Get your fresh news on science and technology in Grenada
Provided by AGP
CertiK 보고서 “북한 해커, 2025년 디지털자산 탈취 60% 배후”…해킹, 오프라인 침투로 진화
뉴욕, May 13, 2026 (GLOBE NEWSWIRE) -- 글로벌 최대 Web3 보안 기업 CertiK은 「Skynet 북한 가상자산 위협 보고서」를 발표하고, 지난 10년간 북한 연계 해커 조직의 가상자산 산업 내 진화 과정과 자금 흐름을 체계적으로 추적·분석했다. 보고서에 따르면 북한 해커 조직은 2016년 이후 현재까지 총 67.5억 달러 규모의 디지털자산을 탈취한 것으로 나타났다. 특히 2025년 한 해 동안 발생한 관련 해킹 피해 규모는 20.6억 달러에 달했으며, 이는 글로벌 가상자산 업계 전체 피해액의 약 60%에 해당한다.
보고서는 북한 연계 해커 조직이 기존의 단순 코드 취약점 공격 단계를 넘어, 공급망 심층 침투와 대규모 자금 세탁 능력을 갖춘 고도화된 국가 차원의 공격 체계로 진화하고 있다고 분석했다.
핵심 데이터: 조직화된 공격과 산업화된 자금 세탁
보고서에 따르면 북한 해커 조직의 공격은 고도로 정교한 ‘시스템화’ 특징을 보이고 있다. 전체 공격 횟수는 상대적으로 많지 않지만, 유동성이 높은 고가치 목표를 집중적으로 노리는 방식이다.
2016년 이후 현재까지 북한 연계 해커 조직은 총 263건의 공격을 감행했으며, 이로 인한 디지털자산 피해 규모는 약 67.5억 달러에 달한 것으로 집계됐다. 2025년 북한 연계 공격은 전체 글로벌 해킹 사건 수의 약 12%에 불과했지만, 탈취 규모는 20.6억 달러로 전체 가상자산 업계 피해액의 약 60%를 차지했다. 특히 Bybit 해킹 사건은 약 15억 달러 규모의 피해를 기록하며, 업계 역사상 최대 단일 해킹 사건으로 남았다.
2026년 초 기준 북한 해커 소행으로 확인된 디지털자산 피해 규모는 약 6.209억 달러로, 글로벌 전체 피해액의 약 55%를 차지한 것으로 나타났다. Bybit 사건과 같은 대형 해킹 사례에서는 탈취 자금의 86% 이상(주로 이더리움 기반 자산)이 단 한 달 만에 믹서, 크로스체인 브리지, 탈중앙화거래소(DEX), 장외거래(OTC) 네트워크 등을 통해 세탁·이전된 것으로 분석됐다.
전술 진화: ‘코드 해킹’에서 ‘인간 심리 공격’과 인프라 침투로
「Skynet 북한 가상자산 위협 보고서」는 최근 몇 년간 발생한 주요 보안 사건을 심층 분석하며, 북한 해커 조직의 공격 방식이 근본적으로 변화하고 있다고 지적했다. 과거처럼 단순히 스마트컨트랙트 코드 취약점을 찾는 데 그치지 않고, 이제는 인간 심리와 공급망 인프라의 취약 지점을 주요 공격 대상으로 삼고 있다는 설명이다.
보고서는 이러한 공격 역량의 진화를 보여주는 대표 사례로 세 가지 사건을 제시했다. Ronin 크로스체인 브리지 사건(2022년, 피해액 6.25억 달러)은 사회공학 공격의 위력을 보여준 사례다. 해커들은 링크드인(LinkedIn)의 허위 채용 공고를 활용한 피싱 공격을 통해 내부 엔지니어의 기기에 스파이웨어를 설치했다. Bybit 거래소 해킹 사건(2025년, 피해액 15억 달러)은 공급망 공격이 핵심 전술로 자리 잡았음을 보여준다. 공격자들은 거래소 자체를 직접 공격하지 않고, Bybit가 사용하던 서드파티 멀티시그 플랫폼인 Safe 지갑 개발자의 장비를 침해해 신뢰된 사용자 인터페이스(UI)를 변조했다. Drift 프로토콜 사건(2026년, 피해액 2.85억 달러)은 새로운 형태의 ‘물리적 침투(오프라인 침투)’ 공격을 드러냈다. 공격자들은 제3의 중개인을 고용해 약 6개월 동안 가상자산 업계 행사와 컨퍼런스에 직접 참석하며, 프로토콜 핵심 기여자들과 오프라인 관계를 형성했다. 또한 실제 자금을 투자해 신뢰를 구축한 뒤, 최종적으로 오라클 조작과 거버넌스 권한 장악을 통해 공격을 실행한 것으로 나타났다.
