공격 횟수 줄이고 ‘큰 것 한 방’ 노리는 北 가상자산 해킹…올해 3조 돌파

이혜선 2025. 12. 21. 14:50
음성재생 설정 이동 통신망에서 음성 재생 시 데이터 요금이 발생할 수 있습니다. 글자 수 10,000자 초과 시 일부만 음성으로 제공합니다.
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
중앙화 거래소 재조준…패턴 기반 선제 탐지 필요성 커져

지난달 서울 한 지하철역에 설치된 업비트 광고. 국내 최대 가상자산 거래소 업비트에서 최근 발생한 445억원 규모 가상자산 해킹 사건의 배후로 북한 정찰총국 산하 해킹조직 라자루스가 유력하게 지목되고 있다. 연합뉴스

지난달 서울 한 지하철역에 설치된 업비트 광고. 국내 최대 가상자산 거래소 업비트에서 최근 발생한 445억원 규모 가상자산 해킹 사건의 배후로 북한 정찰총국 산하 해킹조직 라자루스가 유력하게 지목되고 있다. 연합뉴스


가상자산 해킹으로 핵·미사일 개발 자금을 조달해 온 북한이 무차별적 사이버 공격에서 벗어나, 성공 가능성이 높은 대형 표적에 집중하는 전략으로 전환한 것으로 나타났다. 공격 횟수를 줄이는 대신 한 번의 침투로 최대 수익을 노리는 방식이다.

21일 보안업계에 따르면 미국 블록체인 데이터 분석 기업 체이널리시스는 최근 보고서에서 북한 연계 해킹 조직이 2025년 한 해 동안 약 20억2000만달러(약 3조원)의 가상자산을 탈취한 것으로 분석했다. 이는 전년(약 13억달러) 대비 51% 증가한 수치로 역대 최대 규모다.

보고서가 지목한 가장 큰 변화는 해킹 전략의 ‘정예화’다. 올해 북한의 전체 공격 횟수는 전년 대비 약 74% 감소했지만, 건당 피해액은 크게 늘었다. 전 세계 가상자산 서비스 침해 피해(개인 지갑 제외) 가운데 북한이 차지하는 비중은 76%에 달했다.


북한은 과거 보안이 취약한 탈중앙화 금융(DeFi) 브리지 위주로 공격을 벌였지만 최근에는 업비트, 바이비트(Bybit) 등 중앙화거래소(CEX)와 핵심 인프라를 다시 정조준하고 있다. 체이널리시스는 “북한 해커들은 수개월간 타깃을 정밀 분석한 뒤, 단 한 번의 성공으로 수억 달러를 빼낼 수 있는 ‘대어’에 모든 자원을 투입한다”고 했다. 지난 2월 발생한 바이비트의 15억달러 해킹이 대표 사례로 꼽힌다.

자금 세탁 방식 역시 고도화됐다. 북한 연계 조직은 탈취 자금의 60% 이상을 50만달러(약 7억4000만원) 이하의 소액으로 쪼개 수천 개 주소로 분산 이동시키는 수법을 활용했다. 대규모 거래를 중심으로 감시하는 거래소와 수사 당국의 인공지능(AI) 모니터링 시스템을 회피하기 위한 전략이다.

보고서는 북한이 이러한 분할 송금과 환전 과정을 거쳐 통상 45일 이내에 1차 세탁 사이클을 마무리한다고 밝혔다. 해킹 직후 자금 이동을 최소화하는 ‘스테이징(대기) 단계’를 거친 뒤, 감시가 느슨해지는 시점에 본격적으로 자금을 이동시키는 것이다.

자금 세탁의 핵심 거점으로는 캄보디아 기반 결제 그룹 ‘후이원’(Huione)이 지목됐다.

미국 재무부 산하 금융범죄단속망(FinCEN)은 올해 후이원 그룹을 주요 자금세탁 우려 기관으로 지정했다.

조사 결과 이 회사는 2021년부터 2025년 초까지 최소 40억달러의 불법 자금을 세탁했으며, 상당 부분이 북한 해킹 자금과 연계된 것으로 파악됐다. 이들은 규제가 느슨한 동남아 결제망과 중국계 장외거래(OTC) 브로커를 연결해 북한의 ‘검은 돈’을 법정화폐로 바꿔주는 역할을 했다.

전문가들은 북한의 해킹이 기술 침투를 넘어 사회공학 기법과 결합한 ‘국가 차원의 금융 작전’으로 진화했다고 진단했다.

이 같은 흐름은 사이버 공격과 함께 ‘인적 침투’를 병행하는 북한의 전략 변화와도 맞닿아 있다. 최근 아마존은 협력업체 직원으로 위장 취업한 북한 정보기술(IT) 노동자가 자사 시스템에 접근한 사실을 적발했다.

이 직원의 키보드 입력 데이터가 시애틀 본사에 도달하는 데 걸리는 시간은 0.11초로, 미국 내 작업 환경보다 과도하게 지연된 점이 최초 단서였다.

조사 결과 해당 계정은 중국에서 원격 제어되고 있었으며, 아마존은 중요 정보 접근 이전에 이를 차단했다. 아마존은 지난해 4월 이후 북한 노동자의 위장 취업 시도를 1800건 이상 적발한 것으로 알려졌다.

이와 함께 글로벌 IT 기업 채용 담당자를 사칭해 기술 면접을 명목으로 악성 코드를 유포하거나 내부 접근 권한을 탈취하는 사례도 늘고 있다.

체이널리시스는 “북한은 이제 더 적은 공격으로 더 큰 수익을 내는 정교한 국가 차원 금융 작전 수행 능력을 갖췄다”며 “가상자산 업계는 특정 금액 이상의 거래를 걸러내는 전통적 방식에서 벗어나, 북한 특유의 소액 분할 송금 패턴과 지리적 선호도를 실시간으로 포착하는 ‘패턴 기반 탐지 역량’을 강화해야 한다”고 강조했다.

이혜선 기자 hslee@dt.co.kr

Copyright © 디지털타임스. 무단전재 및 재배포 금지.

디지털타임스에서 직접 확인하세요. 해당 언론사로 이동합니다.