덩통, 진써차이징(Jinse)
2025년까지 암호화폐 산업은 더욱 명확해진 규제, 전통 금융의 심층적인 침투, 그리고 가속화된 기술 발전을 경험하게 될 것입니다. 각 주요 전환점마다 정책 방향을 제시하거나, 금융 기관의 시장 진출을 이끌거나, 기술적 과제를 해결하거나, 시장을 혁신하는 핵심 인물들이 등장할 것입니다.
체인애널리시스 데이터에 따르면, 2025년 1월부터 12월 초까지 암호화폐 업계는 34억 달러 이상의 도난 피해를 입었으며, 특히 2월에는 바이비트(Bybit) 도난 사건으로만 15억 달러의 손실이 발생했습니다.
이 기사에서는 2025년 암호화폐 업계 해킹 사건들을 살펴봅니다.
I. 바이빗: 14억 6천만 달러
2월 21일, 두바이에 본사를 둔 암호화폐 거래소 바이빗(Bybit)에서 약 14억 6천만 달러 상당의 암호화폐 자산이 도난당했습니다. 초기 보고에 따르면 공격자들은 악성 소프트웨어를 이용해 거래소 거래를 승인하도록 유도한 후, 자금을 자신들의 계좌로 이체한 것으로 보입니다. 이는 2021년 폴리 네트워크(Poly Network)에서 발생한 6억 1천1백만 달러 규모의 도난 사건을 훨씬 뛰어넘는, 현재까지 발생한 암호화폐 도난 사건 중 최대 규모입니다.
북한 조직인 라자루스 그룹이 이번 해킹 사건의 배후로 추정됩니다. 바이비트(Bybit)의 공식 발표에 따르면, 해커들은 다중 서명 지갑 서비스 제공업체를 사칭한 피싱 웹사이트를 이용해 내부 서명자들을 속여 자금 이체를 승인하게 했고, 이더 콜드 월렛을 장악한 후 40만 1천 달러 상당의 암호화폐를 48개의 익명 주소로 분산 전송했습니다. 또한, 일부 암호화폐는 크로스체인 브리지를 통해 비트코인으로 변환되어 해킹 활동을 은폐하는 데 사용되었습니다. 이더 가격은 하루 만에 4% 하락했고, 비트코인 역시 정서 에 영향을 받아 10만 5천 달러 고점에서 하락세를 보이며 한때 9만 달러 아래로 떨어지기도 했습니다.
자세한 내용은 진써차이징(Jinse) 특별 보고서 "바이빗의 악몽 같은 주말: 역사상 최대 규모의 강도 사건"을 참조하십시오.
II. 세투스: 2억 6천만 달러
5월 22일, Cetus는 CLMM 풀을 표적으로 삼은 정교한 스마트 계약 공격을 받았습니다. 공격자들은 계약의 취약점을 발견하고 이를 이용해 여러 차례에 걸쳐 자산을 탈취하는 거래를 구성했습니다.
이번 공격은 기반이 되는 Sui 퍼블릭 체인이나 Move 언어의 보안 결함에서 비롯된 것이 아닙니다. 핵심 문제는 Cetus 자체의 오픈 소스 코드베이스 설계 방식에 있으며, 이는 업계의 탈중앙화 프로젝트에 대한 코드 감사 의 필요성을 일깨워주는 계기가 되었습니다.
자세한 내용은 "Cetus 해킹 사건 이후: 이 사건에서 무엇을 배워야 할까요?"를 참조하십시오.
III. 밸런서: 1억 2,800만 달러
11월 3일, DeFi 프로토콜 Balancer가 해킹 공격을 받아 1억 달러 이상의 디지털 자산이 도난당했습니다. 주요 손실은 온체인 USDe 풀에 집중되었으며, 도난당한 자산의 가치는 약 1억 2,800만 달러에 달해 2025년 DeFi 업계에서 발생한 주요 보안 사고 중 하나로 기록되었습니다. 이 공격은 Balancer V2 Composable Stable Pools(CSP)의 설계 결함에서 비롯되었으며, 이미 정지 기간이 지난 CSPv5 풀에만 영향을 미쳤습니다. CSPv6 풀은 Hypernative에 의해 자동으로 정지되었기 때문에 영향을 받지 않았습니다. 다른 V2 풀 유형과 V3 아키텍처는 안전하게 유지되었습니다.