잠복형 위협: IT 인력 침투와 블록체인 기반 C2 인프라 확산
수년간 수천 명의 북한 IT 인력들은 위조 신원을 이용해 DeFi 프로토콜과 서방 기술 기업에 원격 근무 형태로 침투해 온 것으로 나타났다. 이들은 ‘신뢰 가능한 내부 직원’으로 장기간 잠복하며 정보 수집과 내부 지원 역할을 수행했으며, 일부 사례에서는 직접 자금 탈취에도 가담한 것으로 분석됐다. 대표적으로 Munchables 사건에서는 내부 인력이 자신이 소속된 조직의 자금을 직접 탈취한 사례가 확인됐다.
한편 북한 해커 조직은 블록체인을 공격 인프라로 악용하는 방식도 고도화하고 있다. 2025년 10월 구글 위협 인텔리전스 그룹은 북한 해커 조직이 처음으로 ‘EtherHiding’ 기법을 활용한 사실을 공개했다. 이들은 퍼블릭 블록체인을 탈중앙화된 명령·제어(C2) 인프라로 활용하고, 악성 공격 페이로드를 스마트컨트랙트의 거래 데이터에 저장하는 방식을 사용했다. 이로 인해 해당 인프라는 수사기관이 강제로 차단하거나 폐쇄하기가 사실상 불가능한 구조를 갖게 됐다.
업계 대응 권고: 내부 방어 체계 구축 필요
CertiK은 보고서에서 가상자산 업계와 금융기관이 국가급 공격에 대응하기 위한 체계적인 방어 메커니즘을 구축해야 한다고 권고했다. 여기에는 ‘제로트러스트’ 기반 채용 체계 도입, 원격 직원 및 프리랜서에 대한 엄격한 신원 검증과 배경 조사, 허위 채용·위장 투자기관·악성 코드 저장소 등에 대응하기 위한 사회공학 공격 방어 교육 강화 등이 포함된다. 또한 멀티시그 지갑과 클라우드 서비스 제공업체 등 서드파티 공급망에 대한 보안 감사를 강화하고, 고가치 자산의 개인키는 물리적으로 격리된 하드웨어 보안 모듈(HSM)에 저장할 것을 권고했다. 아울러 대규모 출금 및 프로토콜 거버넌스 변경에는 타임락과 대기 기간을 도입해 보안팀이 위험 거래를 차단할 수 있는 시간을 확보해야 한다고 강조했다.
국가급 해킹 위협 확산… 단일 기관 방어만으로는 한계
보고서는 기업이 이러한 조치를 통해 내부적인 1차 방어선을 구축할 수는 있지만, 국가 차원의 조직적·지속적 공격에 대응하기에는 단일 기관의 방어 역량만으로는 한계가 존재한다고 지적했다. 이에 따라 기업은 내부 보안 체계를 강화하는 데 그치지 않고, 전 생애주기를 포괄하는 외부 보안 지원 체계까지 함께 구축할 필요가 있다고 설명했다. 공격 이전 단계의 리스크 예방 측면에서 보면, 전문 보안 기관을 통해 스마트컨트랙트 코드 감사, 정형 검증(Formal Verification), 모의 해킹 (Penetration Testing) 등 인프라 수준의 보안 점검을 수행함으로써 잠재적 취약점을 사전에 식별하고 제거할 수 있다. 프로젝트 운영 단계에서는 24시간 긴급 대응 체계와 상시 리스크 모니터링, 그리고 온체인 반자금세탁(AML)·KYT 기반의 자금 추적 역량이 필수적으로 요구된다. 또한 전 세계적으로 규제가 강화되는 상황에서, 전문적인 준비금 증명(PoR) 감사와 라이선스 취득을 위한 컴플라이언스 지원 체계 역시 불법 자금세탁 흐름을 차단하는 핵심 요소로 부상하고 있다. 보고서는 기초 코드 보안부터 온체인 자금 추적에 이르는 입체적 방어 체계를 구축하는 것이 디지털자산 산업의 지속 가능한 발전을 위한 필수 조건이 되고 있다고 강조했다.
보고서 전문보기: https://indd.adobe.com/view/be48d044-d9fb-428d-b9a9-8b740356853a
담당자 연락처 Yeong Choi ying.cui@certik.com
Legal Disclaimer:
EIN Presswire provides this news content "as is" without warranty of any kind. We do not accept any responsibility or liability for the accuracy, content, images, videos, licenses, completeness, legality, or reliability of the information contained in this article. If you have any complaints or copyright issues related to this article, kindly contact the author above.
