북한 연계 해커 조직의 디지털자산 공격 방식이 코드 취약점 공략을 넘어 사회공학, 공급망 침투, 오프라인 관계 구축까지 확장되고 있다는 분석이 나왔다. 공격 대상도 단순한 스마트컨트랙트나 거래소 시스템에 머물지 않는다. 개발자 장비, 멀티시그 인프라, 원격 근무 인력, 업계 행사와 네트워크까지 공격 표면으로 활용되는 양상이다.
글로벌 Web3 보안 기업 CertiK은 ‘Skynet 북한 가상자산 위협 보고서’를 발표했다고 13일 밝혔다.
12일 발표된 이 보고서는 지난 10년간 북한 연계 해커 조직의 디지털자산 탈취 방식과 자금 흐름을 분석했다. 보고서에 따르면 북한 해커 조직은 2016년 이후 현재까지 263건의 공격을 통해 약 67억5000만 달러 규모의 디지털자산을 탈취한 것으로 집계됐다.
특히 2025년의 피해 규모가 두드러졌다. 2025년 북한 연계 공격은 글로벌 해킹 사건 수 기준으로는 약 12%에 그쳤지만, 탈취액은 20억6000만 달러에 달했다. 이는 같은 해 가상자산 업계 전체 피해액의 약 60%에 해당한다. 보고서는 북한 해커 조직이 공격 빈도보다 고유동성·고가치 목표에 집중하는 방식으로 피해 규모를 키우고 있다고 분석했다.
대표 사례는 2025년 발생한 Bybit 해킹 사건이다. 피해액은 약 15억 달러로, 업계 역사상 최대 규모의 단일 해킹 사건으로 기록됐다. 보고서에 따르면 이 사건에서 탈취된 자금의 86% 이상은 한 달 안에 믹서, 크로스체인 브리지, 탈중앙화거래소(DEX), 장외거래(OTC) 네트워크 등을 거쳐 세탁·이전됐다. 단순 탈취뿐 아니라 사후 자금 은닉과 이동까지 산업화된 체계를 갖췄다는 의미다.
2026년에도 위협은 이어지고 있다. 보고서는 올해 초 기준 북한 해커 소행으로 확인된 디지털자산 피해액이 약 6억2090만 달러에 이르며, 글로벌 전체 피해액의 약 55%를 차지했다고 밝혔다. 이는 북한 연계 공격이 일회성 대형 사고가 아니라 지속적이고 조직적인 위협으로 굳어지고 있음을 보여준다.
공격 전술, 코드에서 사람과 인프라로 이동
보고서가 주목한 변화는 공격 방식의 전환이다. 과거 디지털자산 공격은 스마트컨트랙트 취약점이나 프로토콜 설계 오류를 노리는 기술적 침투가 중심이었다. 그러나 최근 북한 연계 해커 조직은 사람의 신뢰, 조직의 업무 흐름, 외부 공급망, 오프라인 네트워크까지 공격 경로로 삼고 있다.
2022년 Ronin 브리지 해킹 사건은 사회공학 공격의 대표 사례로 제시됐다. 공격자들은 링크드인(LinkedIn)의 허위 채용 공고를 활용해 내부 엔지니어에게 접근했고, 피싱을 통해 해당 기기에 스파이웨어를 설치한 것으로 분석됐다. 피해액은 6억2500만 달러에 달했다. 이는 기술 시스템의 취약점이 아니라 사람의 경계심과 업무 환경을 파고든 공격이었다.
2025년 Bybit 사건은 공급망 공격의 위험성을 드러냈다. 공격자는 거래소 자체를 정면으로 공격하지 않았다. 대신 Bybit가 사용하던 서드파티 멀티시그 플랫폼인 Safe 지갑 개발자의 장비를 침해하고, 신뢰된 사용자 인터페이스(UI)를 변조하는 방식을 택했다. 보안 체계가 강한 핵심 기업을 직접 뚫기보다, 연결된 외부 인프라의 약한 지점을 노린 것이다.
2026년 Drift 프로토콜 사건은 공격 방식이 오프라인으로까지 확장됐음을 보여주는 사례로 거론됐다. 보고서에 따르면 공격자들은 제3의 중개인을 고용해 약 6개월 동안 가상자산 업계 행사와 컨퍼런스에 참석했다. 이들은 프로토콜 핵심 기여자들과 오프라인 관계를 형성하고 실제 자금을 투자해 신뢰를 쌓은 뒤, 오라클 조작과 거버넌스 권한 장악을 통해 공격을 실행한 것으로 분석됐다. 피해액은 2억8500만 달러로 집계됐다.
이 같은 흐름은 Web3 보안의 초점이 코드 감사만으로는 충분하지 않은 단계에 들어섰음을 의미한다. 프로토콜 코드가 안전하더라도 운영자와 개발자, 지갑 인프라, 거버넌스 권한, 외부 협력사, 오프라인 접촉 지점이 모두 잠재적 공격 경로가 될 수 있기 때문이다.
내부자로 위장한 장기 침투도 주요 위협
외부 해킹 외에도 내부 침투형 위협이 커지고 있다는 점도 보고서의 핵심 내용이다. 북한 IT 인력이 위조 신원을 활용해 DeFi 프로토콜과 서방 기술 기업에 원격 근무 형태로 들어가고, 장기간 내부에서 정보 수집과 공격 지원 역할을 수행했다는 분석이다.
