저자: 변호사 Liu Honglin

지난 6개월 동안 암호화폐 업계는 마치 썰물 후의 해변처럼 텅 비어 있었습니다.

사람들은 여전히 여기에 있고, 프로젝트들도 여전히 존재하지만, 새로운 프로젝트들이 끊임없이 등장하고, 곳곳에서 자금 지원 발표가 나오고, 단체 채팅방에서 사람들이 매일같이 참여하려고 아우성치던 분위기는 상당히 줄어들었습니다.

남은 팀원들은 분명 비전과 장기 목표에 대해 이야기하겠지만, 사적으로는 계좌에 얼마나 돈이 있는지, 비용을 어떻게 더 절감할지, 팀을 안정시키고 약세장의 겨울을 어떻게 헤쳐나갈지 등 매우 실질적인 문제들에 대해 더 많이 이야기할 것입니다.

하지만 프로젝트 팀에게 있어 약세장의 가장 큰 문제는 코인 가격 하락이나 자금 조달의 어려움뿐만 아니라, 이미 어려움을 겪고 있는 가정이 자산 도난과 같은 더 심각한 문제에 직면하게 된다는 점입니다.

상승장에서 손해를 보는 것도 고통스럽지만, 하락장에서 손해를 보는 것은 정말 참담한 일입니다.

I. Drift, 2억 8500만 달러 도난 피해 발생

이번에 해킹당한 회사는 드리프트(Drift)로, 2026년 초 이후 발생한 최대 규모의 DeFi 공격 중 하나이며, 약 2억 8500만 달러가 도난당했습니다.

솔라나 생태계에 익숙한 사람이라면 이 이름을 알아볼 가능성이 높습니다. 주로 무기한 계약 거래에 초점을 맞춘 탈중앙화 거래소이지만, 현물 거래, 대출, 금고 서비스도 제공합니다. 공식 문서에서는 솔라나에서 가장 큰 오픈소스 무기한 계약 탈중앙화 거래소 중 하나라고 설명하고 있습니다.

공개된 정보에 따르면 공격은 2026년 4월 1일에 발생했지만, 그 이전 6개월 동안 계획이 진행되었을 가능성이 있습니다. 2025년 가을, 양적 거래팀이라고 주장하는 한 그룹이 대규모 업계 컨퍼런스에서 Drift 직원들에게 접근했습니다. 이후 그룹 채팅, 회의, 전략 및 사업 통합에 대한 논의는 모두 정상적으로 진행되었습니다. 더 중요한 것은, 그들이 단순히 언급만 한 것이 아니라 실제로 100만 달러가 넘는 자금을 생태계 금고에 예치했다는 점입니다. 그들은 이것이 더 큰 목표를 위한 장기적인 전략이라는 것을 전혀 몰랐습니다.

드리프트 사건만 놓고 보면, 이는 최고 수준의 프로젝트에서 발생한 또 다른 보안 침해 사고에 불과할 수 있습니다. 하지만 지난 몇 년간 업계에서 발생한 다른 주요 사건들과 함께 고려해 보면, 상황은 상당히 다릅니다.

아무리 복잡한 과정을 거치더라도, 여러 사건들은 결국 북한과 연결될 것입니다.

II. 북한의 해킹 성과

2025년 2월, FBI는 북한이 바이비트(Bybit) 소유의 약 15억 달러 상당의 가상 자산을 훔쳤으며, 이는 이른바 "트레이더트래터(TraderTraitor)" 작전의 소행이라고 공식 발표했습니다.

2025년 말, 체이나리시스는 북한 해커들이 2025년 한 해 동안 최소 20억 2천만 달러 상당의 암호화폐 자산을 탈취했다고 연간 데이터를 발표했습니다. 이는 전년 대비 51% 증가한 수치이며, 과거 누적 최저치는 67억 5천만 달러에 달합니다. 더욱 두드러진 특징은 북한의 공격 횟수는 감소했지만, 개별 공격 규모는 점점 더 커졌다는 점입니다.

북한이라는 이름이 최근 바이비트나 드리프트 때문에 갑자기 등장한 것이 아닙니다. 수년 동안 암호화폐 업계에 존재해 왔으며, 그 영향력은 약해지기는커녕 오히려 강해지고 있습니다.

더 거슬러 올라가 보면, 북한의 화폐 절도 전력은 상당히 흔한 일이었다.

2024년 로이터 통신은 유엔 제재 전문가들의 자료를 인용하여 유엔이 2017년부터 2024년까지 북한이 암호화폐 기업들을 대상으로 감행한 것으로 추정되는 97건의 사이버 공격을 조사했으며, 그 피해액은 약 36억 달러에 달한다고 보도했습니다.