Balancer 해킹 사건의 부정적인 영향과 약 1억 달러에 달하는 자산 도난으로 인한 매도 압력이 겹쳐 SOL의 주가는 24시간 만에 거의 10%까지 하락했습니다. Balancer는 이전에 11 감사 받은 바 있습니다.
자세한 내용은 "지난 5년간 11건의 감사 와 6건의 데이터 유출 사건이 발생한 Balancer가 여전히 팬을 보유하고 있는 이유는 무엇인가?"를 참조하십시오.
IV. 노비텍스: 8,170만 달러
6월 18일, 온체인 전문가 ZachXBT는 이란 최대 암호화폐 거래소인 노비텍스(Nobitex)가 해킹당한 것으로 추정되며, 이로 인해 여러 공개 블록체인에 걸쳐 대규모 자산이 비정상적으로 이체되었다고 밝혔습니다. 피해 자산에는 트론(TRON), 이블 엠블럼(EVM), 비트코인(BTC) 네트워크의 자산이 포함되었으며, 초기 손실액은 약 8,170만 달러에 달하는 것으로 추산됩니다. 공격자들은 단순히 자금을 이체한 것뿐만 아니라, 특별히 설계된 소각 주소로 대량 의 자산을 옮겨 소각했으며, 이렇게 소각된 자산의 가치는 약 1억 달러에 이릅니다.
해킹 그룹 '프레데토리 스패로우(곤제슈케 다란데)'는 이번 공격의 배후임을 자처하며 24시간 이내에 노비텍스의 소스 코드와 내부 데이터를 공개하겠다고 발표했습니다.
자세한 내용은 "약 1억 달러 상당의 자산 손실: 거래소 노비텍스 절도 사건 요약"을 참조하십시오.
V. UPCX: 7천만 달러
4월 1일, 암호화폐 결제 프로토콜 UPCX가 심각한 관리자 권한 탈취 공격을 받았습니다. 공격자들은 플랫폼의 핵심 관리자 권한을 성공적으로 탈취하여 유동성 풀을 동결 하고 거래 매개변수를 변경하는 방식으로 약 7천만 달러 상당의 암호화폐 자산을 빼돌렸습니다.
보안 분석가들의 분석 결과, 이번 공격의 핵심 취약점은 UPCX의 접근 제어 시스템에 있는 치명적인 결함에 있는 것으로 드러났습니다. 해당 플랫폼은 관리자 권한을 제한하기 위한 다중 서명 메커니즘을 사용하지 않아 단일 핵심 계정으로 유동성 동결 및 자산 이체와 같은 고위험 작업을 수행할 수 있었습니다. 더욱이, 계정 로그인 인증 메커니즘은 하드웨어 지갑이나 2단계 인증과 같은 강화된 보안 조치 없이 사용자 이름, 비밀번호 및 SMS 인증에만 의존하는 지나치게 단순한 방식이었습니다.
공격자들은 소셜 엔지니어링, 데이터베이스 해킹 및 피싱 이메일을 조합하여 관리자 계정 정보를 성공적으로 확보했습니다. 로그인 후, 그들은 신속하게 악의적인 행위를 실행했습니다. 먼저, UPCX 생태계 내 주요 유동성 풀을 동결 사용자들이 정상적으로 거래하고 자금을 인출할 수 없도록 했습니다. 그다음, 자산 이체 규칙을 변경하여 풀에 있는 핵심 자산들을 일괄적으로 자신들이 통제하는 익명의 주소로 이체했습니다. 마지막으로, 공격을 은폐하기 위해 일부 작업 로그를 삭제했습니다.
