북한이 2025년에 20억 달러 상당의 암호화폐를 성공적으로 훔친 방법.

암호화폐 업계는 2025년 전 세계적으로 암호화폐 도난 사건이 크게 증가했으며, 1월부터 12월 초까지 총 손실액이 34억 달러를 넘어섰다고 체이나리시스(Chainalysis)의 새로운 보고서에서 밝혔습니다.

이러한 증가는 주로 북한과 연계된 해커들 때문이며, 이들은 해당 연도에 도난당한 자금의 대부분을 차지했습니다.

북한의 사상 최대 규모인 20억 달러 암호화폐 탈취 사건의 내막.

블록체인 분석 업체 체인애널리시스는 최신 보고서에서 북한(조선민주주의공화국)의 공격 빈도는 크게 감소했지만, 도난당한 암호화폐 규모는 사상 최고치를 기록했다고 밝혔습니다.

북한 해커들이 2025년에 최소 20억 2천만 달러 상당의 디지털 자산을 훔쳐갔습니다. 이는 전년 대비 51% 증가한 수치이며, 2020년과 비교하면 약 570% 증가한 것입니다.

"올해 기록적인 피해액은 예년보다 훨씬 적은 공격 횟수에서 비롯되었습니다. 이러한 변화, 즉 공격 횟수는 줄었지만 피해액은 증가한 것은 2025년 3월에 발생한 대규모 바이비트(Bybit) 해킹 때문입니다."라고 체인애널리시스(Chainalysis)는 밝혔습니다.

또한 보고서는 북한과 연계된 단체들이 올해 서비스 공격의 76%를 차지하며 역대 최고치를 기록했다고 밝혔습니다.

전반적으로 2025년 수치는 북한이 훔친 암호화폐 총액에 대한 최저 추정치를 67억 5천만 달러까지 끌어올렸습니다.

"이러한 추세는 장기적인 과정의 연장선입니다. 북한 해커들은 지속적으로 높은 수준의 정교함을 보여왔으며, 2025년 그들의 활동은 전술과 공격 대상을 끊임없이 바꾸고 있음을 보여줍니다."라고 체이나리시스의 국가 안보 정보 책임자인 앤드류 피어먼은 비인크립토에 말했습니다.

체인애널리시스는 과거 데이터를 바탕으로 북한이 다른 해커 그룹에 비해 훨씬 더 높은 가치의 공격을 지속적으로 수행하고 있다고 판단했습니다.

"이러한 패턴은 북한 해커들이 공격을 감행할 때 피해를 극대화하기 위해 대규모 서비스를 일관되게 표적으로 삼는다는 것을 시사합니다."라고 보고서는 밝혔습니다.

체이나리시스에 따르면 북한과 연계된 해커들이 암호화폐 기업의 기술직에 침투 하여 점점 더 큰 영향력을 행사하고 있다고 합니다. 이를 통해 내부 정보를 입수하고 더욱 파괴적인 공격을 손쉽게 실행할 수 있게 됩니다.

지난 7월, 블록체인 조사관인 ZachXBT는 북한과 연계된 인물들이 암호화폐 업계에서345개에서 920개에 달하는 일자리 에 침투했다는 내용의 기사를 발표했습니다.

"이처럼 기록적인 수치가 나온 이유 중 하나는 북한이 외환보유소, 구금 시설, 웹3 기업 등에서 IT 인력을 채용하는 방식을 늘렸기 때문일 수 있으며, 이는 대규모 절도를 실행하기 전에 침투하여 데이터를 이동시키는 데 걸리는 시간을 단축하는 데 도움이 된다"고 보고서는 지적했다.

이러한 해커 집단은 채용 담당자를 사칭하거나 해당 업계 종사자에게 접근하여 사기를 치는 등의 수법을 사용하기도 합니다.

또한, BeInCrypto는 최근 해커들이 업계 관계자를 사칭하여 가짜 Zoom 및 Microsoft Teams 회의를 조직해 총 3억 달러 이상을 훔쳤다고 보도했습니다 .

피어먼은 "북한은 항상 새로운 공격 경로를 찾고 있으며, 돈을 훔치기 위해 모든 약점을 악용하고 있습니다. 세계 경제 참여가 제한적인 북한은 높은 동기, 규모, 그리고 정교함을 갖춘 실질적인 위협이 되었습니다. 올해 공격이 급증한 주요 원인은 중앙 집중식 플랫폼의 보안 키를 탈취한 것입니다."라고 덧붙였습니다.

Chainalysis는 북한 해커들이 사용하는 45일짜리 자금 세탁 시나리오를 설명합니다.

Chainalysis는 북한의 자금 세탁 수법이 다른 범죄 조직과는 상당히 다르다는 점을 발견했습니다. 보고서에 따르면 이들 조직은 블록체인을 통해 이체되는 자금을 일반적으로 소액으로 분할하며, 거래의 60% 이상이 50만 달러 미만인 것으로 나타났습니다.

반면, 다른 범죄 조직들은 일반적으로 더 많은 액수의 훔친 돈을 보내는데, 그중 약 60%가 100만 달러에서 1,000만 달러 이상에 해당합니다. 체이나리시스는 이러한 전략이 훔친 총액이 훨씬 더 크더라도 북한의 자금 세탁이 얼마나 치밀하고 정교한지를 보여준다고 주장합니다.

또한, 해당 회사는 중개 서비스 이용 방식에 뚜렷한 차이가 있다고 지적했습니다. 북한 해커들은 주로 송금 서비스, 중국어 보증, 그리고 거래 추적을 숨기기 위한 브리지 및 믹싱 도구에 의존합니다. 또한, 자금 세탁을 용이하게 하기 위해 휴이온(Huione) 과 같은 전문 플랫폼을 활용합니다.

