바이비트·업비트 등 대형 거래소 겨냥...아시아 불법 자금망과 연계 강화
서구권 기업에 IT 인력 위장취업해 내부 침투...사회공학 기법 적극 활용

[보안뉴스 여이레 기자] 2025년 한 해 동안 세계 암호화폐 산업에서 약 34억 달러(약 4조6000억원) 상당의 자산이 탈취됐으며, 이는 대부분 북한 해커들의 소행이었다.

18일(현지시간) 체이널리시스 보고서에 따르면, 2025년 1~12월 사이 발생한 암호화폐 탈취액 중 최소 20억2000만달러(약 2조9867억원)가 북한 해커와 관련돼 있다.


[자료: 생성형 AI 이미지]

이는 2024년보다 약 6억8000만달러 증가한 수치다. 특히 두바이 기반 거래소 바이비트에서 발생한 15억달러 해킹 사건, 국내 거래소 업비트에서 탈취된 3000만달러 규모의 공격이 주요 사례로 꼽혔다.

북한 해커들은 올해 소수의 대형 거래소를 집중적으로 노려 높은 수익을 올렸다. 주로 중앙화된 플랫폼의 개인키를 탈취하는 방식으로 공격을 수행했다.

일부 북한 해커는 아예 해킹 대상 기업에 신원을 속이고 불법으로 취업해 해킹을 용이하게 만들기도 했다. 이들은 암호화폐 거래소, 커스터디 업체, 웹3 프로젝트 등에서 근무하며 시스템 접근 권한을 확보하거나 백도어를 심었다.

이같은 사회공학적 공격은 가짜 구인광고나 채용 사기를 통해 진행되는 경우가 많았다. 2025년 발생한 대규모 피싱과 내부자 공격 대부분이 여기서 기인했다. 앤드류 피어만 체이널리시스 국가안보 정보부문 책임자는 “북한이 서방 기술기업에 자국 IT 인력을 위장 취업시키는 전략을 계속 확대하고 있다”고 지적했다.

북한 해커들은 탈취 자금을 세탁하기 위해 믹서, 디파이(DeFi) 프로토콜, 브리지, KYC 인증 불필요거래소, 중국 내 비공식 자금세탁 네트워크를 적극 활용했다. 특히 중국어 기반 OTC와 캄보디아 플랫폼 ‘후이원’(Huione) 등의 전문적인 돈세탁 서비스를 선호한 것으로 드러났다.

체이널리시스는 보고서에서 “북한이 아시아-태평양 지역의 불법 금융 네트워크와 긴밀히 연계돼 있다”며 “전통적으로 중국을 통한 국제 금융 접근 방식을 이어가고 있다”고 밝혔다.

또 북한은 대부분의 돈세탁을 약 50만달러 단위로 쪼개 실행했는데, 이는 일반 사이버 범죄자들의 100만~1000만달러 단위 세탁보다 훨씬 치밀한 방식이라는 평가다.

체이널리시스에 따르면 북한이 2022년 이후 탈취한 암호화폐 누적 규모는 약 67억5000만달러에 달한다. 이는 세계 암호화폐 서비스 해킹 피해액의 약 76%를 차지한다.

유엔도 지난해 최근 5년간 북한이 암호화폐 해킹을 통해 약 30억달러를 확보했다고 추산한 바 있다.

[여이레 기자(gore@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>