6. 코인DCX: 4,420만 달러
CoinDCX 데이터 유출 사건: 2025년 7월, 인도 암호화폐 거래소 CoinDCX는 서버 침입을 당해 내부 운영 계정에 대한 공격을 받았습니다. 이 공격으로 인해 4,420만 달러의 손실이 발생했습니다. CoinDCX는 사용자 자금을 보호하기 위해 모든 손실을 자체적으로 부담하며 투명성과 사용자 신뢰의 기준을 세웠습니다.
이번 사건의 핵심 원인은 직원이 개인적인 업무를 처리하면서 관리자 권한이 유출되었고, 이를 내부 직원과 외부 해커가 공모하여 악용한 데 있습니다. 이는 전형적인 '내부자 + 외부 해커' 공모 공격 사례로, 정보 유출 사고 거래소 내부 직원 관리의 중요성을 강조합니다.
7. GMX: 4,200만 달러
7월 9일, 탈중앙화 파생상품 프로토콜인 GMX가 관리 취약점 공격을 받아 약 4,200만 달러의 손실이 발생했습니다. 이 사건의 특이한 점은 취약점이 본래 존재했던 것이 아니라, 플랫폼 개발팀이 기존 취약점을 수정하는 과정에서 새롭게 발생한 논리적 결함이었다는 것입니다. 해커들은 이 결함을 악용하여 "수정을 많이 할수록 새로운 취약점이 생기는" 난처한 상황을 초래했습니다.
근본적인 원인은 `executeDecreaseOrder` 함수 호출 오류에 있습니다. 이 함수의 첫 번째 매개변수는 외부 계정(EOA)이어야 했지만, 공격자는 스마트 계약 주소를 전달했습니다. 이로 인해 공격자는 상환 과정 중 내부 상태를 조작하여 GLP 포지션 의 실제 가치보다 훨씬 많은 자산을 클레임 .
이에 대응하여 GMX 팀은 V2 버전 계약의 모든 거래 기능을 즉시 중단하고, 취약점 수정 과정에서 새로운 결함이 발생했음을 인정하는 긴급 공지를 발표했으며, 플랫폼 보험 기금을 통해 피해를 입은 사용자에게 전액 보상하는 사용자 보상 계획을 시행했습니다.
자세한 내용은 "4천만 달러 규모의 GMX 취약점 공격에 대한 상세 설명"을 참조하십시오.
8. X402 교량: 3,800만 달러
10월 28일, 크로스체인 브리징 프로토콜인 x402bridge에서 약 3,800만 달러 상당의 자산 도난 사건이 발생했습니다. 이번 공격의 핵심 원인은 서버 내 관리자 개인 키의 부적절한 보관으로 인한 유출이며, 이로 인해 대량 크로스체인 자산 이동이 발생했습니다.
크로스체인 거래 효율성을 높이기 위해 x402bridge 관리자는 핵심 개인 키 조각을 여러 클라우드 서버에 저장했지만, 서버에 충분한 보안 강화 조치를 취하지 않고 기본적인 방화벽 보호만 사용했으며, 개인 키 조각의 암호화 암호 강도도 낮았습니다.
자세한 내용은 "402Bridge 공격 및 기타 개인 키 유출로 인한 절도 사례 검토"를 참조하십시오.
9. 업비트: 3,600만 달러
업비트는 11월 27일 솔라나 네트워크에서 540억 원(미화 3,600만 달러) 규모의 해킹 공격이 발생했다고 발표하고, 고객 손실을 전액 보상하겠다고 밝혔습니다. 솔라나 네트워크 자산 일부(약 540억 원 상당)가 알 수 없는 외부 지갑으로 이체된 것으로 확인됐습니다. 업비트는 비정상적인 인출을 감지하자마자 관련 네트워크 및 지갑 시스템에 대한 긴급 보안 점검을 즉시 실시했습니다.
자세한 내용은 "업비트 해킹 사건, 네이버의 103억 달러 인수 속 업계 변화" 기사를 참조하십시오.
