북한 해커들이 2025년에 20억 달러 넘는 암호화폐를 탈취한 방법

미 연방수사국(FBI)은 이 사건을 **북한과 연계된 해킹 활동 ‘TraderTraitor’**와 관련된 것으로 지목했다.

위협 인텔리전스 분석에 따르면 공격자들은 개발 환경을 노린 공급망 공격을 통해 시스템에 접근했다. CrowdStrike 연구는 이 사건을 PRESSURE CHOLLIMA라는 공격 클러스터가 수행한 것으로 추적하며, 이 그룹이 트로이목마화된 소프트웨어를 배포해 개발 파이프라인을 침해했다고 설명한다.

접근 권한을 확보한 뒤 공격자들은 거래소 지갑에서 대량의 암호화폐를 이동시키고, 수천 개의 블록체인 주소로 분산 전송해 추적을 어렵게 만들었다.

공격 횟수는 줄었지만 규모는 더 커졌다

블록체인 분석 자료에 따르면 2025년 북한 연계 조직이 탈취한 20억2천만 달러는 전년 대비 약 51% 증가한 수치다.

흥미로운 점은 전체 공격 건수는 오히려 감소했다는 것이다.

연구자들은 이를 전략 변화로 본다. 즉, 많은 소규모 해킹 대신 대형 거래소나 금융 인프라를 노린 고위험·고수익 공격에 집중하는 방식으로 바뀌었다는 것이다.

보안 업체 CertiK는 이러한 패턴을 **“산업화된(industrialized) 사이버 범죄”**라고 설명한다. 공격, 침투, 자금 세탁이 각각 전문화된 인프라로 운영된다는 의미다.

2025년 공격을 가능하게 한 핵심 수법

공급망 공격

바이비트 사건은 공격자들이 더 이상 거래소 자체만 노리지 않는다는 점을 보여준다.

대신 개발 도구, 업데이트 시스템, 소프트웨어 의존성 같은 공급망을 먼저 침해해 악성 코드를 배포한다.

이 방식의 특징은 다음과 같다.

• 피해자가 신뢰하는 소프트웨어를 직접 설치하게 만든다
• 보안 시스템이 정상 업데이트로 인식할 가능성이 높다
• 내부 권한을 쉽게 획득할 수 있다

이 때문에 공급망 공격은 최근 사이버 작전에서 가장 위험한 기술 중 하나로 꼽힌다.

AI 기반 사회공학 공격

보안 보고서에 따르면 공격자들은 AI 도구를 활용해 피싱과 사칭 공격을 더욱 정교하게 만들고 있다.

AI는 다음과 같은 작업을 자동화한다.

• 피싱 이메일 작성
• 목표 조직 조사
• 현실적인 온라인 인물 프로필 생성

이 덕분에 공격자는 훨씬 많은 직원에게 접근해 계정 정보나 내부 접근 권한을 얻을 확률을 높일 수 있다.

가짜 원격 IT 직원

최근 몇 년간 급증한 또 다른 전략은 가짜 원격 개발자 취업이다.

수사기관에 따르면 북한은 도용 또는 위조된 신분을 사용해 해외 기업의 원격 개발자·IT 직무에 취업하려는 네트워크를 운영해 왔다.

이들이 회사에 들어가면 다음과 같은 행동이 가능해진다.

• 내부 시스템 접근
• 자격 증명 수집
• 해킹 또는 자금 세탁 지원

일부 대형 기술 기업은 수천 건의 의심스러운 취업 시도를 차단했다고 보고하며 이 전략의 규모를 보여준다.

사회공학과 내부 침투의 결합

보안 연구자들은 북한 해킹 작전이 **기술적 공격과 인간 기반 침투를 동시에 사용하는 ‘하이브리드 모델’**로 발전했다고 본다.

CertiK 보고서는 이를 **“오프라인 침투(offline infiltration)”**라고 표현한다. 즉, 단순한 취약점 공격이 아니라 직원·협력사·계약자 관계를 이용한 접근까지 포함하는 방식이다.

북한 해킹 조직과 ‘CHOLLIMA’ 클러스터

사이버 보안 기업들은 북한 관련 해킹 활동을 하나의 조직이 아니라 여러 공격 클러스터로 추적한다.

대표적인 예는 다음과 같다.

• PRESSURE CHOLLIMA – 공급망 공격을 통해 바이비트 해킹을 가능하게 한 그룹으로 CrowdStrike가 추적
• 기타 DPRK 연계 클러스터 – 흔히 Lazarus 생태계와 연관된 조직들로, 금융 탈취와 사이버 스파이 활동을 병행

공개 자료에서는 FAMOUS CHOLLIMA나 STARDUST CHOLLIMA와 특정 2025 사건을 직접 연결하는 상세 정보는 제한적이지만, 이들 역시 북한 사이버 작전 환경의 일부로 추적된다.

탈취한 암호화폐 세탁 방식

대규모 해킹 이후 공격자들은 자금을 빠르게 이동시킨다.

일반적인 과정은 다음과 같다.

• 수천 개의 지갑 주소로 분산
• 여러 종류의 암호화폐로 전환
• 믹싱 서비스 이용
• 탈중앙화 거래소(DEX) 활용
• 크로스체인 브리지 사용

이런 방법을 통해 자금 흐름을 복잡하게 만들어 추적을 어렵게 만든다.

일부 분석에서는 대형 해킹 후 약 45일 내에 상당량이 세탁되는 경우도 확인됐다.

왜 국가 안보 문제로 보나

미국과 국제 사회는 이러한 사이버 활동을 단순한 범죄가 아니라 국가 재정 확보 전략으로 본다.

정부 발표에 따르면 북한은 사이버 범죄와 IT 노동자 네트워크를 활용해 국제 제재를 우회하고 무기 프로그램 자금을 확보하는 것으로 분석된다.

여기에는 다음과 같은 프로그램이 포함된다.

• 탄도미사일 개발
• 핵무기 프로그램

이 때문에 각국 수사기관은 자금 세탁 네트워크와 관련 인프라를 추적·차단하는 협력 수사를 확대하고 있다.

암호화폐 보안에 던지는 의미

2025년 사건은 암호화폐 보안 환경이 크게 바뀌고 있음을 보여준다.

핵심 변화는 세 가지다.

• 국가 차원의 해킹 조직이 암호화폐 플랫폼을 전략적 금융 인프라로 표적화하고 있다
• 공격은 기술 해킹 + 인간 침투 + 사회공학을 동시에 사용한다
• 단일 공격으로도 수십억 달러 규모 피해가 발생할 수 있다

보안 전문가들은 앞으로 암호화폐 업계가 다음 영역을 강화해야 한다고 지적한다.

• 소프트웨어 공급망 보안
• 원격 직원 신원 검증
• 블록체인 자금 흐름 모니터링

암호화폐 시장이 계속 성장하는 만큼, 2025년에 나타난 공격 방식은 향후에도 가장 지속적이고 정교한 국가 지원 사이버 위협 중 하나로 남을 가능성이 높다.