CertiK, 2016년 이후 67억 5천만 달러 도난: 북한을 암호화폐 최대 절도 위협 국가로 지목

블록체인 보안 업체 서티크(CertiK)가 5월 12일 발표한 보고서는 북한 해커들이 2016년 이후 자행한 피해 규모를 지적하며 모든 암호화폐 프로젝트와 거래소에 경종을 울렸습니다. 조사 결과는 참담합니다. 263건의dent사건으로 약 67억 5천만 달러 상당의 암호화폐가 손실된 것으로 추산됩니다. 

Certik의 보고서는 TRM Labs가 2026년 4월까지 암호화폐 해킹으로 발생한 손실액의 약 76%가 북한 소행이라고 발표한 지 불과 며칠 만에 나왔습니다. 2025년 Bybit에서 15억 달러의 손실을 입혔던 것처럼, 2026년 최대 규모 해킹 사건 두 건인 KelpDAO와 Drift Protocol 해킹에도 북한 소행이 연루된 것으로 지목되었습니다.

특히 주목할 점은 보안 정보 회사들의 보고서 모두 암호화폐 시장에서 가장 집요하고 큰 피해를 주는 북한의 공격이 둔화되고 있다는 점을 시사하지 않았다는 것입니다. 북한 해커들은 더욱 정교해져서 더 적은 횟수의dent으로 훨씬 더 큰 손실을 입히고 있습니다.

북한 해커들이 더 적은 공격으로 더 큰 수익을 cash

에 따르면 CertiK의 보고서, 북한과 연계된 해커들은 2025년 전체 암호화폐 절도 사건의 12%만을 저질렀dent, 절도 금액의 약 60%를 차지했으며, 이는 전체 손실액 34억 달러 중 20억 6천만 달러에 해당합니다.

2026년에도 같은 추세가 이어지고 있으며, 북한 단체들은 올해 프로젝트 손실액의 55%(6억 2090만 달러)를 부담해야 할 것으로 보입니다.

TRM Labs에 따르면, 4월 1일에 발생한 2억 8,500만 달러 규모의 드리프트 프로토콜(Drift Protocol) 해킹과 4월 18일에 발생한 2억 9,200만 달러 규모의 켈프DAO(KelpDAO) 브리지 취약점 공격만 포함해도 2026년 전체dent 사건의 3%에 해당하며, 전체 해킹 피해액의 76%를 차지합니다.

북한 배우들은 어디에나 있다

TRM Labs와 Certik 모두 북한과 연관된 공격의 대다수가 소프트웨어 취약점 때문이 아니라, 구식 사회공학적 수법을.

"북한의 주요 작전 대부분은 가짜 구인 제안, 벤처캐피탈 사칭, 악성 저장소 등을 포함한 인적 조작에서 시작됩니다."라고 CertiK는 보고서에서 밝혔습니다.

TRM Labs는 북한 측 대리인들이 해킹 발생 전 Drift 직원들과 직접 대면 회의를 가졌다고 보고했습니다. 3월 23일부터 3월 30일 사이에 공격자는 Solana의 내구성 있는 nonce 기능을 악용하여 Drift의 다중 서명자들이 거래를 사전 승인하도록 했습니다.

4월 1일이 되자, 해당 프로토콜은 약 12분 만에 31번의 인출을 통해 모든 자금을 소진했습니다.

2025년 2월에 발생한 15억 달러 규모의 바이비트(Bybit) 해킹 사건은 단일 암호화폐 해킹으로는 사상 최대 규모였으며, CertiK에 따르면 이 사건은 "기관급 멀티시그 지갑조차도 스마트 계약이 아닌 신뢰할 수 있는 제3자 인프라를 표적으로 삼아 해킹될 수 있음을 보여주었다"고 한다. FBI는 이 공격의 배후로 북한의 트레이더trac(TraderTraitor) 그룹을 지목했다.

ZachXBT는 trac2025년 1월부터 7월까지 개발자로 위장한 북한 공작원들에게 직접 지급된 1,658만 달러 상당의 암호화폐 급여를 추적 Cryptopolitan의 보도.

CertiK의 최신 보고서는 이러한 우려를 반영하여 "북한 공작원들이 가짜dent으로 DeFi 팀에 침투했으며, 일부 사례에서는 내부 자금 탈취를 직접적으로 조장했다"고 밝혔습니다

KelpDAO 해킹 사건은 다른 전략을 따랐습니다. 라자루스 그룹(Lazarus Group) 계열사인 트레이더트레이터(TraderTraitor)는 레이어제로(LayerZero) 브리지의 단일 검증자 설계 결함을 악용했습니다. 아비트럼(Arbitrum)이 탈취 자금 약 7,500만 달러를 동결하자, 해커들은 토르체인(THORChain)을 통해 자금 세탁을 시도하며 탈취한 이더리움(ETH)을 Bitcoin 은 밝혔습니다 TRM 랩(TRM Labs).

이후 LayerZero는 해당 의혹을 부인하고 공식 사과문을 발표했다고 Cryptopolitan이 보도했습니다.

북한 해커들은 비슷한 탈출 경로를 이용합니다

CertiK는 바이빗 해킹 발생 후 한 달 만에 도난당한 이더리움(ETH)의 86.29%가 믹서, 크로스체인 브리지, 탈중앙화 거래소 및 장외 브로커를 통해 Bitcoin 으로 전환되었다고 보고했습니다.

TRM Labs는 THORChain이 Bybit 해킹과 KelpDAO 해킹으로 얻은 수익금의 대부분을 처리했으며, "수억 달러에 달하는 도난당한 ETH를 Bitcoin 으로 전환했지만, 어떤 운영자도 이체를 동결하거나 거부하지 않았다"고 지적했습니다

미국 정보기관의 평가에 따르면 북한의 사이버 공격으로 탈취된 자금은 북한의 핵 및 탄도 미사일 프로그램 지원에 사용되는 것으로 나타났다고 CertiK는 전했다.

북한은 연루 사실을 부인했다. 북한 외무성 대변인은 Cryptopolitan의 5월 4일자 보도 했다.

암호화폐 분야의 최고 전문가들이 이미 저희 뉴스레터를 구독하고 있습니다. 함께하고 싶으신가요? 지금 바로 참여하세요.