10. UXLINK: 1,130만 달러
9월 23일, UXLINK는 다중 서명 지갑의 개인 키 유출로 인해 공격을 받았습니다. 공격자들은 UXLINK 토큰을 민트 판매함으로써 1,130만 달러 이상의 수익을 올렸습니다.
개인 키 유출로 인해 UXLINK 프로젝트 계약에서 공격자의 주소가 다중 서명 계정으로 추가되었고, 기존의 다른 다중 서명 계정들은 모두 삭제되었습니다. 또한, 계약의 서명 임계값이 1로 재설정되어 공격자의 주소 하나만으로 계약 작업을 실행할 수 있게 되었습니다. 이로써 공격자는 계약에 대한 완전한 통제권을 확보했습니다. 이후 공격자는 새로운 UXLINK 토큰을 발행하여 판매하며 이익을 취했습니다.
자세한 내용은 "1천만 달러 이상의 손실을 초래한 UXLINK 보안 사고의 취약점 분석 및 도난 자금 추적" 보고서를 참조하십시오.
부록: 북한은 2025년에 얼마나 많은 돈을 훔쳤을까요?
체이나리시스(Chainalysis) 데이터에 따르면, 북한 해커들은 2025년에 최소 20억 2천만 달러 상당의 암호화폐를 훔쳐간 것으로 추정됩니다(2024년 대비 6억 8천1백만 달러 증가). 이는 전년 대비 51% 증가한 수치입니다. 훔친 금액만 놓고 보면, 2025년은 북한의 암호화폐 절도 역사상 최악의 해였으며, 전체 서비스 침입의 76%를 북한이 차지하여 역대 신고점 했습니다. 종합적으로, 2025년 데이터를 바탕으로 북한이 훔쳐간 암호화폐 자금의 총 추정치는 최소 67억 5천만 달러에 달할 것으로 예상됩니다.
북한은 일반적으로 암호화 서비스에 침투하여 특권 접근 권한을 확보한 후 대규모 공격을 감행합니다. 올해 기록적인 공격 건수는 북한이 거래소, 호스팅 업체, 웹3 기업 등에 침투하기 위해 IT 인력에 점점 더 의존하고 있음을 시사합니다. 이러한 침투는 초기 접근을 신속하게 확보하고 대규모 데이터 탈취를 준비하는 데 도움이 됩니다.
북한 해커들은 더 이상 단순히 구직 신청을 하거나 기업에 침투하는 데 그치지 않고, 유명 웹3 및 AI 기업의 채용 담당자를 사칭하여 치밀하게 가짜 채용 절차를 진행하고, "기술 심사"라는 명목으로 피해자의 계정 정보, 소스 코드, VPN 또는 SSO 접속 권한을 탈취하는 수법을 점점 더 많이 사용하고 있습니다. 기업 임원급에서도 유사한 사회공학적 수법이 등장하고 있는데, 전략적 투자자나 인수 기업을 사칭하는 방식입니다. 이들은 프레젠테이션과 가짜 실사 과정을 통해 민감한 시스템 정보와 잠재적으로 고가치 인프라에 대한 접근 권한을 얻으려 합니다. 이는 북한이 IT 전문가를 대상으로 한 사기 행각과 전략적으로 중요한 AI 및 블록체인 기업에 대한 집중적인 공격을 직접적으로 활용한 결과입니다.
악명 높은 북한 해킹 그룹인 라자루스 그룹은 북한 정부가 운영하는 것으로 알려져 있습니다. 이 그룹에 대해서는 알려진 바가 거의 없지만, 연구원들은 2010년 이후 발생한 수많은 사이버 공격이 이 그룹의 소행이라고 보고 있습니다. 탈북민 김국성에 따르면, 이 그룹은 북한 내부에서 "414 연락사무소"로 불린다고 합니다.
