북한의 15억 달러 암호화폐 탈취 사건과 교훈, 다음은 당신

타이거리서치(Tiger Research)
2025.04.02 15:50:40

본 보고서는 Tiger Research가 작성했으며, 북한의 바이빗 15억 달러 규모의 암호화폐 도난, 그들의 정교한 해킹 전략, 그리고 Web3 프로젝트를 위한 필수적인 보안 조치를 분석했습니다.
TL;DR
-
2025년 2월 북한 해커들이 사회공학적 해킹을 통해 바이빗의 15억 달러 상당의 암호화폐를 탈취했으며, 이러한 사건은 더욱 증가하는 추세이다.
-
북한은 국가적으로 해킹을 통해 GDP의 4~5%에 해당하는 자금을 확보하고 있으며, 이들의 수법은 더욱 교모해지고 정교해지고 있다.
-
반면, 많은 웹3 프로젝트들은 보안 방침이 부재한 경우가 많아 기본 보안(코드 리뷰, 교육), 중간 단계(외부 감사, 버그 바운티), 고급 보안(이상 탐지, 전담팀)으로 단계적 강화가 필요하다.
7,000명 이상의 웹3 시장 리더들이 읽고있는 아시아 웹3 시장의 인사이트를 가장 먼저 확인해보세요.
1. 블록체인 업계로 향하는 위협, 해킹
Bybit CEO confirmed the hacks. Source: @benbybit
블록체인 시장에서는 크고 작은 해킹 사건이 지속적으로 발생하고 있다. 이러한 사이버 공격 중에서도 북한은 암호화폐 해킹의 주요 주체로서 특히 주목받고 있다. 북한은 국가 차원에서 전문 해커 조직을 체계적으로 운영하며, 2025년 초 바이빗 거래소를 대상으로 한 15억 달러 규모의 역대 최대 해킹 사건이 이들의 역량을 여실히 보여주었다.
이러한 사이버 작전을 통해 북한은 정권 유지와 무기 개발에 필요한 불법 자금을 안정적으로 확보하고 있다. 동시에 국제 사회의 경제 제재를 효과적으로 우회하는 수단으로 활용하고 있으며, 앞으로도 이러한 공격은 더욱 빈번해지고 정교해질 것으로 예상된다.
Source: QuillAudit
이렇듯 북한뿐만 아니라 다양한 해킹 주체들의 공격 규모와 빈도가 꾸준히 증가하는 상황에서, 웹3 프로젝트를 이끄는 리더들은 더 이상 이 심각한 보안 문제를 간과할 수 없게 되었다. 이에 본 보고서는 대표적인 암호화폐 해킹 주체인 북한의 전략을 심층적으로 분석하고, 증가하는 사이버 위협에 대응하기 위한 기업 차원의 실질적이고 효과적인 보안 전략을 제시하고자 한다.
2. 2025년 바이빗 해킹
Source: FBI
미국 연방수사국(FBI)이 2025년 2월 26일 발표에 따르면, 북한의 해킹 그룹이 약 15억 달러의 암호화폐 자산을 바이빗에서 탈취한 것으로 밝혀졌다.
2.1. 3단계로 보는 바이빗 해킹 사건
1단계: 초기 침투 - 개발자 컴퓨터 해킹
체이널리시스(Chainalysis)의 조사에 따르면, 공격은 소셜 엔지니어링으로 시작되었다. 해커들은 Safe{Wallet} (이하, 세이프) 개발자에게 가짜 이메일이나 메시지를 보내 속였다. 개발자가 악성 파일을 열거나 가짜 웹사이트에 로그인하면서 해커들은 개발자 컴퓨터에 침투했다.