2024년 11월, 한국 경찰은 약 4200만 달러 상당의 2019년 이더리움 도난 사건이 북한 군사 정보 체계와 연계된 해커 그룹과 관련이 있다고 공개적으로 밝혔습니다.

드리프트 작전과 관련하여 또 다른 중요한 사실은 관련 보안팀의 지원을 받아 현재로서는 이 작전과 2024년 10월에 발생한 래디언트 캐피털 공격 모두 북한과 연관되어 있다는 것이 공통된 의견이라는 점입니다.

이러한 사례들을 종합적으로 살펴보면, 서로 무관한 몇몇 사례가 아니라, 동일한 유형의 사람들이 서로 다른 프로젝트, 다른 시기, 그리고 다른 상황에서 정교하고 성숙한 접근 방식을 반복적으로 사용한 사례라고 볼 수 있습니다.

III. 북한 해커들의 데이터 수집 시스템

이 시점에서 이 글이 진정으로 논의하고자 하는 것은 "북한이 최근 얼마나 많은 돈을 훔쳤는지"가 아니라, 업계 종사자들이 더 주목해야 할 다른 문제입니다. 지난 몇 년간 암호화폐 산업에 대한 논의는 홍콩, 미국, 두바이에 집중되었고, 라이선스, ETF, 스테이블코인, 퍼블릭 체인, 결제, 위험가중자산(RWA), 수탁과 같은 표면적인 이야기들에만 초점이 맞춰졌습니다.

하지만 더욱 설득력 있는 사실은 북한이 이 산업에서 가장 지속적이고 체계적이며 조직적인 방식으로 실질적인 자금을 빼돌려 왔다는 점입니다.

많은 사람들이 북한의 암호화폐 산업 진출에 대해 들으면 여전히 해킹 조직, 암호화폐 절도, 자금 세탁과 같은 기존의 이미지를 떠올립니다. 물론 이러한 표현들도 일리가 있지만, 돌이켜보면 북한의 영향력을 과소평가한 것일지도 모릅니다.

왜냐하면 그들의 활동은 이미 단순히 "몇몇 프로젝트를 해킹하는 것"을 넘어섰기 때문입니다. 더 정확히 말하자면, 그들은 암호화폐 산업을 악용하기 위한 완벽한 시스템을 점점 더 발전시켜 왔습니다.

1단계: 대규모 화폐 절도

거래소, 크로스체인 브리지, 지갑 및 프로토콜에 대한 공격은 자산의 직접적인 탈취를 가능하게 합니다. 바이비트(Bybit)가 대표적인 예이며, 15억 달러 규모의 거래는 더 이상 업계에서 흔히 발생하는 사건이 아닙니다.

체이나리시스의 2025년 보고서에 따르면, 북한 관련 공격이 그해 전체 서비스 플랫폼 해킹 사건의 76%를 차지했으며, 주요 사건들이 손실액의 대부분을 차지했습니다. 이는 북한이 단순히 광범위한 공격을 감행하는 도둑이 아니라, 자원을 집중하고 목표물을 선별하여 큰 물고기를 잡는 데 점점 더 능숙해지고 있음을 시사합니다.

두 번째 단계: 변장과 침투

그들은 프로젝트 팀에 접근하여 관계를 구축하고, 마치 평범한 업계 관계자인 것처럼 행세했습니다. 드리프트의 사례가 대표적인 예입니다. 상대방은 갑자기 나타난 완전히 낯선 계정이 아니었습니다. 행사에서 만났거나, 단체 채팅방에서 이야기를 나누었거나, 여러 사업 관련 세부 사항을 논의했던 사람이었습니다.

로이터 통신은 북한 해커들이 가짜 채용 공고를 만들어 암호화폐 업계에 침투하는 사례가 늘고 있다고 보도했습니다. 이러한 가짜 채용 공고, 가짜 회사 웹사이트, 가짜 기술 시험, 가짜 면접 과정이 무서운 이유는 단순히 새로워 보인다는 점이 아니라, 업계의 실제 업무 흐름과 매우 흡사하기 때문입니다.

세 번째 계층: 원격 침투자

2025년 6월 미국 법무부가 공개한 한 사건에 따르면, 북한의 원격 통신 담당자들이 도난당하거나 위조된 신분을 이용해 100개가 넘는 미국 기업에서 원격 근무를 한 것으로 드러났습니다. 이러한 범죄 행위의 배후에는 가짜 웹사이트, 위장 회사, 컴퓨터 데이터 전송 지점, 자금 세탁 계좌와 같은 지원 체계가 있었습니다.

