2025년까지 암호화폐 절도는 단순하고 기회주의적인 사기에서 주요 거래소와 중요 인프라를 표적으로 삼는 국가 주도의 정교한 공격으로 진화했습니다. 2025년 상반기에만 21억 7천만 달러 이상이 도난당했으며, 그 규모는 매달 증가하고 있습니다.
9월 한 달 동안만 1억 2,706만 달러(약 1,200억 원)에 달하는 피해를 입힌 암호화폐 관련 공격이 20건 발생하여 위협이 커지고 있음을 여실히 드러냈습니다. 주요 암호화폐 공격에 연루된 대표적인 해커 그룹 세 곳을 소개합니다.
1. 라자루스 그룹
라자루스 그룹은 북한의 지원을 받는 악명 높은 장기 해킹 조직입니다. APT 38, 라비린스 천리마, 히든 코브라 등의 별칭으로 알려진 이 그룹은 최첨단 보안 시스템조차 우회할 수 있는 능력을 꾸준히 입증해 왔습니다.
해커들은 또한 자신들의 활동이 최소 2007년으로 거슬러 올라가며, 한국 정부 시스템에 대한 침입을 언급했습니다 . 다른 주목할 만한 공격으로는 2014년 소니 픽처스 해킹(영화 '인터뷰'에 대한 보복), 2017년 워너크라이 랜섬웨어 확산, 그리고 한국의 경제 분야를 겨냥한 지속적인 캠페인 등이 있습니다.
최근 몇 년 동안 라자루스는 암호화폐 절도에 집중하여 2021년부터 2025년까지 50억 달러 이상을 훔쳤습니다. 2025년 2월 바이빗(Bybit) 해킹 사건은 가장 큰 사건으로, 이더리움(ETH) 15억 달러 상당을 훔쳐 역대 최대 규모의 암호화폐 절도 사건으로 기록되었습니다. 2025년 5월에는 솔라나(SOL) 320만 달러 를 훔친 사건도 있습니다.
체이널리시스는 7월에 "북한의 바이비트 해킹 사건은 2025년의 위협 환경을 근본적으로 바꿔놓았습니다. 15억 달러에 달하는 이 사건은 역사상 최대 규모의 암호화폐 도난 사건일 뿐만 아니라, 올해 서비스에서 도난당한 총액의 약 69%를 차지합니다." 라고 분석했습니다 .
2. 곤제슈케 다린데
곤제슈케 다란데(Gonjeshke Darande, Sparrows of Prey)는 이스라엘과 연계된 것으로 추정되는 정치적 동기의 해킹 단체입니다 . 이스라엘과 이란 간의 긴장이 고조되는 가운데, 이 단체는 이란 최대 암호화폐 거래소인 노비텍스를 해킹하여 약 9천만 달러를 훔친 후 소각했습니다.
곤제슈케 다란데는 노비텍스의 소스 코드를 공개하여 거래소의 독점 시스템을 훼손하고 사용자와 파트너 사이에서 거래소의 평판을 크게 손상시켰습니다.
"12시간 전, 8개의 소각 주소가 정권이 선호하는 제재 해제 도구인 노비텍스의 지갑에서 9천만 달러를 소각했습니다. 12시간 후면 노비텍스 소스 코드가 공개되고, 노비텍스의 폐쇄된 생태계는 더 이상 장벽이 없을 것입니다. 당신의 자산은 어디에 두시겠습니까?" 그들은 6월에 게시했습니다 .
이 단체의 다른 공격도 이란의 인프라, 은행 및 기타 여러 부문에 집중되었습니다.
- 2021년 7월, 곤제슈케 다란데는 이란의 철도 시스템을 교란시켜 심각한 지연을 초래하고 공공 게시판에 조롱하는 메시지를 게시했습니다.
- 2022년 10월, 이 단체는 3개의 주요 철강 공장을 공격하여 심각한 물질적, 경제적 피해를 입힌 화재 영상을 공개했습니다.
- 2025년 5월, 그들은 이란의 국유은행인 세파은행을 해킹하여 민감한 데이터를 유출하고 금융 운영을 방해했습니다.
3. UNC4899
UNC4899는 북한 국가가 지원하는 암호 해킹 부대입니다. 구글의 클라우드 위협 지평 보고서에 따르면, 이 그룹은 북한의 주요 정보기관인 정찰총국(RGB)의 지휘를 받아 활동합니다.
보고서는 이 그룹이 최소 2020년부터 활동해 왔다고 밝혔습니다. 더욱이 UNC4899는 암호화폐와 블록체인 분야 에 집중적으로 활동해 왔습니다. 이 그룹은 공급망 공격 수행에 있어 뛰어난 역량을 보여주었습니다.
보고서는 "주목할 만한 사례는 JumpCloud 익스플로잇을 악용한 것으로 의심되는 사건으로, 이를 이용해 소프트웨어 솔루션 회사에 침투한 후 암호화폐 부문의 하류 고객을 공격했습니다. 이는 이러한 첨단 적대 세력이 초래하는 광범위한 위험을 보여줍니다." 라고 밝혔습니다 .
2024년과 2025년 사이에 이 암호화폐 해커는 두 건의 대규모 절도를 저질렀습니다. 한 사례에서는 텔레그램을 통해 피해자를 유인하고, 도커 컨테이너를 통해 악성코드를 배포하고, 구글 클라우드 의 MFA(다중인증)를 우회하여 수백만 달러 상당의 암호화폐를 훔쳤습니다.
또 다른 사례에서는 LinkedIn을 통해 대상에 접근하여 보안 조치를 우회하기 위해 AWS 세션 쿠키를 훔치고, 클라우드 서비스에 악성 JavaScript 코드를 주입하고, 다시 한번 수백만 달러 상당의 디지털 자산을 빼돌렸습니다.
올해 암호화폐 도난은 지정학적 갈등뿐 아니라 금융 범죄의 도구가 되었습니다. 올해 수십억 달러의 손실과 수많은 공격의 배후에 숨겨진 전략적 동기는 거래소, 인프라 제공업체, 심지어 정부까지도 암호화폐 보안을 국가 안보 문제로 다뤄야 함을 보여줍니다. 생태계 전반에 걸친 공조된 방어, 정보 공유, 그리고 더욱 강화된 보호 조치 없이는 손실은 계속 증가할 것입니다.
