공격 횟수 줄이고 ‘큰 것 한 방’ 노리는 北 가상자산 해킹…올해 3조 돌파 작성일 12-21 11 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">중앙화 거래소 재조준…패턴 기반 선제 탐지 필요성 커져</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="6EOpofyOSW"> <figure class="figure_frm origin_fig" contents-hash="ea7eb13492ad28e98f74fa19128f5d8a121c2fd1600ea20c907bb073a9d95a78" dmcf-pid="PDIUg4WIly" dmcf-ptype="figure"> <p class="link_figure"><img alt="지난달 서울 한 지하철역에 설치된 업비트 광고. 국내 최대 가상자산 거래소 업비트에서 최근 발생한 445억원 규모 가상자산 해킹 사건의 배후로 북한 정찰총국 산하 해킹조직 라자루스가 유력하게 지목되고 있다. 연합뉴스" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202512/21/dt/20251221145007403evpw.jpg" data-org-width="640" dmcf-mid="8FQr7WnQlY" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202512/21/dt/20251221145007403evpw.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 지난달 서울 한 지하철역에 설치된 업비트 광고. 국내 최대 가상자산 거래소 업비트에서 최근 발생한 445억원 규모 가상자산 해킹 사건의 배후로 북한 정찰총국 산하 해킹조직 라자루스가 유력하게 지목되고 있다. 연합뉴스 </figcaption> </figure> <p contents-hash="d03a17ffe02921cef8a268ffb54979c79dee53390ce2365aa7906139917d83a7" dmcf-pid="QJaW6pwalT" dmcf-ptype="general"><br> 가상자산 해킹으로 핵·미사일 개발 자금을 조달해 온 북한이 무차별적 사이버 공격에서 벗어나, 성공 가능성이 높은 대형 표적에 집중하는 전략으로 전환한 것으로 나타났다. 공격 횟수를 줄이는 대신 한 번의 침투로 최대 수익을 노리는 방식이다.</p> <p contents-hash="68c75865ce9269f592da60ce48671c91c4aa2d6384079bf326a07cf054edfed4" dmcf-pid="xiNYPUrNhv" dmcf-ptype="general">21일 보안업계에 따르면 미국 블록체인 데이터 분석 기업 체이널리시스는 최근 보고서에서 북한 연계 해킹 조직이 2025년 한 해 동안 약 20억2000만달러(약 3조원)의 가상자산을 탈취한 것으로 분석했다. 이는 전년(약 13억달러) 대비 51% 증가한 수치로 역대 최대 규모다.</p> <p contents-hash="4a7db55d682d48bb9626b5bf5ab958312805501f091db954c7c12bdd8e61d1f4" dmcf-pid="yZ0RvAb0SS" dmcf-ptype="general">보고서가 지목한 가장 큰 변화는 해킹 전략의 ‘정예화’다. 올해 북한의 전체 공격 횟수는 전년 대비 약 74% 감소했지만, 건당 피해액은 크게 늘었다. 전 세계 가상자산 서비스 침해 피해(개인 지갑 제외) 가운데 북한이 차지하는 비중은 76%에 달했다.</p> <p contents-hash="4c11a931bc298fe2004e4baecf06ce60126e3d64494b97f85cb30800fea2e51e" dmcf-pid="W5peTcKpvl" dmcf-ptype="general">북한은 과거 보안이 취약한 탈중앙화 금융(DeFi) 브리지 위주로 공격을 벌였지만 최근에는 업비트, 바이비트(Bybit) 등 중앙화거래소(CEX)와 핵심 인프라를 다시 정조준하고 있다. 체이널리시스는 “북한 해커들은 수개월간 타깃을 정밀 분석한 뒤, 단 한 번의 성공으로 수억 달러를 빼낼 수 있는 ‘대어’에 모든 자원을 투입한다”고 했다. 지난 2월 발생한 바이비트의 15억달러 해킹이 대표 사례로 꼽힌다.</p> <p contents-hash="f9db7a35ee12fa828f7bf64d8c639907c746d8945797193bfd027aadf4c1a18c" dmcf-pid="Y1Udyk9UCh" dmcf-ptype="general">자금 세탁 방식 역시 고도화됐다. 북한 연계 조직은 탈취 자금의 60% 이상을 50만달러(약 7억4000만원) 이하의 소액으로 쪼개 수천 개 주소로 분산 이동시키는 수법을 활용했다. 