북한에 의한 암호자산 절취, 연간 과거 최고 20억 달러에

※이 기사는 자동 번역되어 있습니다. 정확한 내용에 대해서는 원문 을 참조하십시오.

요약

• 북한 해커가 2025년 암호화 자산을 20.2억 달러 훔쳐 전년 대비 51% 증가, 누계 피해 총액은 67.5억 달러에 달했다. 공격 건수는 감소 경향.
• 북한은 IT노동자를 암호자산 서비스 내부에 배치하거나 경영층을 표적으로 한 고도의 스푸핑 방법을 이용하는 등 적은 건수로 거액의 도난을 실현하고 있다.
• 북한은 중국어계의 머니 론더링 서비스와 브리지 서비스, 믹싱 프로토콜을 선호하고, 대규모 절도 후 약 45일간 자금세정을 완료하는 경향이 있다.
• 2025년 개인 지갑 침해는 15만 8,000건으로 급증했고 피해자는 8만 명에 달했지만 피해 총액(7억 1,300만 달러)은 2024년부터 감소했다.
• 분산형 금융(DeFi)에 있어서의 예치 자산(TVL)은 증가했지만, 2024~2025년의 해킹 피해액은 억제되고 있어 시큐러티 대책의 강화가 효과를 발휘하고 있을 가능성이 시사된다.

The Chainalysis 2026 Crypto Crime Report

Reserve your copy

암호화 자산 생태계는 2025년도 어려운 1년이 되었으며, 도난 피해액은 증가세가 계속되었다. 우리의 분석은 암호화 자산 도난의 패턴이 변화하고 있음을 보여 주며, 주요 변화는 다음 4 가지입니다. 북한(DPRK)이 여전히 가장 큰 위협인 것, 중앙집권형 서비스에 대한 개별 공격이 심각해지고 있는 것, 개인 지갑의 피해가 급증하고 있으며, 분산형 금융(DeFi) 해킹의 트렌드가 기존과 다른 움직임을 보이고 있는 것입니다.

이러한 추세는 데이터에서 명확하게 읽혀지며 다양한 플랫폼과 피해자층에서 암호화 자산 도난의 양상이 크게 변화하고 있음을 알 수 있습니다. 디지털 에셋의 보급이 진행되고 자산 가치가 새로운 높이에 도달함에 따라 진화하는 보안 위협을 이해하는 것이 점점 중요해지고 있습니다.

전체상 : 2025년 34억 달러 이상이 도난 피해

2025년 1월부터 12월 초까지 사이에 암호화 자산 업계에서는 34억 달러 이상의 도난 피해가 발생했습니다. 그 중 2월의 Bybit에 대한 공격 만으로 15억 달러를 차지하고 있습니다.

이 총액 뒤에서는 도난 구성에도 중요한 변화가 있습니다. 개인 지갑 침해로 인한 피해 비율은 크게 증가하여 2022년 전체의 7.3%에서 2024년에는 44%로 확대. 2025년은 Bybit 사건의 영향이 크지 않으면 37%가 되었다고 생각됩니다.

한편 중앙집권형 서비스에서는 비밀키 해킹에 의한 거액 손실이 발생하고 있습니다. 이러한 플랫폼에는 풍부한 리소스와 전문 보안 팀이 있지만 근본적인 보안 문제로 인해 여전히 취약합니다. 발생 빈도는 낮지 만 (아래 그래프 참조), 한 번 발생하면 규모가 매우 크고 2025 년 1 분기 손실의 88 %를 차지했습니다.

도난 피해액이 멈추는 것은 일부 분야에서 암호화 자산 보안이 향상되었지만 공격자가 여러 수단으로 성공을 거두고 있음을 나타냅니다.