세이프와 맨디언트(Mandiant)는 해당 개발자가 시스템에 높은 수준의 접근 권한을 보유한 극소수 인원 중 하나였다고 밝혔다. 바이빗은 고객 자산 보호를 위해 세이프라는 외부 지갑 서비스를 이용했는데, 이는 마치 은행이 고객의 돈을 보관하는 금고의 보안을 외부 경비업체에 맡긴 것과 같다. 해커들은 그 경비업체의 핵심 보안 카드를 소지한 직원을 공략했고, 이 직원의 컴퓨터를 해킹함으로써 은행 금고의 보안 시스템에 접근할 수 있는 첫 관문을 통과했다.
2단계: 클라우드 서버 침투 및 코드 변조
개발자 컴퓨터를 장악한 해커들은 다음 단계로 다중 인증 시스템을 우회했다. 이는 경비업체 직원의 출입카드뿐만 아니라 추가 보안코드까지 획득한 것과 같다. 이를 통해 해커들은 아마존 클라우드 서비스(AWS) 접속 토큰을 탈취하여 세이프의 프로그램 코드가 저장된 클라우드 서버, 즉 은행 금고 건물의 중앙 통제실에 침입했다.
통제실에 들어간 해커들은 세이프 사용자 인터페이스 코드에 정교한 악성 프로그램을 삽입했다. 마치 경비회사의 보안 모니터링 시스템을 조작하여 특정 은행의 감시 카메라만 가짜 영상을 보여주도록 한 것이다. 특히 이 악성 코드는 바이빗 월렛만을 표적으로 삼았기 때문에, 눈치채기 어려운 구조였다고 한다. 마치, 다른 은행들의 감시 시스템은 정상 작동하여 일반 사용자들은 물론 대부분의 보안 시스템도 변화를 감지하지 못한 것과도 같다.
3단계: 거래 변조 및 자금 탈취
이후 Galaxy GK8의 최고기술책임자(CTO) Shahar Shamai의 분석에 따르면, 2월 21일 해커들은 ‘'Operation'이라는 거래 설정값을 정상값인 '0'에서 '1'로 변경했다. 이 설정값이 '1'로 변경되면 'delegateCall'이라는 특수 기능이 활성화된다. 이는 은행 직원이 일상적인 출금 요청서에 서명했다고 생각했으나, 실제로는 "이 고객의 모든 계좌 접근 권한을 영구적으로 부여합니다"라는 문서에 서명한 것과 같다.
권한을 획득한 해커들은 바이빗의 콜드 월렛(오프라인 보관 지갑)에 접근했으며, 해커들은 401,000 이더리움(ETH)을 포함한 대량의 암호화폐를 자신들의 지갑으로 이동시켰다. Shamai는 거래 검토 화면상으로는 이런 작은 변경을 감지하기 거의 불가능했을 것이라고 설명했다. 마치 은행 직원들은 모니터에 표시된 정상적인 화면만 보고 있었기 때문에, CCTV에 녹화된 정상 영상만 보며 실제로는 금고에서 현금이 빠져나가는 것을 알아차리지 못한 것과 같다.
중요한 점은 세이프의 스마트 계약(자동화된 계약 프로그램) 자체는 손상되지 않았다는 것이다. 즉, 은행의 금고와 보안 시스템 자체는 여전히 튼튼했지만, 보안 담당자가 보는 모니터 화면이 조작되어 도난 사실을 인지하지 못했다. 이런 정교한 속임수 때문에 바이빗의 보안팀도 처음에는 이상 징후를 감지하지 못했다.
2.2. 바이빗 측의 대응
불안을 느낀 사용자들이 대규모로 이탈하면서 예금자들이 한꺼번에 자금을 인출하는 뱅크런과 유사한 상황이 발생했다. 이에 바이빗의 CEO 벤 저우는 즉각 대응에 나섰다. 그는 거래소의 지불 능력이 온전하며 모든 고객 자산을 1:1로 보장한다고 공식 발표했다.