FBI의 수배 전단에 따르면 일부 개인들이 원격 접속 권한을 이용해 두 회사에서 90만 달러 상당의 암호화폐를 훔친 것으로 드러났습니다. 이 정도 수준이면 위험은 더 이상 "외부 공격"이 아니라 "이미 누군가가 내부로 침입했다"는 의미입니다. 일단 침입에 성공하면 채용, 장비, 코드 저장소 접근, 재무 처리, 엔드포인트 관리와 같은 사소해 보이는 것들도 조직적인 보안 공격과 자산 약탈의 도구로 악용될 수 있습니다.

네 번째 단계: 자금 세탁 및 자금 유동화

마지막 단계는 자금 세탁 및 자금 처리 기능을 포함한 후방 지원 체계입니다. 로이터 통신은 2024년 유엔 제재 전문가들의 자료를 인용하여 북한이 2024년 3월 관련 사건에서 탈취한 자산 1억 4750만 달러를 자금 혼합 도구를 이용해 처리했다고 보도했습니다. 같은 보고서에서는 유엔이 이러한 사이버 공격이 자금 확보, 제재 회피, 그리고 무기 개발 프로그램 지원과 관련이 있다고 보고 있다고 언급했습니다.

북한은 단순히 "훔치고 나서 멈추는" 것이 아니라, 해체, 재편성, 숙청, 그리고 이를 통해 수익을 창출하는 일련의 능력을 갖추고 있습니다.

IV. 왜 암호화폐 산업인가?

많은 합법적인 프로젝트는 단 한 번의 상승장과 하락장 주기 후에 실패합니다. 팀은 해체되고, 제품은 중단되며, 코인 가격은 0으로 떨어집니다. 하지만 북한은 다릅니다. 기자 회견도 없고, 로드맵도 없고, 브랜드 스토리도 없지만, 매년 꾸준히 업계로부터 자금을 조달하고 있으며, 그 방식은 점점 더 정교해지고 있습니다.

북한이 암호화폐 산업을 예의주시하는 것은 단순히 이러한 새로운 개념에 특별한 관심이 있어서가 아니라, 그 산업 자체가 북한에 실질적으로 유용하기 때문이다.

첫째, 자금을 훔치기가 더 쉽습니다. 전통적인 금융 시스템에서는 많은 자금에 접근하기 어렵거나 접근 비용이 너무 높습니다. 은행, 결제 기관, 국경 규제, 제재 목록 등 각 단계가 장벽으로 작용합니다. 그러나 온체인 세계에서는 진입점만 찾을 수 있다면, 이후 분할, 크로스체인 거래, 재분배의 가능성이 훨씬 커집니다. 도난 자산이 온체인 시스템에 유입되면, 이후 처리 과정과 난이도는 전통적인 금융 시스템과는 완전히 다릅니다.

둘째로, 조직이 침투하기가 더 쉽습니다. 암호화폐 산업은 본질적으로 세계화되어 있고, 원격 근무가 가능하며, 시스템이 간소합니다. 모든 구성원이 협업, 개발, 자금 조달, 운영, 통합 및 시장 조성을 위해 소셜 미디어, 화상 회의, 코드 플랫폼, 문서화 도구, 테스트 및 배포 도구에 의존합니다. 일반적으로 이는 효율성을 의미하지만, 다른 관점에서 보면 공격 표면이 될 수 있습니다.

V. 암호화 전문가를 위한 대처 지침

많은 암호화폐 프로젝트 팀에게 있어 이는 먼 미래의 국제 정치 뉴스가 아니라, 오늘날 업계가 직면한 가장 시급한 운영상의 위험 중 하나입니다. 이는 추상적인 보안 경고가 아니라, 매우 현실적인 비즈니스 문제입니다.

1. 직원 채용 및 원격 관리

미국 법무부와 FBI는 다음과 같은 위험성을 상세히 설명했습니다. 북한의 IT 인력은 도난 또는 위조된 신분을 이용하여 미국 기업의 원격 근무직에 지원하고, 미국 내 컴퓨터 중계 지점을 통해 기업에서 배송한 장비를 수령한 후 원격으로 회사 네트워크에 접근할 수 있습니다. 암호화폐 업계 스타트업의 경우, 코드 저장소, 운영 환경, 지갑, 배포 프로세스, 금융 백엔드 시스템 및 신원 인증 데이터에 대한 접근 권한이 필요한 직책은 더 이상 이력서와 결과물만으로 채용할 수 없습니다.

최소한 세 가지 일을 해야 합니다.

첫째, 신원 확인은 포괄적인 방식으로 이루어져야 하며, 전문 소셜 네트워킹 플랫폼, 화상 인터뷰, 여권 사진에만 의존해서는 안 됩니다.