상위 3건의 해킹이 전체 손실의 69%를 차지하며 피해격차가 1,000배 이상으로 확대

도난 자금의 움직임은 옛날부터 예외적인 대형 사건이 주도하고 있습니다만, 2025년은 그 경향이 더욱 확대. 최대 규모의 해킹과 전체 중앙값의 비율이 처음으로 1,000배를 초과했습니다. 최대급 사건에서는 보통 규모의 사건의 1,000배의 자금이 도난당하고 있으며, 2021년의 강기시장의 피크조차 웃돌고 있습니다(피해 발생 시점의 USD 환산액).

이러한 격차의 확대로 인해 손실의 집중도가 극적으로 높아지고 있습니다. 2025년 상위 3건의 해킹이 전체 서비스 손실의 69%를 차지하고, 개별 사건이 연간 합계에 극단적인 영향을 미치는 상황이 되었습니다. 건수는 변동하기 쉽고 자산 가격 상승으로 손실의 중앙값도 증가하지만 치명적인 피해가 발생할 위험은 더욱 가속화되고 있습니다.

북한 건수 감소도 여전히 최대 암호화 자산 위협

조선민주주의인민공화국(북한)은 암호화 자산 보안에 대한 국가 수준의 가장 큰 위협으로 계속되고 있으며, 공격 빈도가 크게 감소한 것으로 분석되는 가운데 기록적인 도난액을 달성했다. 2025년 북한 해커는 최소 20.2억 달러의 암호화 자산을 훔쳐 전년 대비 51% 증가(2024년 대비 6억 8,100만 달러 증가). 금액 기준으로는 지난 최악의 해가 되었고, 북한의 공격은 전체 서비스 침해의 76%라는 기록적인 비율을 차지했다. 이에 따라 북한에 의한 암호화 자산 절도의 누계 하한 추계는 67.5억 달러가 된다.

북한의 공격자는 주로 암호화 자산 서비스 내부에 IT 노동자를 배치 하여 특권 액세스를 획득하여 대규모 공격을 실현하고 있습니다. 2025년의 기록적 피해액은 거래소나 캐스트디안, Web3기업 등에서 IT노동자를 통한 초기 접근과 횡전개를 강화한 결과로 생각됩니다.

게다가 최근에는 이 IT노동자 모델이 진화해 단순한 직원으로서의 잠입이 아니라 저명한 Web3나 AI기업의 리크루터를 치장해, 가짜 채용 프로세스를 통해 피해자의 자격증명이나 소스 코드, VPN/SSO 액세스를 취득하는 수법이 증가. 경영진을 표적으로 한 경우에는 전략적 투자자와 인수기업을 가장한 가짜 접근법으로 피치나 의사 실사를 통해 시스템 정보와 인프라에 대한 액세스 경로를 찾는 등 IT 노동자 사기에서 파생된 사회공학적 방법이 확대되고 있습니다.

예년대로 북한은 다른 공격자에 비해 상당히 고액의 도난을 실행하고 있습니다. 아래 그래프와 같이, 2022~2025년의 북한 관련 해킹은 최대 규모대에 집중하고, 비북한계의 공격은 보다 균등한 분포가 되고 있습니다. 북한의 공격은 대규모 서비스를 노리고 최대한의 임팩트를 추구하고 있는 것을 알 수 있습니다.

2025년 기록적 피해는 확인된 건수 자체가 크게 감소한 가운데 발생하고 있으며, 2월의 Bybit 사건의 영향이 크다고 생각됩니다.

북한의 독자적인 돈세탁 패턴

2025년 초에 대규모 자금 유입으로 북한 관련 공격자가 대규모로 암호화 자산을 세정 하는 방법이 전례 없을 정도로 밝혀졌다. 다른 사이버 범죄자와는 다른 특징적인 기법을 가지고 있으며 운영상의 취향과 약점도 보입니다.

북한의 돈세탁은 약 60% 이상의 자금이 50만 달러 미만의 송금에 집중하는 독자적인 담요 패턴이 특징입니다. 대조적으로, 다른 범죄자들은 100만~1,000만 달러를 넘는 대구를 중심으로 송금하고 있습니다. 북한은 큰 금액을 훔치면서도, 온 체인의 송금은 소입으로 분할해 실시하고 있어, 고도의 자금 세정의 교묘함을 엿볼 수 있습니다.