대규모 거래를 중심으로 감시하는 거래소와 수사 당국의 인공지능(AI) 모니터링 시스템을 회피하기 위한 전략이다.</p> <p contents-hash="687edf59e426b97d4429aa3c290d9af820f0cec8d77091a86c2e7df9bc658582" dmcf-pid="GtuJWE2uhC" dmcf-ptype="general">보고서는 북한이 이러한 분할 송금과 환전 과정을 거쳐 통상 45일 이내에 1차 세탁 사이클을 마무리한다고 밝혔다. 해킹 직후 자금 이동을 최소화하는 ‘스테이징(대기) 단계’를 거친 뒤, 감시가 느슨해지는 시점에 본격적으로 자금을 이동시키는 것이다.</p> <p contents-hash="97c7e635a32b52c3362f5439351b485c641e25faee5785b1ecc000bd8ded11b1" dmcf-pid="HF7iYDV7lI" dmcf-ptype="general">자금 세탁의 핵심 거점으로는 캄보디아 기반 결제 그룹 ‘후이원’(Huione)이 지목됐다. 미국 재무부 산하 금융범죄단속망(FinCEN)은 올해 후이원 그룹을 주요 자금세탁 우려 기관으로 지정했다. 조사 결과 이 회사는 2021년부터 2025년 초까지 최소 40억달러의 불법 자금을 세탁했으며, 상당 부분이 북한 해킹 자금과 연계된 것으로 파악됐다. 이들은 규제가 느슨한 동남아 결제망과 중국계 장외거래(OTC) 브로커를 연결해 북한의 ‘검은 돈’을 법정화폐로 바꿔주는 역할을 했다.</p> <p contents-hash="d5e05557bddc2c1306257d6a829ec12b166b2348b7f2d0320a3db4b63abab553" dmcf-pid="X3znGwfzhO" dmcf-ptype="general">전문가들은 북한의 해킹이 기술 침투를 넘어 사회공학 기법과 결합한 ‘국가 차원의 금융 작전’으로 진화했다고 진단했다.</p> <p contents-hash="cd4f273b5826e39f949e9637a2e503eb92ae4bed9a3ed954be4d4923eaef9cc7" dmcf-pid="Z0qLHr4qls" dmcf-ptype="general">이 같은 흐름은 사이버 공격과 함께 ‘인적 침투’를 병행하는 북한의 전략 변화와도 맞닿아 있다. 최근 아마존은 협력업체 직원으로 위장 취업한 북한 정보기술(IT) 노동자가 자사 시스템에 접근한 사실을 적발했다. 이 직원의 키보드 입력 데이터가 시애틀 본사에 도달하는 데 걸리는 시간은 0.11초로, 미국 내 작업 환경보다 과도하게 지연된 점이 최초 단서였다.</p> <p contents-hash="219cff79705c7b150ecf7e76197fc833b549d63e6dc0ad2fa4c1ef0b35b5640c" dmcf-pid="5pBoXm8BSm" dmcf-ptype="general">조사 결과 해당 계정은 중국에서 원격 제어되고 있었으며, 아마존은 중요 정보 접근 이전에 이를 차단했다. 아마존은 지난해 4월 이후 북한 노동자의 위장 취업 시도를 1800건 이상 적발한 것으로 알려졌다. 이와 함께 글로벌 정보기술(IT) 기업 채용 담당자를 사칭해 기술 면접을 명목으로 악성 코드를 유포하거나 내부 접근 권한을 탈취하는 사례도 늘고 있다.</p> <p contents-hash="4cfef1fd7754ae2cf4accdf42fd8958d17ec1e57cbc9fea3fd09b5d65799e024" dmcf-pid="1UbgZs6bvr" dmcf-ptype="general">체이널리시스는 “북한은 이제 더 적은 공격으로 더 큰 수익을 내는 정교한 국가 차원 금융 작전 수행 능력을 갖췄다”며 “가상자산 업계는 특정 금액 이상의 거래를 걸러내는 전통적 방식에서 벗어나, 북한 특유의 소액 분할 송금 패턴과 지리적 선호도를 실시간으로 포착하는 ‘패턴 기반 탐지 역량’을 강화해야 한다”고 강조했다.</p> <p contents-hash="6aa10a4c2f3a14a2ffe3efc4ee04609cb7b55f4161c2d4add6ca1d5a80aa2dbd" dmcf-pid="tuKa5OPKWw" dmcf-ptype="general">이혜선 기자 hslee@dt.co.kr</p> </section> </div> <p class="" data-translation="true">Copyright © 디지털타임스. 무단전재 및 재배포 금지.</p> 관련자료 이전 ‘유방암’ 박미선, 공구 논란에 “일상 복귀하려 시작” 12-21 다음 김영희 "똥밭인 줄 알았던 인생, 거름이 됐다"… 감동적인 수상 소감 12-21 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
