원의 사건이다.
체인얼리시스의 2025년 보고서는 또한, 북한 관련 공격이 해당 연도 전체 서비스형 플랫폼 탈취 사건의 76%를 차지했으며, 상위 몇 건의 대규모 사건이 대부분의 피해를 초래했다고 지적했다. 이는 북한이 넓게 그물을 치는 ‘작은 도둑’이 아니라, 자원을 집중시키고 목표를 신중히 선정해 ‘큰 고기’를 낚는 전략을 점점 더 능숙하게 구사하고 있다는 것을 의미한다.
두 번째 단계: 위장 침투
프로젝트 팀에 접근해 관계를 형성하고, 업계 내부에서 보기에도 전혀 자연스러운 역할로 위장한다. 드리프트 사건은 이와 관련된 매우 전형적인 사례다. 공격자들은 갑작스럽게 나타난 낯선 계정이 아니라, 행사장에서 만났고, 채팅방에서 대화를 나누었으며, 사업 연동 관련 세부 사항을 수차례 논의했던 사람들이다.
로이터 보도에 따르면, 북한 해커들은 점점 더 가짜 채용 공고를 통해 암호화폐 업계에 침투하고 있다. 허위 채용처, 허위 기업 웹사이트, 허위 기술 테스트, 허위 면접 절차 등은 그 형태의 혁신성보다는, 실제 업계의 업무 흐름에 정밀하게 맞춰진 점에서 위험하다.
세 번째 단계: 원격 잠입
미국 법무부는 2025년 6월 공개한 사건 자료에서, 북한 관련 원격 정보기술(IT) 종사자들이 도용 또는 위조 신분을 이용해 미국 내 100여 개 기업에서 원격 근무를 확보했다고 밝혔다. 이 전체 사슬 뒤에는 허위 웹사이트, 앞잡이 회사, 컴퓨터 중계 지점, 자금 세탁 계좌 등이 복합적으로 연결된 인프라가 존재한다.
FBI가 공개한 수배 정보에 따르면, 일부 범죄자는 원격 근무 권한을 이용해 두 개 기업에서 90만 달러 이상의 가상자산을 탈취하기도 했다. 이 단계에 이르면 리스크는 더 이상 ‘외부 공격’이 아니라 ‘이미 사람이 집 안에 들어왔다’는 점이다. 일단 사람이 들어오면, 채용, 장비, 코드 저장소 권한, 재무 프로세스, 단말 관리 등 평소 사소해 보였던 모든 요소가 내부자와 외부자의 공모를 통한 보안 침해 및 자산 약탈로 이어질 수 있다.
네 번째 단계: 자금 세탁 및 현금화
마지막 단계는 후방에서의 자금 세탁 및 처리 능력이다. 로이터는 2024년 유엔 제재 전문가 자료를 인용해, 북한이 2024년 3월 혼합기(mixing tool)를 통해 관련 사건에서 탈취한 자산 1.475억 달러를 처리했다고 보도했다. 같은 보도는 유엔이 이러한 사이버 공격이 자금 확보, 제재 회피, 무기 개발 자금 조달과 연계돼 있다고 평가했다고 전했다.
북한은 단순히 ‘훔친 후 끝’이 아니라, 분할·이체·세탁·재현금화에 이르기까지 완전한 후방 처리 체계를 갖추고 있다.
4. 왜 암호화폐 업계인가?
많은 진정성 있는 프로젝트는 호황과 불황을 한 차례 거치기도 전에 사라진다. 팀은 해체되고, 제품은 중단되며, 토큰 가격은 제로가 된다. 하지만 북한은 그렇지 않다. 북한은 발표회도 없고, 로드맵도 없으며, 브랜드 스토리텔링도 없다. 그럼에도 불구하고 매년 꾸준히 이 업계에서 자금을 확보해 오고 있으며, 그 방법은 점점 더 정교해지고 있다.
북한이 장기적으로 암호화폐 업계를 주시하는 이유는, 이 신개념에 대한 열렬한 관심 때문이 아니라, 단순히 이 업계가 자신들에게 실용적이기 때문이다.
첫 번째 이유는 자금을 훔치기 쉬운 점이다. 전통 금융 체계 내 많은 자금은 북한이 접근하거나, 접근하더라도 비용이 너무 높은 경우가 많다. 은행, 청산, 국경을 넘는 감독, 제재 명단 등 어느 하나도 쉽게 넘을 수 있는 장벽이 아니다. 그러나 블록체인 세계에서는, 일단 전단계에서 진입점을 찾으면, 이후 자산 분할, 크로스체인 이체, 재분배 공간이 훨씬 넓어진다. 일단 도난 자산이 블록체인 체계에 진입하면, 이후 처리 가능성과 난이도는 전통 금융과 비교조차 되지 않는다.
두 번째 이유는 조직에 침투하기 쉬운 점이다. 암호화폐 업계는 본래 글로벌하고 원격 중심이며, 조직 구조가 가볍다. 사람들은 소셜미디어, 화상회의, 코드 플랫폼, 문서 도구, 테스트 배포 도구 등을 통해 협업, 개발, 펀딩, 운영, 연동, 마케팅까지 전부 수행한다. 평소에는 이것이 효율성을 의미하지만, 다른 관점에서 보면 바로 공격 면(attack surface)이 된다.
5. 암호화폐 업계 종사자를 위한 대응 가이드
많은 암호화폐 프로젝트 팀에게 있어, 이는 국제 정치의 먼 소식이 아니라, 오늘날 업계에서 가장 현실적인 경영 리스크 중 하나다. 이는 추상적인 보안 경고가 아니라, 매우 구체적인 경영 문제다.
