뉴욕 글로벌 최대 Web3 보안 기업 CertiK은 ‘Skynet 북한 가상자산 위협 보고서’를 발표하고, 지난 10년간 북한 연계 해커 조직의 가상자산 산업 내 진화 과정과 자금 흐름을 체계적으로 추적·분석했다. 보고서에 따르면 북한 해커 조직은 2016년 이후 현재까지 총 67.5억달러 규모의 디지털자산을 탈취한 것으로 나타났다. 특히 2025년 한 해 동안 발생한 관련 해킹 피해 규모는 20.6억달러에 달했으며, 이는 글로벌 가상자산 업계 전체 피해액의 약 60%에 해당한다.

보고서는 북한 연계 해커 조직이 기존의 단순 코드 취약점 공격 단계를 넘어, 공급망 심층 침투와 대규모 자금 세탁 능력을 갖춘 고도화된 국가 차원의 공격 체계로 진화하고 있다고 분석했다.

핵심 데이터: 조직화된 공격과 산업화된 자금 세탁

보고서에 따르면 북한 해커 조직의 공격은 고도로 정교한 ‘시스템화’ 특징을 보이고 있다. 전체 공격 횟수는 상대적으로 많지 않지만, 유동성이 높은 고가치 목표를 집중적으로 노리는 방식이다.

2016년 이후 현재까지 북한 연계 해커 조직은 총 263건의 공격을 감행했으며, 이로 인한 디지털자산 피해 규모는 약 67.5억달러에 달한 것으로 집계됐다. 2025년 북한 연계 공격은 전체 글로벌 해킹 사건 수의 약 12%에 불과했지만, 탈취 규모는 20.6억달러로 전체 가상자산 업계 피해액의 약 60%를 차지했다. 특히 Bybit 해킹 사건은 약 15억달러 규모의 피해를 기록하며, 업계 역사상 최대 단일 해킹 사건으로 남았다.

2026년 초 기준 북한 해커 소행으로 확인된 디지털자산 피해 규모는 약 6.209억달러로, 글로벌 전체 피해액의 약 55%를 차지한 것으로 나타났다. Bybit 사건과 같은 대형 해킹 사례에서는 탈취 자금의 86% 이상(주로 이더리움 기반 자산)이 단 한 달 만에 믹서, 크로스체인 브리지, 탈중앙화거래소(DEX), 장외거래(OTC) 네트워크 등을 통해 세탁·이전된 것으로 분석됐다.

전술 진화: ‘코드 해킹’에서 ‘인간 심리 공격’과 인프라 침투로

‘Skynet 북한 가상자산 위협 보고서’는 최근 몇 년간 발생한 주요 보안 사건을 심층 분석하며, 북한 해커 조직의 공격 방식이 근본적으로 변화하고 있다고 지적했다. 과거처럼 단순히 스마트컨트랙트 코드 취약점을 찾는 데 그치지 않고, 이제는 인간 심리와 공급망 인프라의 취약 지점을 주요 공격 대상으로 삼고 있다는 설명이다.

보고서는 이러한 공격 역량의 진화를 보여주는 대표 사례로 세 가지 사건을 제시했다. Ronin 크로스체인 브리지 사건(2022년, 피해액 6.25억달러)은 사회공학 공격의 위력을 보여준 사례다. 해커들은 링크드인(LinkedIn)의 허위 채용 공고를 활용한 피싱 공격을 통해 내부 엔지니어의 기기에 스파이웨어를 설치했다. Bybit 거래소 해킹 사건(2025년, 피해액 15억달러)은 공급망 공격이 핵심 전술로 자리 잡았음을 보여준다. 공격자들은 거래소 자체를 직접 공격하지 않고, Bybit가 사용하던 서드파티 멀티시그 플랫폼인 Safe 지갑 개발자의 장비를 침해해 신뢰된 사용자 인터페이스(UI)를 변조했다. Drift 프로토콜 사건(2026년, 피해액 2.85억달러)은 새로운 형태의 ‘물리적 침투(오프라인 침투)’ 공격을 드러냈다. 공격자들은 제3의 중개인을 고용해 약 6개월 동안 가상자산 업계 행사와 컨퍼런스에 직접 참석하며, 프로토콜 핵심 기여자들과 오프라인 관계를 형성했다. 또한 실제 자금을 투자해 신뢰를 구축한 뒤, 최종적으로 오라클 조작과 거버넌스 권한 장악을 통해 공격을 실행한 것으로 나타났다.

잠복형 위협: IT 인력 침투와 블록체인 기반 C2 인프라 확산

수년간 수천 명의 북한 IT 인력들은 위조 신원을 이용해 DeFi 프로토콜과 서방 기술 기업에 원격 근무 형태로 침투해 온 것으로 나타났다. 이들은 ‘신뢰 가능한 내부 직원’으로 장기간 잠복하며 정보 수집과 내부 지원 역할을 수행했으며, 일부 사례에서는 직접 자금 탈취에도 가담한 것으로 분석됐다. 대표적으로 Munchables 사건에서는 내부 인력이 자신이 소속된 조직의 자금을 직접 탈취한 사례가 확인됐다.