둘째, 민감한 업무에는 제어 가능한 장비를 사용해야 하며, 핵심 업무 처리에 개인용 컴퓨터만 장기간 사용하는 것은 용납될 수 없습니다.

셋째, 특히 수습사원, 외주 인력, 계약직 직원의 경우 기본적으로 권한을 최소화해야 합니다. 처음부터 너무 많은 접근 권한을 주지 말고 나중에 점차 줄여나가십시오.

2. 파트너 신원 확인

드리프트가 업계에 일깨워준 가장 중요한 교훈 중 하나는, 단순히 직접 만났거나, 온라인에서 원활한 대화를 나눴거나, 전문적인 질문을 했거나, 심지어 실제로 돈을 투자했다고 해서 그 사람을 자동으로 신뢰할 수 있다고 가정해서는 안 된다는 점입니다.

보다 실용적인 접근 방식은 명함, 공식 웹사이트, 소셜 미디어에만 의존하는 것이 아닙니다. 검증에는 회사 등록 정보, 과거 프로젝트 기록, 실제 팀 구성원, 그리고 공통 지인의 피드백 확인이 포함되어야 합니다. 필요한 경우, 검증 가능한 기관 문서를 요청하십시오. 관계가 오래되고 협력이 깊어질수록 위험 관리 조치는 더욱 중요해집니다.

3. 보안 감사 기능을 강화해야 합니다.

현재 많은 팀들이 보안 감사에 대해 이야기할 때, 여전히 스마트 계약 감사, 지갑 관리, 다중 서명 구성 및 온체인 모니터링을 떠올립니다. 물론 이러한 것들은 모두 필요하지만, 더 이상 충분하지 않습니다.

오늘날 중요한 것은 "인간 중심의 워크플로"입니다. 누가 외부 코드 저장소를 다운로드할 수 있는지, 누가 다중 서명 관련 장치에 접근할 수 있는지, 누가 운영 환경에 접속할 수 있는지, 누가 재정 승인을 진행할 수 있는지, 그리고 누구의 단말기가 핵심 권한에 접근할 수 있는지 등을 명확히 해야 합니다. 많은 팀들이 이러한 문제에 대해 시스템 디스크 검사를 정기적으로 수행하지 않았습니다.

보다 실용적인 접근 방식은 최소 분기별로 한 번씩 접근 제어 및 엔드포인트 감사를 실시하는 것입니다. 먼저, 다중 서명 계정에 접근 권한이 있는 사람, 핵심 코드 저장소를 볼 수 있는 사람, 운영 환경에 접근할 수 있는 사람, 그리고 재정 승인 권한을 가진 사람을 파악해야 합니다. 그런 다음, 관련 기기를 격리하고 위험 점검을 실시합니다. Drift 자체도 업데이트를 통해 사용자에게 다음과 같은 사항을 상기시킵니다. 검사팀을 감사하고, 누가 어떤 권한으로 접근할 수 있는지 파악하며, 다중 서명 계정에 접근 권한이 있는 모든 기기를 잠재적 공격 대상으로 간주해야 합니다.

4. 안전 예산은 운영 비용의 일부입니다.

많은 소규모 팀은 감사, 위험 관리, 프로세스 설계 및 엔드포인트 관리와 같은 영역에서 비용과 시간이 많이 소요되고 비즈니스 운영에 악영향을 미친다는 이유로 편법을 사용하는 경향이 있습니다. 그러나 최근 북한 관련 공격의 특징은 단 한 번의 높은 수익을 위해 상당한 시간과 자원을 투자한다는 점입니다. 이는 상당한 고객 자산을 관리하는 암호화폐 업계 종사자들에게 경각심을 불러일으켜야 합니다.

암호화폐 산업이 현재의 모습으로 발전하면서 사람들은 흔히 "도대체 무엇이 달라졌을까?"라는 질문을 던집니다.

어떤 이들은 그것이 지불 방식을 바꿨다고 말하고, 어떤 이들은 자산 발행 방식을 바꿨다고 말하며, 또 어떤 이들은 글로벌 자본 흐름 방식을 바꿨다고 말합니다.

하지만 북한을 분석 대상에 포함시키면 적어도 한 가지 변화는 발견할 수 있습니다. 바로 기존 금융 시스템에 제약을 받던 국가가 장기적으로 운영되고, 국경을 넘나들며, 자금에 지속적으로 접근할 수 있는 수단을 처음으로 찾게 되었다는 점입니다.

하지만 그것은 가장 직접적이면서도 가장 품위 없는 방식으로 이루어졌습니다.

SlowMist: 북한 해커 그룹 라자루스가 암호화폐를 겨냥한 새로운 macOS 악성코드 툴킷을 출시했습니다.

인기 기사