한편, 다른 해커 그룹들은 종종 탈중앙화 거래소, 중앙 집중식 플랫폼, P2P 서비스 및 대출 프로토콜을 이용합니다.

"이러한 추세는 북한이 일반적인 사이버 범죄 집단과는 완전히 다른 환경과 목표를 가지고 활동하고 있음을 시사합니다. 북한이 중국어를 구사하는 수많은 전문 자금 세탁 서비스와 장외거래업자를 이용하는 것은 북한이 아시아 태평양 지역의 불법 조직과 긴밀한 관계를 맺고 있으며, 중국 네트워크를 이용하여 국제 금융 시스템에 침투하는 북한의 전통을 이어가고 있음을 나타냅니다."라고 체이나리시스는 논평했습니다.

체인애널리시스는 또한 일반적으로 45일 동안 반복되는 자금 세탁 패턴을 발견했습니다. 공격 발생 후 처음 며칠(0~5일) 동안 북한과 연관된 개인들은 탈취한 자금을 원래 출처에서 분리하는 데 우선순위를 둡니다. 보고서는 이 초기 단계에서 탈중앙화 금융(DeFi) 프로토콜과 자금 혼합 서비스 사용이 급격히 증가했다고 지적합니다.

두 번째 주(10월 6일~10일)에는 보다 광범위한 통합을 가능하게 하는 서비스로 활동이 옮겨갔습니다. 자금은 신원 확인(KYC) 요건이 완화된 중앙 집중식 거래소와 플랫폼으로 유입되기 시작했습니다.

자금세탁 활동은 규모는 작아졌지만 여전히 자금 혼합 서비스를 통해 이루어지고 있습니다. 또한, 크로스체인 브리지는 자산 이동을 은폐하는 데 사용되기도 합니다.

"이 단계는 자금이 전환 또는 인출 서비스로 이동하기 시작하는 중요한 전환기입니다."라고 해당 부서는 언급했습니다.

마지막 단계(20~45일)에서는 환전이나 출금을 지원하는 서비스와의 상호작용이 증가합니다. 이 기간 동안에는 KYC(고객 신원 확인)가 필요 없는 거래소, 보안 서비스, 빠른 스왑 플랫폼, 중국어 서비스 제공 업체가 두드러지게 나타납니다. 또한, 범죄 자금이 합법적인 거래와 섞이기 위해 중앙 집중식 거래소로 다시 유입됩니다.

체인애널리시스는 이처럼 반복적으로 나타나는 45일의 자금세탁 기간이 당국에 매우 중요한 정보를 제공한다고 강조합니다. 또한 해커들이 직면하는 한계와 특정 중개자에 대한 의존성도 부각합니다.

"북한은 매우 신속하고 효과적인 자금 세탁 전략을 실행하고 있습니다. 따라서 암호화폐 업계는 시의적절하고 조직적인 대응이 필요합니다. 사법 기관과 거래소부터 블록체인 분석 회사에 이르기까지 모든 기업은 자산이 스테이블코인을 거치거나 자금이 즉시 동결될 수 있는 거래소에 도달하는 등 자금 흐름을 차단할 기회가 생길 때마다 협력해야 합니다."라고 피어먼은 논평했습니다.

도난당한 자산이 모두 이러한 시간 순서를 따르는 것은 아니지만, 블록체인 상에서 흔히 발생하는 현상입니다. 하지만 연구팀은 개인 키 전송이나 오프체인 OTC 거래 와 같은 일부 활동은 제3자 정보가 없는 한 블록체인 데이터에서 관찰할 수 없는 사각지대가 존재할 수 있다는 점도 인지하고 있습니다.

2026년 전망

체이나리시스의 국가 안보 정보 책임자는 비인크립토와의 인터뷰에서 북한은 기존의 취약점을 악용할 방법을 항상 모색할 것이라고 말했습니다. 올해 발생한 바이비트, BTCTurk, 업비트와 같은 사례는 중앙 집중식 거래소가 직면한 어려움이 커지고 있음을 보여주며, 그 전술은 언제든 바뀔 수 있다고 덧붙였습니다.

최근 Balancer와 Yearn에 대한 공격은 오래된 프로토콜 또한 해커의 표적이 될 수 있음을 보여준다고 그는 말했다.

"2026년에 무슨 일이 일어날지는 알 수 없지만, 북한이 목표 달성에 최대한의 이점을 얻으려 할 것이라는 점은 확실합니다. 즉, 막대한 예비력을 보유한 정보기관들은 다음 희생양이 되지 않도록 항상 높은 수준의 안보를 최우선으로 고려해야 합니다."

보고서는 또한 북한이 국가적 우선순위 사업 자금을 조달하고 제재를 회피하기 위해 암호화폐 절도에 점점 더 의존함에 따라, 업계 전체가 이 해킹 집단이 일반적인 사이버 범죄자들과는 확연히 다른 동기와 제약 조건에 따라 활동한다는 점을 이해해야 한다고 강조했습니다.

"2025년에 기록된 공격 건수가 74%나 감소했음에도 불구하고 이 나라가 보여준 놀라운 성과는 우리가 그들의 전체 작전 중 가장 눈에 띄는 부분만을 보고 있을지도 모른다는 것을 시사합니다."라고 체이나리시스는 덧붙였다.

이 부서는 2026년의 주요 과제는 북한과 연계된 그룹이 바이비트 해킹과 유사한 규모의 공격을 감행하기 전에 이러한 대규모 캠페인을 탐지하고 예방하는 것이라고 보고 있습니다.