"북한 해커, 디지털자산 10년간 10조원 해킹"
글로벌 웹3 보안기업 서틱(CertiK)은 '스카이넷(Skynet) 북한 가상자산 위협 보고서'를 13일 발표했다. 지난 10년간 북한 연계 해커 조직의 가상자산 산업 내 진화 과정과 자금 흐름을 체계적으로 추적 및 분석했다. 보고서에 따르면 북한 해커 조직은 2016년 이후 현재까지 총 67억5000만달러(약 10조원) 규모의 디지털자산을 탈취한 것으로 나타났다. 특히 2025년 한 해 동안 발생한 관련 해킹 피해 규모는 20억6000만 달러에 달했다. 이는 글로벌 가상자산 업계 전체 피해액의 약 60%에 해당한다. 보고서는 북한 연계 해커 조직이 기존의 단순 코드 취약점 공격 단계를 넘어, 공급망 심층 침투와 대규모 자금 세탁 능력을 갖춘 고도화된 국가 차원의 공격 체계로 진화하고 있다고 분석했다. 핵심 데이터: 조직화된 공격과 산업화된 자금 세탁 보고서에 따르면 북한 해커 조직의 공격은 고도로 정교한 '시스템화' 특징을 보이고 있다. 전체 공격 횟수는 상대적으로 많지 않지만, 유동성이 높은 고가치 목표를 집중적으로 노리는 방식이다. ▲누적 피해 규모: 2016년 이후 현재까지 북한 연계 해커 조직은 총 263건의 공격을 감행했으며, 이로 인한 디지털자산 피해 규모는 약 67억5000만 달러에 달한 것으로 집계됐다. ▲2025년의 압도적 파괴력: 2025년 북한 연계 공격은 전체 글로벌 해킹 사건 수의 약 12%에 불과했지만, 탈취 규모는 20억6000만 달러로 전체 가상자산 업계 피해액의 약 60%를 차지했다. 특히 Bybit 해킹 사건은 약 15억 달러 규모의 피해를 기록하며, 업계 역사상 최대 단일 해킹 사건으로 남았다. ▲2026년에도 이어지는 위협: 2026년 초 기준 북한 해커 소행으로 확인된 디지털자산 피해 규모는 약 6.209억 달러로, 글로벌 전체 피해액의 약 55%를 차지한 것으로 나타났다. 고도화된 자금 세탁 역량: Bybit 사건과 같은 대형 해킹 사례에서는 탈취 자금의 86% 이상(주로 이더리움 기반 자산)이 단 한 달 만에 믹서, 크로스체인 브리지, 탈중앙화거래소(DEX), 장외거래(OTC) 네트워크 등을 통해 세탁 및 이전된 것으로 분석됐다. 전술 진화: '코드 해킹'에서 '인간 심리 공격'과 인프라 침투로 'Skynet 북한 가상자산 위협 보고서'는 최근 몇 년간 발생한 주요 보안 사건을 심층 분석하며, 북한 해커 조직의 공격 방식이 근본적으로 변화하고 있다고 지적했다. 과거처럼 단순히 스마트컨트랙트 코드 취약점을 찾는 데 그치지 않고, 이제는 인간 심리와 공급망 인프라의 취약 지점을 주요 공격 대상으로 삼고 있다는 설명이다. 보고서는 이러한 공격 역량의 진화를 보여주는 대표 사례로 아래 세 가지 사건을 제시했다. ▲Ronin 브리지 해킹 사건(2022년, 피해액 6.25억 달러): 사회공학 공격의 위력을 보여준 사례다. 해커들은 링크드인(LinkedIn)의 허위 채용 공고를 활용한 피싱 공격을 통해 내부 엔지니어의 기기에 스파이웨어를 성공적으로 설치했다. ▲Bybit 거래소 해킹 사건(2025년, 피해액 15억 달러): 이 사건은 공급망 공격이 본격적인 핵심 전술로 자리 잡았음을 보여준다. 공격자들은 거래소 자체를 직접 공격하지 않고, Bybit가 사용하던 서드파티 멀티시그 플랫폼인 Safe 지갑 개발자의 장비를 침해해 신뢰된 사용자 인터페이스(UI)를 변조했다. ▲Drift 프로토콜 사건(2026년, 피해액 2.85억 달러): 보고서는 이 사건이 새로운 형태의 '물리적 침투(오프라인 침투)' 공격을 드러냈다고 분석했다. 공격자들은 제3의 중개인을 고용해 약 6개월 동안 가상자산 업계 행사와 컨퍼런스에 직접 참석하며, 프로토콜 핵심 기여자들과 오프라인 관계를 형성했다. 또한 실제 자금을 투자해 신뢰를 구축한 뒤, 최종적으로 오라클 조작과 거버넌스 권한 장악을 통해 공격을 실행한 것으로 나타났다. 잠복형 위협: IT 인력 침투와 블록체인 기반 C2 인프라 외부 해킹 공격 외에도 보고서는 북한 해커 조직이 가상자산 생태계 내부로 깊숙이 침투하기 위해 활용하고 있는 두 가지 은밀한 수법을 공개했다. 실질적인 내부자 위협(북한 IT 인력 침투): 보고서에 따르면 수년간 수천 명의 북한 IT 인력들이 위조 신원을 이용해 DeFi 프로토콜과 서방 기술 기업에 원격 근무 형태로 침투해 온 것으로 나타났다. 