회사는 빠른 행보를 보이며 72시간 만에 갤럭시 디지털, 팔콘X, 윈터뮤트 등 주요 기업들로부터 자금을 조달해 도난당한 자금을 충당했다. 이와 더불어 바이빗은 도난 암호화폐 회수에 기여한 개인에게 회수액의 최대 10%를 지급하는 복구 현상금 프로그램을 도입했다.
바이빗의 신속한 긴급 자금 조달과 투명한 소통은 시장 신뢰를 회복하고 상황을 안정화하는 데 결정적인 역할을 했다. 그럼에도 이번 해킹 사태는 암호화폐 시장 전반에 충격으로 남았고, 강력한 보안 체계를 갖춘 대형 플랫폼조차 정교한 사이버 공격에 취약할 수 있다는 사실을 일깨우는 대표적 사례로 남았다.
3. 침투부터 자금 세탁까지의 고도화되는 해킹 전략
북한 사이버 부대의 블록체인 해킹 수법은 기존 해킹 방식과 크게 다르지 않다. 이들은 사회공학적 속임수와 기술적 해킹을 결합하여 목표 시스템에 침투한다. 주로 채용 담당자나 개발자로 위장해 피해자가 악성 프로그램을 다운로드하거나 감염된 링크를 클릭하도록 유도하는 방식을 사용한다. 멀웨어가 설치되면 해커는 피해자의 시스템을 장악하고 민감한 정보에 자유롭게 접근할 수 있게 된다.
블록체인 해킹이 기존 해킹과 구별되는 핵심 차이점은 자금 세탁 방법에 있다. 암호화폐를 탈취한 후, 북한 요원들은 추적을 피하기 위해 신속하고 체계적인 세탁 과정을 진행한다. 이 과정에서 훔친 자금은 수천 개의 거래와 주소로 분할되어 여러 중개 지갑을 거치며, 다양한 암호화폐로 교환된다. 분산형 거래소(DEX), 크로스체인 브리지, 믹싱 서비스를 연속적으로 활용하는 '체인홉' 기법으로 자금의 흐름을 효과적으로 숨긴다.
과거 라자루스 그룹은 토네이도 캐시나 신밧드와 같은 믹서 서비스를 주로 활용하여 흔적을 지웠다. 그러나 이러한 믹서에 대한 규제와 감시가 강화됨에 따라 전략을 변경했다. 현재는 속도와 규모를 최우선으로 하는 접근법을 채택했다. 바이빗 해킹 사례에서 볼 수 있듯이, 단 48시간 만에 1억 6천만 달러, 며칠 내에 4억 달러 이상을 세탁하는 놀라운 효율성을 보여주었다.
최근 북한 해커들은 '플러드 더 존(flood-the-zone)'이라는 전술을 구사한다. 이는 다수의 플랫폼에 걸쳐 빠르고 빈번하게 자금을 이동시켜 규제 당국과 조사관들의 추적 능력을 압도하는 방식이다. 이러한 공격적인 세탁 방식은 추적을 어렵게 만들뿐만 아니라, 조사 인력과 자원을 분산시키는 효과를 가져온다.
최종적으로 도난된 암호화폐 대부분은 비트코인으로 전환되어 해커들이 통제하는 지갑에 보관된다. 이후 장외 브로커나 규제가 느슨한 거래소를 통해 추가 세탁 과정을 거친다. 북한의 해킹 전략은 정교한 침입 기술과 체계적인 세탁 작업의 결합으로, 업계의 방어 시스템을 지속적으로 앞서가는 모습을 보이고 있다.
4. 웹3 프로젝트의 사이버 위협과 보안의 중요성
Source: Chainalysis
북한의 암호화폐 탈취 작전은 정권의 주요 경제 기둥으로 자리잡았다. 2023년에는 약 6억 6천만 달러, 2024년에는 두 배 이상 증가한 약 13억 4천만 달러의 암호화폐를 탈취했다. 이는 북한 GDP의 4~5%에 해당하는 규모다. 2025년 초 발생한 바이빗 해킹만으로도 북한 GDP의 5%가 넘는 금액을 탈취해, 사이버 절도가 북한의 경제 생존 전략에 깊이 자리잡고 있음을 보여준다.