다른 범죄자들과 비교하여 북한은 다음과 같은 자금세척 수단을 강력하게 선호한다.

• 중국어계의 자금이동·담보서비스(+355~+1,000%이상): 가장 특징적이고, 다수의 세정업자로 구성된 중국어권의 머니 론더링 네트워크를 중용. 컴플라이언스 관리가 약한 경우도 많다.
• 브리지 서비스(+97% 차이): 블록체인 간 자산 이동을 활용하여 추적을 복잡화합니다.
• 믹싱 서비스(+100% 차이): 자금의 흐름을 숨기기 위한 이용이 많다.
• Huione과 같은 전문 서비스(+356%): 세척을 촉진하는 특정 서비스의 전략적 사용.

다른 범죄자는 다음을 중시합니다.

• 렌딩 프로토콜(-80% 차이): 북한은 이러한 분산형 금융 서비스를 거의 이용하지 않는다.
• KYC 불필요한 거래소(-75% 차이): 의외로 KYC 불필요한 거래소는 북한보다 다른 범죄자가 더 많이 이용.
• P2P 거래소(-64% 차이): 북한은 P2P 플랫폼에 대한 관심이 낮다.
• 중앙집권형 거래소(-25% 차이): 다른 범죄자들이 기존형 거래소와의 상호작용이 많다.
• 분산형 거래소(DEX)(-42% 차이): 다른 범죄자는 DEX의 유동성과 익명성을 중시.

이러한 패턴은 북한이 일반적인 사이버 범죄자와는 다른 제약이나 목적으로 움직이고 있다는 것을 시사한다. 중국어계 돈세탁 서비스와 OTC 트레이더의 활용은 북한의 공격자가 아시아 태평양 지역의 불법 네트워크와 밀접하게 연계하고 있으며, 중국 거점의 네트워크를 국제 금융 시스템에 대한 액세스 수단으로 역사적으로 사용해 온 흐름과도 일치합니다.

북한 해킹 후 자금세탁 타임라인

북한 관련 해킹 후 온체인의 움직임을 분석하면 도난 자금이 약 45일에 전개되는 다중파 자금 세척 경로를 일관되게 볼 수 있습니다.

제1파：즉시 레이어링(0~5일째)

해킹 직후에는 자금원으로부터의 거리를 취하기 위한 급격한 움직임이 발생합니다.

• 분산 금융(DeFi) 프로토콜로의 유입이 가장 두드러졌다(+370% 증가).
• 믹싱 서비스도 대폭 증가(+135~150%), 첫회의 오브스크레이션층을 형성.
• 이 단계는 "초동"에 의한 자금 분리가 목적.

제2파：초기 통합(6~10일째)

2주차에 들어가면 자금을 생태계 전체에 통합하기 위한 전술으로 이동:

• KYC 제한이 있는 거래소(+37%)나 중앙집권형 거래소(+32%)로의 유입이 시작된다.
• 2차 믹싱 서비스(+76%)가 계속해서 자금 세정에 사용되지만, 강도는 감소.
• 크로스 체인 브릿지(XMRt 등 +141%)로 자금을 분산·난독화.
• 이 단계는 자금 출구를 향한 중요한 전환기.

제3파：롱테일 통합(20~45일째)

최종 단계에서는 법정 통화 및 기타 자산으로의 환금을 지원하는 서비스를 선호합니다.

• KYC 불필요한 거래소(+82%)나 Tudou Danbao 등의 담보 서비스(+87%)가 급증.
• 인스턴트 거래소(+61%)와 Huione 등 중국어 플랫폼(+45%)이 최종 환금 지점이 된다.
• 중앙집권형 거래소(+50%)도 유입처가 되어 정규자금과의 혼합을 노리는 움직임을 볼 수 있다.
• 중국어계 머니 론더링 네트워크(+33%)나 Grinex(+39%) 등 규제 느슨한 지역의 플랫폼이 패턴을 완결시킨다.

