거래소 4000억원 해킹한 북한…"장기간 잠복, 첩보소설이 현실로" 작성일 04-13 37 목록 <div id="layerTranslateNotice" style="display:none;"></div> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="4S8Dp7DgCk"> <figure class="figure_frm origin_fig" contents-hash="646a704b914c59077f7c29b51ef7236a59d0380eeca954ef163105daec5cad88" dmcf-pid="8v6wUzwaCc" dmcf-ptype="figure"> <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202604/13/552796-pzfp7fF/20260413130322734deix.jpg" data-org-width="640" dmcf-mid="fKbaZtaevE" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202604/13/552796-pzfp7fF/20260413130322734deix.jpg" width="658"></p> </figure> <p contents-hash="6932ded1cdd0bdb909d0564dece76671a77393fee556f0ce40507ef6024f3fc3" dmcf-pid="6TPruqrNyA" dmcf-ptype="general">[디지털데일리 김보민기자] 솔라나 기반 탈중앙화 거래소 드리프트에서 4000억원대 해킹 사고가 발생한 가운데 배후로 지목된 북한 조직이 공격 수법을 고도화했다는 평가가 나왔다. 온·오프라인을 오가며 장기간 거래소 관계자들과 신뢰를 쌓은 것이 이전과 다른 행보라는 취지다.</p> <p contents-hash="2b9d2f7ab9eefebd0d26bacc4415b890bf7744a5b1003cf9d56f3490d0ebf242" dmcf-pid="PyQm7Bmjhj" dmcf-ptype="general">13일 보안업계에 따르면 드리프트는 사회관계망서비스 엑스(X·옛 트위터)를 통해 이달 발생한 대규모 해킹 사고 전말을 공지하고 있다. 피해 규모는 2억8000만달러(당시 약 4300억원)로, 배후에는 북한 정부 지원을 받는 해킹 조직 'UNC4736'이 지목됐다.</p> <p contents-hash="85f1161bfd236d4111f996d8b8cf5d0faaca2c177b97d044dd3c361e4222ff84" dmcf-pid="QWxszbsATN" dmcf-ptype="general">이번 사고는 가짜 회사와 중개인을 앞세워 장기적으로 신뢰를 구축했다는 점에서 앞선 공격과 차별화된다. 드리프트에 따르면 이 조직은 2025년 말 컴퓨터 프로그램 자동 매매 업체로 위장해 암호화폐 행사에서 드리프트 관계자들에게 접근했다. 이들은 기술과 플랫폼에 대한 이해가 높았고 전문 경력을 갖춘 것처럼 행동했고 여러 국가 행사에 반복 참여하며 관계를 이어갔다.</p> <p contents-hash="69c802102cd5bd148ec621cea65ea7b21f188592d4adcf1ef58bbda2e29c0c1d" dmcf-pid="xYMOqKOcva" dmcf-ptype="general">눈에 띄는 행보는 실제로 대면 접촉을 진행한 인물들이 북한인이 아니었다는 점이다. 드리프트 측은 북한 측이 직접 나서지 않고 중개인을 활용해 관계를 형성한 것으로 보인다고 설명했다.</p> <p contents-hash="57a3e267a35145062bd8bf833366a432a470fed69f22537d383ae662fad7692e" dmcf-pid="yeYVwsV7lg" dmcf-ptype="general">양측은 첫 만남 이후 메신저를 통해 트레이딩 전략과 시스템 연동 가능성에 대해 논의를 이어갔다. 이러한 과정은 일반적인 협업 절차와 크게 다르지 않았고, 실제로 해당 회사는 100만달러를 예치하며 신뢰를 강화했다. 플랫폼 측은 2025년 말부터 2026년 초까지 이 회사를 공식적으로 온보딩하고 여러 절차를 진행했다.</p> <p contents-hash="ed12c782f652f544bdbea765e82ea661cbb9c262018a543aba63fd2558ec2608" dmcf-pid="WdGfrOfzCo" dmcf-ptype="general">이후에도 관계는 이어졌다. 