북한의 부인은 중요한 외교적 맥락이지만, 리플과 암호화폐 업계가 움직이는 이유는 따로 있다. 보도에 따르면 리플은 Crypto ISAC을 통해 북한 연계로 평가된 해킹 캠페인의 내부 위협정보를 업계와 공유하기 시작했으며, 공유 항목에는 사기 관련 도메인, 지갑 주소, 침해지표가 포함된다 [2]. 목적은 북한의 책임을 법정에서 최종 확정하는 것이 아니라, 거래소·디파이·인프라 기업이 같은 침투 패턴을 더 빨리 알아차리도록 돕는 공동 방어에 가깝다 [
1][
7].
핵심은 “부인”이 아니라 “방어 가능한 신호”다
북한은 암호화폐 해킹 의혹을 허위 정보이자 정치적 목적의 비방이라고 부인해 왔다고 여러 매체가 보도했다 [19][
20]. 그러나 미국과 동맹국, 수사·정보 당국 쪽에서는 라자루스 그룹 등 북한 연계 조직을 대형 암호화폐 절취 사건과 연결해 보는 평가가 계속 나오고 있다 [
17][
25].
예를 들어 미국 상원의원들이 재무부와 법무부에 보낸 서한은 2025년 2월 Bybit 해킹에서 북한 정부 지원 해커 조직인 라자루스 그룹이 약 15억 달러 상당의 디지털 자산을 훔쳤다고 주장했다 [17]. 또 한국·미국·일본의 공동성명에 따르면, 북한 연계 해커들은 2024년 최소 6억5910만 달러 규모의 암호화폐를 훔친 것으로 지목됐다 [
25].
이런 상황에서 암호화폐 기업들이 공유하려는 것은 정치적 구호가 아니라 보안팀이 바로 확인할 수 있는 신호다. 특정 도메인, 지갑 주소, 이메일, 의심 계정, 악성 행위 패턴 같은 정보는 다른 기업의 방어 체계에서 차단·모니터링·조사 대상으로 활용될 수 있다 [2][
6].
리플이 Crypto ISAC에 공유하는 정보
Crypto ISAC은 암호화폐 업계의 보안 정보 공유를 목적으로 하는 조직으로 설명된다 [2][
7]. 리플은 이 조직을 통해 북한 연계 해킹 활동과 관련된 내부 위협정보를 제공하고 있으며, 보도된 공유 대상에는 사기 관련 도메인, 지갑 주소, 침해지표가 포함된다 [
2]. 일부 보도는 의심 공격자 또는 북한 IT 인력으로 평가된 프로필, LinkedIn 계정, 이메일 주소 같은 식별 정보도 언급한다 [
3][
6].
이런 정보가 중요한 이유는 공격자가 한 기업만 노리지 않기 때문이다. 한 곳에서 발견된 도메인이나 지갑 주소, 가짜 인물 프로필이 다른 거래소, 디파이 프로젝트, 인프라 업체에도 다시 등장할 수 있다. Crypto ISAC을 통한 공유는 각 기업이 따로 발견한 단서를 업계 차원의 조기경보로 바꾸려는 시도다 [2][
7].
왜 지금인가: 공격 방식이 코드 취약점에서 사람으로 옮겨가고 있다
최근 보도들이 공통적으로 짚는 변화는 공격 표적이 스마트컨트랙트의 기술적 취약점만이 아니라는 점이다. CoinMarketCap은 공격자들이 기술적 익스플로잇에서 암호화폐 기업 임직원을 겨냥한 사회공학 작전으로 이동하고 있다고 설명했다 [2]. crypto.news도 보안팀들이 장기 침투, 신뢰 형성, 권한 확보 뒤 자금을 이동시키는 방식의 증가를 확인했다고 전했다 [
10].
Drift Protocol 사례도 이런 변화의 예로 거론된다. Binance Square에 게재된 보도는 Drift 관련 2억8500만 달러 규모 사건이 스마트컨트랙트 취약점 때문이 아니라, 장기간의 사회공학 침투와 악성코드 설치, 개인키 탈취로 설명됐다고 전했다 [6]. 이 설명이 맞다면, 단순한 코드 감사만으로는 막기 어려운 유형의 공격이라는 뜻이다.
업계가 정보를 공유하는 네 가지 실무적 이유
첫째, 침해지표는 빠른 탐지에 쓰인다. 사기 도메인, 지갑 주소, 침해지표가 API를 통해 공유되면 참여 기업은 이를 보안 운영 과정에서 더 빨리 대조할 수 있다 [2].
둘째, 사회공학 공격은 기업 경계를 넘어 반복될 수 있다. 공격자가 같은 가짜 신원, 연락처, 플랫폼 계정, 지갑 주소를 여러 기업에 활용한다면 한 기업의 발견은 다른 기업의 예방 신호가 된다 [3][
6].
셋째, 책임 규명은 오래 걸리지만 방어는 즉시 필요하다. 북한은 의혹을 부인하고 있지만, 미국과 동맹국은 라자루스 등 북한 연계 조직을 여러 대형 사건과 연결해 보고 있다 [17][
25]. 업계 입장에서는 최종 외교·사법 판단을 기다리기보다, 반복되는 패턴을 먼저 차단하는 쪽이 현실적이다.
넷째, 암호화폐 보안은 개별 회사의 문제가 아니다. 거래소, 지갑, 디파이 프로토콜, 브리지, 인프라 제공업체가 서로 연결된 생태계에서는 한 곳의 침해가 다른 곳의 리스크로 번질 수 있다. 그래서 리플의 정보 공유는 특정 기업의 평판 관리라기보다, 업계 전반의 방어 표면을 넓히려는 조치로 해석할 수 있다 [1][
7].
단정은 금물: “북한 연계”와 “최종 책임”은 구분해야 한다
이 사안을 읽을 때 가장 중요한 표현은 “북한이 했다”라는 단정이 아니라 “북한 연계로 평가된” 위협이라는 점이다. 북한은 관련 의혹을 허위이자 정치적 공격이라고 부인하고 있으며 [19][
20], 공개 보도만으로 모든 사건의 증거 수준을 동일하게 평가할 수는 없다.
다만 사이버보안 현장에서는 완전한 법적 결론이 나오기 전에도 위험 신호를 공유한다. 위협정보 공유는 판결문이 아니라 경보 시스템에 가깝다. 리플과 Crypto ISAC의 움직임도 북한의 부인을 무시한다기보다, 반복적으로 관찰되는 지갑·도메인·프로필·침투 방식이 다시 쓰일 가능성에 대비하는 방어 조치로 보는 편이 정확하다 [2][
7].
결론적으로, 리플과 암호화폐 업계가 북한 해커 관련 정보를 공유하는 이유는 정치적 논쟁에서 이기기 위해서가 아니다. 공격자가 사람을 속이고 내부 접근권을 얻는 방식으로 진화하고 있다는 평가가 커지는 만큼, 업계가 같은 신호를 더 빨리 보고 더 빨리 막기 위해서다 [2][
10].