이처럼 암호화폐 탈취가 경제적으로 상당한 이익을 제공하기 때문에 북한은 앞으로도 이러한 공격을 확대할 가능성이 높다. 또한 다른 해커 그룹들도 이 수익성 높은 영역에서 활동을 지속할 것으로 예상된다.
4.1. 웹3 프로젝트의 보안 취약성
이러한 위협의 규모에도 불구하고, 많은 웹3 프로젝트들은 정교한 공격자에 대응할 준비가 근본적으로 부족한 상태다. 기존 기업들이 직원 온보딩 과정에서 피싱 방지, 기기 보안, 민감 데이터 처리 등에 관한 체계적인 교육을 실시하는 것과 달리, 웹3 환경에서는 단순한 노션 문서나 텔레그램 채팅으로 온보딩이 이루어지는 경우가 많다. 이로 인해 팀원들은 필요한 보안 도구가 부족할 뿐만 아니라, 어떤 보안 요소가 부족한지조차 인식하지 못하는 상황이 빈번하다.
대부분의 암호화폐 프로젝트는 소규모 팀으로 운영되며 공격적인 출시 일정을 추구한다. 이러한 환경에서 보안은 기본 요소가 아닌 개발 속도를 저해하는 장애물로 인식되는 경향이 있다.
웹3 환경에서 더욱 심각한 문제는 신뢰가 무너지면 모든 것이 무너진다는 특성이 있다. 블록체인상에서 한 번 서명된 거래는 되돌릴 수 없으며, 기존 금융 시스템의 사기 신고 창구나 지불 거절 같은 안전장치도 존재하지 않는다. 바이빗 해킹 사례에서 볼 수 있듯이, 보안 사고 발생 시 단순히 하나의 서비스에서 피해가 멈추지 않고 전체 시장에 영향이 가기에, 더욱 주의해야할 것이다.
4.2. 웹3 업계에서 지켜야할 기본적인 보안 전략
코드 리뷰, 계정 보안, 기본 교육과 같은 적용 난이도가 낮은 항목은 팀 규모나 예산과 무관하게 즉시 도입할 수 있다. 이러한 기본 조치들은 리스크를 실질적으로 줄이며 건전한 보안 문화의 토대가 된다.
프로젝트가 성장하여 사용자 지갑 연결이 활발해지거나 트랜잭션 빈도가 높아지면 외부 감사, 버그 바운티 프로그램, 로그 수집 등 중간 난이도의 보안 항목 도입이 현실적이다. 이는 증가하는 위험에 대응하면서도 과도한 비용 부담을 피할 수 있는 균형점을 제공한다.
프로젝트의 관리 자산 규모가 임계점을 넘어서면 고난이도 보안 항목 도입이 필수적이다. 온체인 이상 탐지 시스템, 보안 전담팀, 사이버 보험 같은 요소들은 초기에는 과도해 보일 수 있으나, 대규모 자산 관리 단계에서는 위기 상황의 대응력을 결정짓는 핵심 요소로 작용한다.
블록체인 보안 조치의 난이도별 항목을 볼 때 주목할 점은, 웹3 환경에서도 기술적 취약점뿐 아니라 사회공학적 공격이 주요 위협이라는 사실이다. 최근 블록체인 해킹 사례 분석 결과, 스마트 컨트랙트 자체의 취약점보다 피싱, 신원 도용, 권한 탈취 같은 사회공학적 침해 사례가 급증하고 있다.