이 그룹의 가장 초기 공격으로 알려진 "트로이 목마 작전"은 2009년에서 2012년 사이에 발생했습니다. 이는 서울에 있는 한국 정부를 대상으로 간단한 분산 서비스 거부(DDoS) 공격을 감행한 사이버 스파이 활동이었습니다. 이들은 2011년과 2013년에도 공격을 감행했습니다. 확실하게 입증되지는 않았지만, 2007년 한국에 대한 공격의 배후에도 이들이 있을 가능성이 있습니다.
대부분의 사람들이 인터넷에 접속할 수 없는 나라에서 왜 그렇게 많은 고도로 숙련된 해커들이 배출되는 걸까요?
2016년 한국으로 망명한 태영호 전 주한 평양 대사는 김정은이 스위스 유학 시절 대부분의 시간을 비디오 게임을 하며 보냈지만, 현대 생활에서 컴퓨터의 중요성 또한 인식하고 있었다고 지적했다. 그래서 그는 동생 김정철과 함께 한국으로 돌아온 후 아버지 김정일에게 영감을 주었다. "김정일은 컴퓨터와 인터넷의 이점을 빠르게 깨달았습니다." 김정일은 곧 첨단 기술을 이용한 첩보, 정보, 전쟁 기술을 가르치는 전문 학교를 설립했다. 5년 후, 그 노력은 상당한 성과를 거두었다. 해커들이 한국의 극비 군사 계획을 탈취했는데, 여기에는 북한과 북한 간의 잠재적 전쟁 시나리오와 김정은 암살을 통한 북한 지도부 제거 계획 등이 포함되어 있었다.
오늘날 북한의 사이버 부대는 8,000명이 넘는 것으로 추정되며, 대부분은 학교에서 선발된 수학 영재들입니다. 북한에서는 이들이 겉보기에는 무해해 보이는 "정찰총국" 소속이지만, 실제로는 라자루스, 비글보이즈, 히든 코브라, APT38(APT는 "고도 지속적 위협"의 약자)과 같은 사이버 작전명으로 활동합니다. 이 학생들은 장기간의 강도 높은 훈련을 받는 동시에 국가 노동 프로그램 면제, 차량 및 편안한 주택과 같은 물질적 혜택, 그리고 국제수학올림피아드와 같은 국제 수학 경시대회 참가 기회와 같은 특별한 특권을 누립니다.
북한의 자금 세탁 활동은 독특한 양상을 보이는데, 거래의 60% 이상이 50만 달러 미만의 소액 송금에 집중되어 있다.
북한 해커들은 다음과 같은 경향이 있습니다:
중국어 기반 자금 흐름 및 보증 서비스(355% 증가, 1000% 이상 증가): 이는 가장 두드러진 특징으로, 중국어 기반 보증 서비스와 다수의 운영자로 구성된 자금 세탁 네트워크에 크게 의존하고 있음을 나타내며, 이러한 운영자들의 규정 준수 관리 체계는 취약할 수 있습니다.
브리징 서비스(차이 최대 97%): 블록체인 간 자산 전송을 위해 크로스체인 브리지에 크게 의존하며 추적 난이도를 높이려고 시도합니다.
하이브리드 서비스(차이점 100% 증가): 자금 흐름을 숨기기 위해 하이브리드 서비스를 더 많이 사용함.
Huione(+356%)와 같은 전문 서비스 업체는 자금 세탁 활동을 용이하게 하기 위해 특정 서비스를 전략적으로 활용합니다.
참고: 후이오네(Huione)는 캄보디아 프놈펜에 본사를 둔 금융 그룹입니다. 주요 업무 분야는 결제, 보증 및 암호화폐 거래입니다. 2024년 7월부터 여러 국가에서 자금 세탁 및 관련 온라인 사기 자금 이체 혐의로 기소되었습니다. 11월에는 미국 재무부의 제재를 받았고, 12월에는 캄보디아 중앙은행이 후 업무 중단시켰습니다.
자세한 내용은 "북한 해커들이 자행한 충격적인 암호화 사건의 진상 규명: 왜 그렇게 강력했을까? 자금은 어디로 갔을까?"를 참조하십시오.
