북한 해커가 한 달 동안 5억 달러를 훔쳐 암호화폐 보안의 최대 위협이 되었다
글쓴이: Oluwapelumi Adejumo
번역: Chopper, Foresight News
단 세 주도 채 되지 않은 기간 동안, 북한과 연계된 해커 조직이 암호화폐 DeFi 플랫폼으로부터 5억 달러 이상을 탈취했다. 이들의 공격 창구는 핵심 스마트 계약에서 인프라의 가장자리에 존재하는 취약점으로 옮겨가고 있다.
Drift와 KelpDAO 공격 사건
Drift Protocol과 KelpDAO를 대상으로 한 두 차례의 중대한 공격으로, 북한 해커들이 올해 벌어들인 불법 암호화폐 수익이 7억 달러를 돌파했다. 막대한 손실은 이들의 전술적 전환을 분명히 보여준다. 즉, 점차 복잡한 취약점을 악용하고, 장기간 은닉된 내부 요원을 투입하여 표준 보안 방어선을 우회하는 빈도가 늘고 있다는 것이다.
4월 20일, 크로스체인 인프라 제공업체인 LayerZero는 KelpDAO가 4월 18일 공격을 받아 약 2.9억 달러를 잃었다고 확인했다. 이는 2026년 현재까지 발생한 단일 암호화폐 도난 사건 중 최대 규모다. 해당 업체는 초기 디지털 포렌식 결과가 직접적으로 ‘TraderTraitor’—북한의 악명 높은 ‘Lazarus Group’ 내부에 소속된 전담 팀—을 가리키고 있다고 밝혔다.
그보다 불과 몇 주 전인 4월 1일, 솔라나(Solana) 기반 탈중앙화 영구계약 거래소인 Drift Protocol도 약 2.86억 달러를 도난당했다. 블록체인 정보 기업 엘립틱(Elliptic)은 곧바로 체인 상의 자금 세탁 수법, 거래 시퀀스, 네트워크 서명 등을 분석해 이를 북한의 기존 공격 패턴과 연결 지었으며, 이것이 올해 이 회사가 추적한 동일 유형의 18번째 사건임을 밝혔다.
공격 방향의 전환: 인프라 외곽 침투
4월 공격 사례는 북한 해커들이 DeFi를 겨냥한 공격을 점차 정교하게 수행하고 있음을 보여준다. 이제 그들은 더 이상 핵심 스마트 계약을 정면으로 공격하지 않고, 구조적 외곽에 위치한 취약점을 찾아 공격한다.
KelpDAO 공격 사례를 보면, 해커들은 LayerZero Labs의 탈중앙화 검증 네트워크(DVN)가 사용하는 하위 계층 RPC(원격 프로시저 호출) 인프라를 제압했다. 이러한 핵심 데이터 채널을 조작함으로써 공격자는 암호학적 기반 자체를 훼손하지 않으면서도 프로토콜의 작동을 통제할 수 있었다. LayerZero는 영향을 받은 노드를 즉시 중단하고 DVN 전체를 복구했지만, 재정적 손실은 이미 불가피하게 확정됐다.
이처럼 간접적인 공격 방식은 사이버 전쟁의 무시무시한 진화 양상을 드러낸다. 블록체인 보안 기업 사이버스(Cyvers)는 크립토슬레이트(CryptoSlate)에 “북한과 연계된 공격자들이 점차 숙련도를 높이고 있으며, 공격 준비 및 실행 단계에 더 많은 자원을 투입하고 있다”고 밝혔다.
이 회사는 또 “우리는 또한 그들이 항상 가장 약한 고리만을 정확히 찾아내는 경향을 관찰했다. 이번 경우도 공격 창구는 프로토콜의 핵심 인프라가 아닌, 제3자 구성요소였다”고 덧붙였다.
이 전략은 전통적인 기업 네트워크 스파이 활동과 매우 유사하며, 북한 관련 공격이 점차 더 효과적으로 방어하기 어려워지고 있음을 의미한다. 최근 구글 연구원이 널리 사용되는 Axios npm 소프트웨어 패키지의 공급망을 침해한 사건이 북한 특수 위협 조직 UNC1069와 연계됐다는 사실이 알려졌는데, 이는 공격자들이 블록체인 생태계에 진입하기 이전 단계에서부터 소프트웨어 자체를 악성으로 변조하려 한다는 점을 시사한다.
북한의 글로벌 암호화폐 산업 종사자 침투
기술적 돌파 외에도, 북한은 현재 전 세계 암호화폐 인력 시장에 대규모·조직적으로 침투하고 있다.
위협 모델은 원격 해킹 활동에서 완전히 전환되어, 무방비 상태의 Web3 스타트업에 악의적 인력을 직접 배치하는 방식으로 바뀌었다.
이더리움 재단 ETH Rangers 보안 프로젝트 산하 ‘케트만 프로젝트(Ketman Project)’는 6개월간의 조사를 통해 충격적인 결론을 도출했다. 약 100명의 북한 사이버 요원이 여러 블록체인 기업 내부에 잠복해 있으며, 이들은 위조 신분을 사용해 표준 HR 심사 절차를 쉽게 통과하고, 민감한 내부 코드베이스에 대한 접근 권한을 확보한 후, 제품 팀 내에서 수개월 또는 수년간 조용히 잠복하다가 정밀한 공격을 개시한다는 것이다.