이러한 사회공학적 위협에 대응하기 위해서는 기술적 방어체계 구축만으로는 충분하지 않다. 스마트 컨트랙트 코드 무결성 확보와 함께 팀원과 사용자 대상 보안 인식 교육, 피싱 대응 훈련, 다중 인증 체계가 더욱 중요해졌다. 특히 온체인 이상 탐지나 보안팀 구성 같은 고난이도 보안 항목은 기술적 방어를 넘어 사회공학적 공격 대응 능력 강화에 초점을 맞춰야 한다.
보안에 투자하지 않은 탈중앙화 프로젝트는 중앙화 시스템보다 더 큰 위험에 노출될 수 있다. 이는 탈중앙화 환경의 특성상 공격 표면이 넓고, 공격 성공 시 되돌릴 수 있는 방법이 제한적이기 때문이다. 따라서 투자자와 파트너들이 신뢰할 수 있는 보안 구조 구축을 위해서는 기술적 보안과 함께 인적 요소에 대한 지속적인 관리와 훈련이 병행되어야 한다. 이러한 종합적 접근만이 블록체인 프로젝트의 지속가능한 성장과 안전을 보장할 수 있다.
7,000명 이상의 웹3 시장 리더들이 읽고있는 아시아 웹3 시장의 인사이트를 가장 먼저 확인해보세요.
🐯 More from Tiger Research
Read more reports related to this research.
Disclaimer
이 보고서는 신뢰할 수 있는 자료를 바탕으로 작성되었습니다. 그러나 정보의 정확성, 완전성, 그리고 적합성을 명시적으로나 암시적으로 보증하지 않습니다. 당사는 본 보고서나 그 내용을 이용함에 따른 모든 손실에 대해 책임을 지지 않습니다. 이 보고서의 결론과 권고사항, 예상, 추정, 전망, 목표, 의견 및 관점은 작성 당시의 정보를 바탕으로 하며 예고 없이 변경될 수 있습니다. 또한 타인 및 타조직의 의견과 일치하지 않거나 반대될 수 있습니다. 이 보고서는 정보 제공의 목적으로 작성되었으며, 법률, 사업, 투자, 또는 세금에 관한 조언으로 간주되어서는 안 됩니다. 또한 증권이나 디지털 자산에 대한 언급은 설명을 위한 것일 뿐, 투자 권고나 투자 자문 서비스 제공을 제안하는 것이 아닙니다. 이 자료는 투자자나 잠재적 투자자를 대상으로 하지 않았습니다.
타이거리서치 리포트 이용 안내
타이거리서치는 리포트의 공정 사용을 지지합니다. 이는 공익적 목적으로 콘텐츠를 인용하되 상업적 가치에 영향을 주지 않는 범위에서의 넓은 사용을 허용하는 원칙입니다. 공정 사용 규칙에 따라, 리포트를 사전 허가 없이 사용할 수 있으나, 타이거리서치 리포트를 인용 시에는 1) 출처로 '타이거리서치'를 분명히 밝히고, 2) 타이거리서치 로고를 포함시켜야 합니다. 자료를 재구성하여 출판할 경우에는 별도의 협의가 요구됩니다. 사전 허가 없는 사용은 법적 조치를 초래할 수 있습니다.
0
안내사항
- (주)토큰포스트에서 제공하는 리서치에 대한 저작권 및 기타 지적재산권은 (주)토큰포스트 또는 제휴 파트너에게 있으며, 이용자를 위한 정보 제공을 목적으로 합니다.
- 작성된 내용은 작성자 본인의 견해이며, (주)토큰포스트의 공식 입장이나 의견을 대변하지 않습니다.
- (주)토큰포스트는 리서치 및 관련 데이터를 이용한 거래, 투자에서 발생한 어떠한 손실이나 손해에 대해서 보상하지 않습니다.
- 가상자산은 고위험 상품으로써 투자금의 전부 또는 일부 손실을 초래 할 수 있습니다.
마켓 카테고리 리서치
더보기
리서치 삭제
글 삭제 후 복구가 불가능 합니다. 삭제하시겠습니까?