한편 북한 해커 조직은 블록체인을 공격 인프라로 악용하는 방식도 고도화하고 있다. 2025년 10월 구글 위협 인텔리전스 그룹은 북한 해커 조직이 처음으로 ‘EtherHiding’ 기법을 활용한 사실을 공개했다. 이들은 퍼블릭 블록체인을 탈중앙화된 명령·제어(C2) 인프라로 활용하고, 악성 공격 페이로드를 스마트컨트랙트의 거래 데이터에 저장하는 방식을 사용했다. 이로 인해 해당 인프라는 수사기관이 강제로 차단하거나 폐쇄하기가 사실상 불가능한 구조를 갖게 됐다.

업계 대응 권고: 내부 방어 체계 구축 필요

CertiK은 보고서에서 가상자산 업계와 금융기관이 국가급 공격에 대응하기 위한 체계적인 방어 메커니즘을 구축해야 한다고 권고했다. 여기에는 ‘제로트러스트’ 기반 채용 체계 도입, 원격 직원 및 프리랜서에 대한 엄격한 신원 검증과 배경 조사, 허위 채용·위장 투자기관·악성 코드 저장소 등에 대응하기 위한 사회공학 공격 방어 교육 강화 등이 포함된다. 또한 멀티시그 지갑과 클라우드 서비스 제공업체 등 서드파티 공급망에 대한 보안 감사를 강화하고, 고가치 자산의 개인키는 물리적으로 격리된 하드웨어 보안 모듈(HSM)에 저장할 것을 권고했다. 아울러 대규모 출금 및 프로토콜 거버넌스 변경에는 타임락과 대기 기간을 도입해 보안팀이 위험 거래를 차단할 수 있는 시간을 확보해야 한다고 강조했다.

국가급 해킹 위협 확산… 단일 기관 방어만으로는 한계

보고서는 기업이 이러한 조치를 통해 내부적인 1차 방어선을 구축할 수는 있지만, 국가 차원의 조직적·지속적 공격에 대응하기에는 단일 기관의 방어 역량만으로는 한계가 존재한다고 지적했다. 이에 따라 기업은 내부 보안 체계를 강화하는 데 그치지 않고, 전 생애주기를 포괄하는 외부 보안 지원 체계까지 함께 구축할 필요가 있다고 설명했다. 공격 이전 단계의 리스크 예방 측면에서 보면, 전문 보안 기관을 통해 스마트컨트랙트 코드 감사, 정형 검증(Formal Verification), 모의 해킹(Penetration Testing) 등 인프라 수준의 보안 점검을 수행함으로써 잠재적 취약점을 사전에 식별하고 제거할 수 있다. 프로젝트 운영 단계에서는 24시간 긴급 대응 체계와 상시 리스크 모니터링 그리고 온체인 반자금세탁(AML)·KYT 기반의 자금 추적 역량이 필수적으로 요구된다. 또한 전 세계적으로 규제가 강화되는 상황에서, 전문적인 준비금 증명(PoR) 감사와 라이선스 취득을 위한 컴플라이언스 지원 체계 역시 불법 자금세탁 흐름을 차단하는 핵심 요소로 부상하고 있다. 보고서는 기초 코드 보안부터 온체인 자금 추적에 이르는 입체적 방어 체계를 구축하는 것이 디지털자산 산업의 지속 가능한 발전을 위한 필수 조건이 되고 있다고 강조했다.

※ 보고서 전문: https://indd.adobe.com/view/be48d044-d9fb-428d-b9a9-8b740356853a

CertiK 소개

CertiK은 블록체인 보안 분야의 선구자로서, 현재 최첨단 정형 검증 기술, AI 감사 기술, 보안 전문가 수동 감사를 활용해 블록체인 프로토콜과 스마트 컨트랙트를 스캔 및 모니터링해 그 안전성을 보장한다. 예일대와 컬럼비아대 교수 두 명이 2018년에 설립한 CertiK은 학계 최첨단의 혁신 기술을 산업에 적용함으로써 기업이 중요한 소프트웨어 및 애플리케이션을 충분히 안전하고 올바른 환경에서 구축할 수 있도록 해 Web3 세계를 보호하고 있다. 블록체인 보안 분야에서 가장 빠르게 성장하고 가장 신뢰받는 기업 중 하나인 CertiK은 진정한 업계 리더로 거듭났다. 현재까지 CertiK은 4100개 이상의 기업과 협력해 7만 개 이상의 블록체인 코드 취약점을 탐지했으며, 3700억달러 이상의 자산을 보호했다. 우리의 고객으로는 Aptos, Ripple, Sandbox, Polygon, BNB Chain 및 TON과 같은 주요 프로젝트 등이 있다. 또한 CertiK은 Insight Partners, Sequoia, Tiger Global, Coatue Management, Lightspeed, Advent International, SoftBank, Hillhouse Capital, Goldman Sachs, Coinbase Ventures, Binance, Shunwei Capital, IDG Capital, Wing, Legend Star, Danhua Capital 등 VC들에게 투자를 받았다.

웹사이트: https://www.certik.com/