이들은 '신뢰 가능한 내부 직원'으로 장기간 잠복하며 정보 수집과 내부 지원 역할을 수행했으며, 일부 사례에서는 직접 자금 탈취에도 가담한 것으로 분석됐다. 대표적으로 Munchables 사건에서는 내부 인력이 자신이 소속된 조직의 자금을 직접 탈취한 사례가 확인됐다. 블록체인을 악용한 공격 인프라 구축: 2025년 10월 구글 위협 인텔리전스 그룹은 북한 해커 조직이 처음으로 'EtherHiding' 기법을 활용한 사실을 공개했다. 공격자들은 퍼블릭 블록체인을 탈중앙화된 명령•제어(C2) 인프라로 활용했으며, 악성 페이로드를 스마트컨트랙트의 거래 데이터 안에 저장하는 방식을 사용했다. 이로 인해 해당 인프라는 수사기관이 강제로 차단하거나 폐쇄하기가 사실상 불가능한 구조를 갖게 됐다. 업계 대응 권고: 국가급 해커에 대응하기 위한 심층 방어 체계 구축 점차 고도화되는 공격 방식에 대해 CertiK 미국 정부정책 총괄 Stefan Muehlbauer는 “Drift 프로토콜 사건은 북한 해커 조직의 공격 방식이 근본적으로 변화하고 있음을 보여준다”며 “실제 온체인 공격이 발생했을 때는 이미 사전 침투 작업이 상당 부분 완료된 상태인 경우가 많다. 이제는 단순한 기술 중심 보안 프레임워크만으로 이러한 위협에 효과적으로 대응하기 어렵다”고 경고했다. 이에 따라 CertiK은 가상자산 업계와 금융기관을 대상으로 다음과 같은 핵심 방어 조치를 권고했다. ▲제로트러스트 기반 채용 체계 도입: 모든 원격 프리랜서 및 신규 채용 인력을 기본적으로 고위험군으로 간주하고, 장기간 검증 가능한 오프라인 신뢰 관계가 형성되기 전까지는 핵심 운영 코드, 개인키, 관리 시스템 접근을 제한해야 한다고 제안했다. 또한 실시간 생체 확인이 포함된 화상 면접을 의무화하고, 전문 신원 검증 서비스를 통해 위조 신원을 사전에 차단할 필요가 있다고 강조했다. ▲사회공학 공격 방어 강화: 허위 채용 제안, 위장 벤처투자사, 악성 코드 저장소 등을 활용한 사회공학 공격에 대응하기 위해 정기적인 임직원 보안 교육을 실시해야 한다고 밝혔다. 특히 텔레그램, Discord 등 메신저를 통해 전달되는 코드 파일, 회의 링크, 투자 문서 등에 대해서는 신원 검증 없이 열람 및 실행하지 않도록 내부 정책을 강화해야 한다고 지적했다. ▲공급망 및 인프라 보안 강화: 멀티시그 지갑, 클라우드 서비스 제공업체 등 서드파티 인프라에 대한 엄격한 보안 감사를 수행하고, 특정 공급업체에 대한 과도한 의존을 피해야 한다고 권고했다. 또한 고액 거래 서명과 금고 자금 관리용 개인키는 물리적으로 격리된 하드웨어 보안 모듈(HSM)에 저장하고, 모든 중요 작업은 다수 인원의 물리적 승인 절차를 거쳐야 한다고 설명했다. ▲자금 보안 차단 메커니즘 구축: 대규모 출금 요청에는 24~72시간의 대기 기간을 의무 적용해 보안팀이 의심 거래를 차단할 수 있는 시간을 확보해야 한다고 밝혔다. 아울러 모든 프로토콜 운영 및 거버넌스 변경에는 타임락을 강제 적용하고, 즉시 실행 가능한 '제로 타임락' 권한 변경은 금지해야 한다고 강조했다. 기업은 앞서 언급한 대응 체계를 통해 내부적인 1차 방어선을 구축할 수 있지만, 국가 차원의 해커 조직이 수행하는 조직적, 지속적 공격에 대응하기에는 단일 기관의 방어 역량만으로는 한계가 존재한다. 이에 따라 기업은 내부 보안 체계를 강화하는 데 그치지 않고, 전 생애주기를 포괄하는 외부 보안 지원 체계까지 함께 구축할 필요가 있다. 공격 이전 단계에서는 전문 보안 기관을 통해 스마트컨트랙트 코드 감사, 정형 검증(Formal Verification), 모의 해킹(Penetration Testing) 등 인프라 수준의 보안 점검을 수행함으로써 잠재적 취약점을 사전에 식별하고 제거할 수 있다. 프로젝트 운영 단계에서는 24시간 긴급 대응 체계, 상시 리스크 모니터링, 그리고 온체인 반자금세탁(AML)•KYT 기반 자금 추적 역량이 필수적으로 요구된다. 또한 전 세계적으로 규제가 강화되는 상황에서, 준비금 증명(PoR) 감사와 라이선스 취득을 위한 컴플라이언스 지원 체계 역시 불법 자금세탁 경로를 차단하기 위한 핵심 요소로 부상하고 있다. 보고서는 이처럼 기초 코드 보안부터 온체인 자금 추적에 이르는 입체적 방어 체계를 구축하는 것이 디지털자산 산업의 지속 가능한 성장을 위한 필수 조건이 되고 있다고 강조했다. 보고서 전문보기: https://indd.adobe.com/view/be48d044-d9fb-428d-b9a9-8b740356853a