독립 블록체인 조사관 짐XBT(ZachXBT)는 이 같은 정보기관식 잠복을 추가로 입증했다. 그는 최근 북한 특수 사이버 조직이 사기성 신분을 활용해 원격 고용 형태로 월평균 약 100만 달러의 수익을 올리고 있다는 사실을 폭로했다.
이 방식은 인정받은 글로벌 금융 채널을 통해 암호화폐를 법정화폐로 전환하며, 2025년 말 이후 지금까지 총 350만 달러 이상을 처리했다.
업계 관계자들에 따르면, 북한이 전반적으로 배치한 IT 인력은 매월 수백만 달러의 수익을 창출하고 있다. 이는 북한에 안정적인 급여 수입과 내부 인력이 지원하는 막대한 프로토콜 도난 수익이라는 이중 수입원을 제공한다.
총 도난액 67.5억 달러
북한의 디지털 자산 사업 규모는 어떤 전통적 사이버 범죄 조직보다 훨씬 크다. 블록체인 분석 기업 체인얼리시스(Chainalysis)에 따르면, 2025년 한 해 동안 북한과 연계된 해커들이 기록적인 20억 달러를 탈취했으며, 이는 당시 전 세계 암호화폐 도난 총액의 60%를 차지한다.
올해 치열한 공격 활동을 고려하면, 북한이 역대 누적해 탈취한 암호자산 총액은 이미 67.5억 달러에 달한다.
자금을 확보한 후, 라자루스 그룹(Lazarus Group)은 고도로 특정화되고 지역화된 자금 세탁 패턴을 보여준다. 일반 암호화폐 범죄자들이 DEX나 P2P 대출 프로토콜을 자주 이용하는 것과 달리, 북한 해커들은 의도적으로 이러한 채널을 회피한다. 체인 상 데이터에 따르면, 그들은 중국 지역의 담보 거래 서비스, 심층 OTC 브로커 네트워크, 복잡한 크로스체인 믹싱 서비스에 높은 의존도를 보이고 있다. 이러한 선호는 전 세계 금융 시스템에 무제한으로 접근할 수 있는 것이 아니라, 구조적 제약과 지리적 제한에 따른 자금 현금화 채널을 반영한다.
방어는 가능한가?
보안 연구원들과 업계 고위 관계자들은 방어가 가능하다고 보지만, 암호화폐 기업들은 여러 차례 중대한 공격에서 반복적으로 드러난 동일한 운영상 취약점을 반드시 해결해야 한다고 강조한다.
휴머니티(Humanity) 창립자 테렌스 콕(Terence Kwok)은 크립토슬레이트에 “북한과 연계된 공격은 여전히 새로운 사이버 침입 형태가 아니라, 잘 알려진 일반적 취약점을 겨냥하고 있다”고 말했다. 그는 북한 공격자들이 침입 수단과 탈취 자금 이동 능력을 향상시키고 있지만, 근본 원인은 여전히 부실한 접근 제어와 중앙집중화된 운영 리스크라고 지적했다.
그는 “놀라운 점은, 여전히 접근 제어 문제와 단일 장애 지점(SPOF) 등 오래된 문제가 손실의 원인으로 지목되고 있다는 사실이다. 이는 업계가 여전히 기본적인 보안 규율 문제를 해결하지 못하고 있음을 보여준다”고 설명했다.
이에 따라 콕은 업계의 첫 번째 방어선으로, 자산 이체를 어렵게 만드는 것을 크게 강화해야 한다고 주장했다. 즉, 개인키, 내부 권한, 제3자 접근 권한에 대해 훨씬 엄격한 통제를 시행해야 한다는 것이다. 실천적으로는 기업이 개인 운영자에 대한 의존도를 줄이고, 특권 접근을 제한하며, 공급업체 의존성을 강화하고, 핵심 프로토콜과 외부 세계 사이의 인프라에 더 많은 검증 계층을 추가해야 한다.
두 번째 방어선은 ‘속도’다. 도난된 자금이 일단 크로스체인 또는 크로스브릿지로 이동하거나 자금 세탁 네트워크에 진입하면, 회수 가능성은 급격히 낮아진다. 콕은 거래소, 스테이블코인 발행사, 블록체인 분석 기업, 집행 기관이 공격 직후 수 분 또는 수 시간 이내에 신속하게 협력해야만 자금 차단 성공률을 높일 수 있다고 말했다.
그의 말은 업계 현실을 정확히 지적한다. 암호화 시스템의 가장 취약한 지점은 코드, 인력, 운영이 교차하는 접점에 있다. 하나의 도난된 인증서, 하나의 약한 공급업체 의존성, 하나의 간과된 권한 취약점만으로도 수억 달러의 손실이 발생할 수 있다.
DeFi가 직면한 도전은 더 이상 단순히 견고한 스마트 계약을 작성하는 데 머무르지 않는다. 그것은 공격자가 다음 약점에 접근하기 전에, 프로토콜 외곽의 운영 보안을 지켜내는 데 있다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
@CryptoSlate