이 45일간의 청소 창은 법 집행 기관 및 규정 준수 담당자에게 유용한 지식을 제공합니다. 여러 해 동안 이 패턴이 계속되고 있다는 것은 북한 관련 공격자가 금융 인프라에 대한 접근에 제약을 받고 특정 협력자와 협력해야 함을 시사한다.

모든 도난 자금이 반드시 이 타임라인에 따르는 것은 아니고, 몇개월~수년에 걸쳐 방치되는 사례도 있습니다만, 적극적인 세정시의 전형적인 온 체인 행동이라고 말할 수 있습니다. 덧붙여 비밀키 이전이나 OTC에서의 법정 통화화 등 온 체인에 나타나지 않는 활동은, 보충 정보가 없으면 분석의 맹점이 되는 것에도 주의가 필요합니다.

개인 지갑 침해: 개인 사용자에 대한 위협 확대

온체인 패턴 분석이나 피해자·업계 파트너로부터의 보고를 통해 개인 지갑 침해의 규모가 밝혀지고 있습니다. 실제 피해 건수는 추계보다 많을 가능성이 있습니다만, 최저 추계에서는 2025년의 개인 지갑 침해가 전체의 20%와, 2024년의 44%로부터 감소. 사건수는 15만 8,000건으로, 2022년의 54,000건으로부터 약 3배. 피해자수도 4만명(2022년)에서 적어도 8만명(2025년)으로 배증했습니다. 이러한 증가는 암호화 자산의 보급 확대도 배경에 있습니다. 예를 들어 솔라나는 가장 활발한 개인 지갑을 가진 블록체인 중 하나로, 피해 건수도 최다(약 26,500명)입니다.

사건수와 피해자수는 증가한 반면 개인피해의 총액은 2024년 15억 달러에서 2025년 7억 1,300만 달러로 감소했다. 공격자가 더 많은 사용자를 노리는 동안 1인당 피해액은 감소하는 경향이 있습니다.

네트워크별 피해 데이터는 어떤 영역이 위험이 높을 수 있는지 보여줍니다. 아래 그래프는 각 블록체인의 액티브 개인 지갑 수로 보정한 피해율을 나타냅니다. 2025년 Ethereum과 Tron이 가장 높은 도난률을 기록. Ethereum은 건수·피해자수 모두 많아, Tron도 액티브 월렛수가 적은 것에 비해 피해율이 높다. 한편, Base나 Solana는 유저수가 많아도 피해율은 낮습니다.

이러한 차이점은 개인 지갑의 보안 위험이 암호화 자산 생태계 전반에서 일률적이지 않다는 것을 나타냅니다. 유사한 기술 기반을 가진 체인간에도 피해율이 다른 이유는 유저층이나 인기 앱, 범죄 인프라 등 기술 이외의 요소도 크게 영향을 주기 때문입니다.

DeFi 해킹: 과거와 다른 시장 동향

분산 금융(DeFi) 분야에서는 2025년 범죄 데이터에서 역사적 추세와 다른 명확한 패턴을 볼 수 있습니다.

데이터에서 세 가지 단계가 떠오릅니다.

• 1단계(2020~2021년): DeFi의 TVL(예치 자산 잔고)과 해킹 손실이 병행하여 증가.
• 2단계(2022~2023년): 두 지표가 모두 감소.
• 3단계(2024~2025년): TVL은 회복했지만 해킹 손실은 억제된 채.

처음 두 단계는 직관적인 움직임으로 위험 자산이 늘어날수록 범죄자의 표적도 늘어나 공격도 증가. 그러나 2024~2025년에는 TVL이 크게 회복해도 해킹 피해가 늘지 않고 이례적인 괴리가 발생하고 있습니다.