관계자들은 2026년 초 여러 콘퍼런스에서 다시 만나 대면 접촉을 이어갔고, 이 시점에는 이미 반년 가까이 협업을 이어온 상태였다. 플랫폼 내부에서도 이들을 낯선 외부인이 아니라 함께 일해온 파트너로 인식하고 있었다.</p> <p contents-hash="a3a7d8dd491b17dce9c13cbb69ff78521cec953c0e852b7bb2fa0fd4ac4589d8" dmcf-pid="YJH4mI4qCL" dmcf-ptype="general">이후 드리프트 내부 접근권을 확보한 후 취약점 악용 등 악성 행위를 가해 해킹을 시도한 것으로 점쳐진다. 드리프트 측 조사 결과 일부 구성원이 코드 저장소를 복사하거나 특정 애플리케이션을 다운로드하는 과정에서 침해가 발생했을 가능성이 점쳐진다.</p> <p contents-hash="51fd50cd8101577e8384339f95b5884953f2e1b0274e6b91897e8977afab0376" dmcf-pid="GiX8sC8Bln" dmcf-ptype="general">이로써 공격 조직은 약 6개월간 장기간 작전에 성공했다. 더레코드 등 외신을 통해 입장을 밝힌 전문가는 이번 사고를 분석했을 때 북한의 행보가 "이전과 다르다"고 입을 모으고 있다. 북한 전문가 마이클 반하트 디텍스 책임자는 "모두에게 충격을 준 사건"이라면서도 "중개인과 대리인을 활용하는 방식 자체는 기존 북한 작전 패턴과 일치하지만 '사람을 통해 장기 침투'했다는 점은 이례적"이라고 평가했다.</p> <p contents-hash="217671243c4140f29847cb6f3ecb142e54cf12521800bb8dc2b73bb682090fc9" dmcf-pid="HnZ6Oh6bvi" dmcf-ptype="general">반하트 책임자는 "북한은 과거에도 대리인을 활용해 일명 '더러운 일'을 처리해왔지만, 이번처럼 정교하게 장기간에 걸친 방식은 드물다"며 "특히 여러 국가에서 오프라인 접촉과 장기간 신뢰 구축을 결합한 점은 기존 사례와 비교해도 한층 진화된 형태"라고 설명했다.</p> <p contents-hash="496ae2e58aefeba6938ece093b86c3f2c3e1c3c8767ee0abfdaaf07041aaed2e" dmcf-pid="XL5PIlPKyJ" dmcf-ptype="general">북한발 사이버 공격이 진화하고 있다는 점도 주목했다. 반하트 책임자는 "(이번 사태 타임라인을) 읽어보면 마치 첩보소설 같다"며 "기술적 해킹을 넘어 사람과 관계 기반으로 한 침투 전략이 실제 피해로 이어진 것은 기존 공격과 차원이 다른 위협"이라고 강조했다.</p> <p contents-hash="9b57eebd5a506ec44aee7dbfae8e119448e9133a888680667b5cd37f5984cd14" dmcf-pid="Zo1QCSQ9vd" dmcf-ptype="general">암호화폐 시장을 침투해 자금을 탈취하는 북한발 공격은 더욱 고도화될 전망이다. 북한 연계 조직은 암호화폐 거래소는 물론 개인 지갑 등을 공격해 자금을 탈취하는 수법을 고도화하고 있다. 피싱, 악성코드, 공급망 공격을 가해 외화를 확보하고 무기 개발 자금으로 이를 활용하는 흐름도 이어지고 있다. 위장 취업도 대표적인 수법이다.</p> <p contents-hash="81238ed45f93271241477e90dd517b85ed2d4a0b94e89346d988265d865dabd4" dmcf-pid="5gtxhvx2Ce" dmcf-ptype="general">보안업계는 드리프트 해킹이 발생하기까지 예후가 있었던 만큼 암호화폐 시장을 노린 북한 작전에 대응할 방어책이 필요하다고 이야기한다. 일례로 미국 법무부와 연방수사국(FBI)은 북한이 적어도 2018년부터 합법적인 암호화폐 거래 플랫폼처럼 보이는 웹사이트를 만들어 애플제우스 악성코드를 유포해왔다고 보고 있다.</p> </section> </div> <p class="" data-translation="true">Copyright © 디지털데일리. All rights reserved. 무단 전재 및 재배포 금지.</p> 관련자료 이전 50대 문과생도 AI 만드는 시대…"현업이 주도해야 진짜 혁신" 04-13 다음 국민체육진흥공단·문체부, 8일 '국민체력100' 연구 성과 공유회 개최…체력의 경제적 가치 입증 04-13 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