1. 직원 채용 및 원격 관리
미국 법무부와 FBI는 위험을 이미 구체적으로 제시했다: 북한 관련 IT 종사자들은 도용 또는 위조 신분을 사용해 미국 기업에서 원격 근무를 확보하고, 미국 내 컴퓨터 중계 지점으로 기업이 발송한 장비를 수령한 후 원격 방식으로 기업 네트워크에 접속한다. 암호화폐 스타트업 팀에게 있어서, 코드 저장소, 프로덕션 환경, 월렛, 배포 프로세스, 재무 백오피스, 인증 데이터 등에 접근하는 모든 포지션은 더 이상 이력서와 결과물만으로 판단해서는 안 된다.
적어도 다음 세 가지를 반드시 시행해야 한다:
첫째, 신분 확인은 교차 검증을 통해 이루어져야 하며, 직업용 소셜미디어 플랫폼, 화상 면접, 여권 사진 한 장만으로는 충분치 않다.
둘째, 민감한 포지션은 반드시 통제 가능한 장비만을 사용해야 하며, 핵심 업무를 위해 순전히 개인용 PC를 장기간 사용하도록 묵인해서는 안 된다.
셋째, 권한 부여는 기본적으로 최소화 원칙을 따라야 한다. 특히 시험 근무 기간 직원, 외주 인력, 계약직 등에게는 처음부터 과도한 접근 권한을 부여한 후 나중에 점차 제한하려는 식의 접근은 금물이다.
2. 파트너 기관 신원 확인
드리프트 사건이 업계에 준 가장 큰 경고 중 하나는, 오프라인에서 만났고, 온라인에서 대화가 잘 통하며, 전문적인 질문을 하고, 심지어 실제로 자금을 투입했다는 사실만으로는 더 이상 자동으로 신뢰할 수 없다는 점이다.
더 실용적인 접근법은 명함, 공식 웹사이트, 소셜미디어 정보로 신원 확인을 마치는 것에서 벗어나, 기업 등록 정보, 과거 프로젝트 이력, 실제 팀 구성원, 공동 지인의 피드백 등을 종합적으로 검토하고, 필요 시 검증 가능한 기관 자료를 요구하는 것이다. 접촉 기간이 길수록, 협업 수준이 깊을수록, 반드시 수행해야 할 리스크 관리 절차는 조금도 줄여서는 안 된다.
3. 보안 감사를 강화
현재 많은 팀이 보안 감사라고 하면 스마트 계약 감사, 월렛 관리, 멀티시그 설정, 체인온 모니터링 등을 떠올린다. 물론 이러한 작업은 모두 필수적이지만, 이제는 더 이상 충분하지 않다.
오늘날 더 주목해야 할 것은 ‘사람의 업무 흐름’이다. 누가 외부 코드 저장소를 다운로드할 수 있는가? 누가 멀티시그 관련 장비에 접근할 수 있는가? 누가 프로덕션 환경에 진입할 수 있는가? 누가 재무 승인을 트리거할 수 있는가? 누가 핵심 권한을 가진 단말기를 사용하는가? 이런 질문들에 대해 많은 팀은 평소 체계적으로 파악조차 하지 않고 있다.
실천 가능한 방법은 분기마다 최소 한 차례 권한 및 단말 감사를 실시하는 것이다: 먼저 멀티시그 접근 권한, 핵심 코드 저장소 접근 권한, 프로덕션 환경 진입 권한, 재무 승인 권한을 보유한 인력을 파악한 후, 관련 장비를 격리하고 위험 검사를 수행한다. 드리프트는 자체 업데이트를 통해 다음과 같이 경고했다: 팀을 점검하고, 누구에게 어떤 접근 권한이 있는지를 감사하며, 멀티시그에 접속한 모든 단말기를 잠재적 공격 대상으로 간주하라.
4. 보안 예산은 경영 비용이다
많은 소규모 팀이 가장 먼저 줄이려는 항목은 감사, 리스크 관리, 프로세스 설계, 단말 관리 등 관련 비용이다. 비싸다고 느끼고, 느리다고 생각하며, 사업 추진에 지장을 준다고 여긴다. 그러나 최근 몇 년간 북한 관련 공격의 특징은 바로 오랜 시간과 상당한 비용을 들여 단 한 번의 고수익을 노리는 데 있다. 이는 고객 자산을 대량으로 관리하는 암호화폐 업계 종사자들에게 분명한 경고음이다.
암호화폐 산업이 오늘날까지 발전해 온 과정에서, 사람들은 항상 한 가지 질문을 던진다: 이 기술은 도대체 무엇을 바꿨는가?
어떤 이는 결제 방식을 바꿨다고 말한다. 어떤 이는 자산 발행 방식을 바꿨다고 말한다. 또 어떤 이는 글로벌 자본의 흐름 방식을 바꿨다고 말한다.
그러나 북한이라는 변수를 함께 고려해 보면, 적어도 한 가지는 분명히 바뀌었다는 사실을 알 수 있다: 즉, 전통 금융 체계 내에서 곳곳에 제약을 받던 국가가, 처음으로 장기적으로 운용 가능하고, 국경을 넘어 자유롭게 흐르며, 지속적으로 자금을 확보할 수 있는 도구를 발견했다는 점이다.
다만, 그 방식은 가장 직접적이면서도 가장 체면치레가 되지 않는 것이었다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
