글로벌 Web3 보안 기업 CertiK이 북한 연계 해커 조직의 가상자산 공격 방식이 단순 스마트컨트랙트 해킹을 넘어 공급망 침투와 오프라인 관계 형성 단계까지 진화하고 있다고 분석했다.
CertiK은 최근 ‘Skynet 북한 가상자산 위협 보고서’를 발표하고 지난 10년간 북한 연계 조직의 디지털자산 공격 흐름과 자금 세탁 구조를 추적·분석한 결과를 공개했다.
보고서에 따르면 북한 연계 해커 조직은 2016년 이후 현재까지 총 263건의 공격을 통해 약 67억5000만달러 규모의 디지털자산을 탈취한 것으로 집계됐다. 특히 2025년 한 해 동안 발생한 관련 피해 규모는 약 20억6000만달러로, 글로벌 가상자산 업계 전체 피해액의 약 60% 수준에 달했다.
CertiK은 북한 해커 조직이 과거 단순 코드 취약점 중심 공격에서 벗어나 공급망 공격과 사회공학 기법, 장기 잠복형 내부 침투 전략까지 활용하는 국가 단위 공격 체계로 고도화되고 있다고 분석했다.
대표 사례로는 2022년 발생한 Ronin 브리지 해킹 사건이 언급됐다. 당시 공격자들은 링크드인 허위 채용 공고를 활용해 내부 엔지니어 장비에 악성코드를 심은 것으로 알려졌다.
2025년 발생한 Bybit 해킹 사건도 주요 사례로 제시됐다. CertiK은 공격자들이 거래소 자체가 아니라 서드파티 멀티시그 플랫폼인 Safe 지갑 개발자 장비를 침해해 사용자 인터페이스(UI)를 변조했다고 분석했다. 보고서는 피해 규모를 약 15억달러로 추산하며 업계 역사상 최대 단일 해킹 사건 중 하나라고 평가했다.
또 2026년 발생한 Drift 프로토콜 사건은 새로운 형태의 오프라인 침투 전략 사례로 소개됐다. 보고서에 따르면 공격자들은 약 6개월 동안 업계 행사와 컨퍼런스에 직접 참석하며 핵심 관계자들과 신뢰 관계를 형성했고, 이후 오라클 조작과 거버넌스 권한 장악을 시도한 것으로 분석됐다.
보고서는 북한 해커 조직이 단순 외부 공격뿐 아니라 내부 잠복 전략도 활용하고 있다고 지적했다. 위조 신원을 이용한 북한 IT 인력들이 DeFi 프로젝트와 서방 기술기업에 원격 근무 형태로 침투해 장기간 내부 정보를 수집하거나 자금 탈취에 가담했다는 설명이다.
대표 사례로는 Munchables 사건이 언급됐다. 내부 인력이 직접 조직 자금을 탈취한 사례로 분석됐다.
블록체인을 악용한 명령·제어(C2) 인프라 구축 사례도 공개됐다. CertiK은 북한 해커 조직이 ‘EtherHiding’ 기법을 활용해 스마트컨트랙트 거래 데이터 내부에 악성 페이로드를 숨기는 방식으로 추적과 차단을 어렵게 만들고 있다고 설명했다.
업계에서는 최근 가상자산 시장 규모 확대와 함께 국가 단위 해킹 조직의 활동 역시 더 정교해지고 있다는 우려가 커지고 있다. 특히 Web3 프로젝트 상당수가 원격 근무와 글로벌 협업 구조를 기반으로 운영되는 만큼 공급망과 인적 보안 취약성이 새로운 리스크로 떠오르는 분위기다.
다만 일부 보안 전문가들은 공격 배후 attribution(배후 특정) 문제는 여전히 신중하게 접근해야 한다고 지적한다. 사이버 공격 특성상 우회 경로와 위장 기법이 복잡해 단일 국가 배후를 단정하기 어려운 경우도 존재하기 때문이다.
Stefan Muehlbauer는 “Drift 사례는 북한 해커 조직의 공격 방식이 근본적으로 변화하고 있음을 보여준다”며 “실제 온체인 공격이 발생했을 때는 이미 사전 침투 작업 상당 부분이 완료된 경우가 많다”고 경고했다.
CertiK은 대응 방안으로 △제로트러스트 기반 채용 체계 △사회공학 공격 대응 교육 △멀티시그·클라우드 공급망 보안 강화 △출금 지연 및 타임락 시스템 구축 등을 제안했다. 또 스마트컨트랙트 감사와 온체인 AML·KYT 기반 자금 추적 체계 구축 중요성도 강조했다.
보고서는 “국가 단위 해커 조직 공격은 단일 기업 보안 체계만으로 대응하기 어렵다”며 “코드 보안부터 온체인 자금 추적까지 전 생애주기 방어 체계 구축이 디지털자산 산업 신뢰 확보의 핵심 과제가 되고 있다”고 분석했다.
Copyright ⓒ 스타트업엔 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