보고서는 수년간 수천 명의 북한 IT 인력이 이러한 방식으로 가상자산 생태계와 기술 기업에 침투해 온 것으로 봤다. 이들은 겉으로는 신뢰 가능한 직원 또는 프리랜서처럼 활동하지만, 내부 시스템과 운영 정보에 접근할 수 있는 위치를 확보한 뒤 공격에 필요한 정보를 제공하거나 일부 사건에서는 직접 자금 탈취에 가담한 것으로 분석됐다. Munchables 사건은 내부 인력이 자신이 속한 조직의 자금을 직접 탈취한 사례로 언급됐다.
공격 인프라 역시 추적과 차단이 어려운 방향으로 진화하고 있다. 2025년 10월 구글 위협 인텔리전스 그룹은 북한 해커 조직이 ‘EtherHiding’ 기법을 활용한 사실을 공개했다. 이는 퍼블릭 블록체인을 탈중앙화된 명령·제어(C2) 인프라로 사용하는 방식이다. 공격자는 악성 페이로드를 스마트컨트랙트 거래 데이터 안에 저장했고, 이로 인해 수사기관이 해당 인프라를 강제로 폐쇄하거나 차단하기 어려운 구조가 만들어졌다.
블록체인의 개방성과 불변성은 원래 투명성과 검증 가능성을 높이는 특성으로 평가된다. 그러나 공격자 관점에서는 검열 저항성과 영속성을 악용할 수 있는 인프라가 될 수 있다. 보고서가 북한 해커 조직의 전술을 국가 차원의 장기 작전으로 보는 이유도 여기에 있다.
온체인 공격이 보일 때는 이미 침투가 끝난 뒤
CertiK 미국 정부정책 총괄 스테판 뮐바우어(Stefan Muehlbauer)는 Drift 프로토콜 사건을 두고 북한 해커 조직의 공격 방식이 근본적으로 바뀌고 있다고 평가했다. 그는 실제 온체인 공격이 발생한 시점에는 이미 사전 침투 작업이 상당 부분 완료된 경우가 많다며, 기술 중심의 보안 프레임워크만으로는 이러한 위협에 효과적으로 대응하기 어렵다고 경고했다.
이에 따라 보고서는 가상자산 기업과 금융기관이 국가급 해커 조직에 대응하기 위해 다층 방어 체계를 구축해야 한다고 권고했다. 우선 채용과 외부 인력 관리에는 제로트러스트 원칙을 적용해야 한다고 제시했다. 원격 프리랜서와 신규 채용 인력을 기본적으로 고위험군으로 보고, 장기간 검증 가능한 신뢰 관계가 형성되기 전까지 핵심 운영 코드, 개인키, 관리 시스템 접근을 제한해야 한다는 것이다.
사회공학 공격에 대한 방어도 강화해야 한다. 허위 채용 제안, 위장 벤처투자사, 악성 코드 저장소, 메신저를 통한 회의 링크와 투자 문서가 모두 공격 수단으로 활용될 수 있기 때문이다. 보고서는 Telegram, Discord 등에서 전달되는 코드 파일이나 링크를 신원 검증 없이 열람·실행하지 않도록 내부 정책을 세우고, 정기적인 임직원 보안 교육을 시행해야 한다고 강조했다.
공급망 보안 역시 핵심 과제로 제시됐다. 멀티시그 지갑, 클라우드 서비스 제공업체 등 서드파티 인프라에 대한 보안 감사를 강화하고, 특정 공급업체에 대한 과도한 의존을 줄여야 한다는 설명이다. 고액 거래 서명과 금고 자금 관리용 개인키는 물리적으로 격리된 하드웨어 보안 모듈(HSM)에 저장하고, 중요 작업에는 다수 인원의 물리적 승인 절차를 적용해야 한다고 권고했다.
자금 유출을 막기 위한 운영 장치도 필요하다. 보고서는 대규모 출금 요청에 24~72시간의 대기 기간을 적용해 보안팀이 이상 거래를 탐지하고 차단할 시간을 확보해야 한다고 제안했다. 또한 프로토콜 운영과 거버넌스 변경에는 타임락을 강제 적용하고, 즉시 실행 가능한 ‘제로 타임락’ 권한 변경은 금지해야 한다고 강조했다.
이번 보고서가 제시한 방향은 단일 보안 솔루션이 아니라 생애주기 전반의 방어 체계다. 공격 이전 단계에서는 스마트컨트랙트 코드 감사, 정형 검증(Formal Verification), 모의 해킹(Penetration Testing)을 통해 취약점을 사전에 줄여야 한다. 운영 단계에서는 24시간 긴급 대응, 상시 리스크 모니터링, 온체인 AML·KYT 기반 자금 추적 역량이 요구된다. 규제 환경 변화에 대응하기 위해 준비금 증명(PoR) 감사와 라이선스 취득을 위한 컴플라이언스 체계도 중요해지고 있다.
디지털자산 산업은 개방성과 탈중앙화를 기반으로 성장했지만, 국가급 공격자는 바로 그 연결성과 신뢰 구조를 공격 표면으로 활용하고 있다. 북한 연계 해커 조직의 사례는 Web3 보안이 더 이상 코드의 안전성만으로 설명될 수 없다는 점을 보여준다. 사람, 조직, 공급망, 자금 흐름까지 포함한 입체적 방어 체계를 갖추는 것이 가상자산 산업의 지속 가능성을 가르는 조건이 되고 있다.