이 괴리의 요인은 두 가지로 간주됩니다 :

• 보안 진화 : TVL 증가에도 불구하고 해킹률이 일관되게 낮기 때문에 DeFi 프로토콜에서 효과적인 보안 대책이 진행되고 있을 가능성이 높다.
• 표적 변화 : 개인 지갑 도난과 중앙 집권형 서비스에 대한 공격이 증가하고 있으며, 공격자의 관심이 다른 분야로 옮겨갈 가능성.

사례: Venus Protocol의 보안 대응

2025년 9월 Venus Protocol 사건 은 보안 대책의 진화를 상징한다. 공격자는 변조된 Zoom 클라이언트를 사용하여 시스템에 침입하여 피해자에게 1,300만 달러의 계좌의 위임 권한을 부여하도록 유도. 보통 치명적인 사건이었지만 Venus는 한 달 전에 Hexagate 의 보안 모니터링 플랫폼을 도입했습니다.

플랫폼은 공격 18시간 전에 의심스러운 움직임을 검출하고, 악의적인 트랜잭션 발생시에도 즉시 경고를 발신. 20분 이내에 Venus는 프로토콜을 일시중지하고 자금 유출을 방지했습니다. 대응 흐름은 다음과 같습니다.

• 5시간 이내: 보안 확인 후 부분 기능 복구
• 7시간 이내: 공격자 지갑 강제 청산
• 12시간 이내: 피해 자금 전액 회수·서비스 재개

주목할만한 것은 Venus가 공격자 보유의 300만 달러분의 자산 동결을 거버넌스 제안으로 통과한 것입니다. 공격자는 이익을 얻지 못하고 오히려 손실을 입었습니다.

이 사례는, DeFi 분야에서 사전 감시·신속 대응·거버넌스 기능이 연동하는 것으로, 초기의 DeFi 시대와 달리 공격의 발생 후에도 피해를 최소화 또는 역전할 수 있는 새로운 시큐리티 체제가 정비되고 있는 것을 나타내고 있습니다.

2026년 이후로 제안

2025년 데이터는 북한이 암호화 자산 위협 액터로 진화하고 있는 복잡한 상황을 비추고 있다. 소수 건수로 매우 큰 피해를 내는 능력은 공격자의 고도화와 인내력의 증대를 나타냅니다. Bybit 사건의 영향도 있어 북한은 대규모 도난 후 자금세정에 집중하고 공격 페이스를 떨어뜨리는 경향도 보인다.

암호화 자산업계는 거액 타겟에 대한 경계와 북한 특유의 자금세정 패턴의 검지 강화가 필요하다. 그들의 서비스 유형과 송금액의 일관된 선호도는 발견 기회가 되며, 다른 범죄자와의 식별과 온체인 행동의 식별에 도움이 됩니다.

북한은 국가우선사항의 자금조달과 국제제재 회피를 위해 암호자산 도난을 계속하고 있으며, 이 액터가 일반적인 사이버범죄자와는 다른 규칙으로 움직이고 있다는 것을 업계는 인식해야 한다. 2025년 기록적 피해액은 알려진 공격 건수가 74% 감소한 가운데 달성되었으며, 표면화된 것은 빙산의 일각일지도 모른다. 2026년의 과제는 Bybit급 사건이 재발하기 전에 이러한 고충격 작전의 발견과 저지를 실현하는 것입니다.

The Chainalysis 2026 Crypto Crime Report

Reserve your copy

This website contains links to third-party sites that are not under the control of Chainalysis, Inc. or its affiliates (collectively “Chainalysis”). is not responsible for the products, services, or other content hosted therein.

This material is for informational purposes only, and is not intended to provide legal, tax, financial, or investment advice. Recipients should consult their own advisors before making these types of decisions. Chainalysis has no responsibility or liability for any decision made or any use of this material.

Chainalysis does not guarantee or warrant the accuracy, completeness, timeliness, suitability or validity of the information in this report and will not be responsible for any claim attributable to errors, omissions, or other inaccuracies of any part of such material.

The post 북한에 의한 암호 자산 절취, 연간 과거 최고의 20 억 달러에 appeared first on Chainalysis .