북한 가상자산 탈취

북한은 국제사회의 경제 제재망을 우회하여 핵 및 미사일 개발에 필요한 외화를 확보하기 위해 가상자산 탈취에 집중하고 있다. 블록체인 분석업체 체이널리시스에 따르면, 2025년 한 해 동안 북한 연계 해커들이 탈취한 가상자산 규모는 약 20억 2,000만 달러에 달하며, 이는 전년 대비 약 51% 증가한 수치이다. 2025년 전 세계 가상자산 서비스 침해 사건 중 약 76%가 북한 연계 공격으로 분류될 만큼 압도적인 비중을 차지한다.

북한 연계 조직은 대형 거래소와 탈중앙화 금융(DeFi) 서비스를 정밀 타격하여 막대한 피해를 입혔다.

• 바이비트(Bybit) 해킹: 2026년 2월, 세계 2위 규모 거래소인 바이비트에서 약 15억 달러(한화 약 2조 1,000억 원) 상당의 이더리움이 탈취되었다. 이는 단일 해킹 사건으로 사상 최대 규모이며, '트레이더트레이터' 조직의 소행으로 분석되었다.
• 드리프트 프로토콜(Drift Protocol) 해킹: 2026년 4월, 솔라나 기반 탈중앙 거래소에서 약 2억 8,500만 달러가 탈취되었다. 공격자들은 6개월간 신뢰를 쌓는 사회공학적 기법을 동원하였다.
• 국내 거래소 공격: 한국의 가상자산 거래소 업비트에서 발생한 445억 원 규모의 해킹 사건 배후로도 북한 정찰총국 산하 라자루스 그룹이 지목된 바 있다.

북한의 공격 방식은 단순 기술적 해킹을 넘어 정교한 심리전과 공급망 공격으로 진화하고 있다.

사회공학적 공격 및 위장 채용

해커들은 블록체인 컨퍼런스 등에서 타깃에게 접근하여 신뢰를 쌓거나, 가짜 채용 제안으로 웹 개발자를 유인한다. 이 과정에서 악성코드가 포함된 코드 리포지토리를 공유하여 시스템 침투를 시도한다.

개발 도구 취약점 악용

비주얼 스튜디오 코드(VS Code)나 커서(Cursor) 에디터의 보안 설정 취약점을 활용한다. 특히 프로젝트 폴더를 열 때 자동 작업 실행을 차단하는 '워크스페이스 트러스트' 기능이 비활성화된 점을 노려 시스템을 감염시킨다.

멀티시그 조작

다중 서명(Multisig) 승인 과정에서 서명자가 확인하는 거래 정보를 조작하여, 정상적인 이체처럼 보이게 속인 뒤 공격자의 지갑으로 자금을 전송받는 수법을 사용한다.

탈취한 자금을 현금화하기 위해 국제사회의 감시를 피하는 고도의 세탁 기법을 사용한다.

• 개미떼 세탁: 훔친 자금을 50만 달러 이하의 소액으로 쪼개어 수천 번에 걸쳐 송금함으로써 추적을 어렵게 만든다.
• 소액 분산형 공격: 2026년 1분기에는 개인의 가상화폐 지갑을 대상으로 한 소액 탈취로 전략을 확장하였다. '페이머스 천리마' 연계 조직은 약 2만 6,000여 개의 지갑을 탈취하여 1,200만 달러 이상의 수익을 올린 것으로 보고되었다.