북한 해커들이 "수익성 높은 한 해"를 보내고 있다. 2025년에는 기록적인 해킹 사건이 발생했으며, 자금 세탁 주기는 약 45일로 추정된다.

저자: Chainalysis

작성: 펠릭스, PANews

북한 해커들의 암호화폐 업계 공격이 증가함에 따라, 체이나리시스는 2025 해킹 보고서에서 북한 해커들의 공격 방식을 집중 분석했습니다. 자세한 내용은 다음과 같습니다.

핵심 사항:

• 북한 해커들은 2025년에 20억 2천만 달러 상당의 암호화폐를 훔쳤는데, 이는 전년 대비 51% 증가한 수치입니다. 공격 횟수는 줄었지만, 총 훔친 금액은 67억 5천만 달러에 달했습니다.
• 북한 해커들은 더 적은 공격 횟수로 더 많은 암호화폐를 훔쳐왔는데, 이는 주로 암호화폐 서비스의 IT 직원을 침투시키거나 임원을 표적으로 삼아 정교한 사칭 전술을 사용하는 방식입니다.
• 북한 해커들은 중국어 자금 세탁 서비스, 크로스체인 브리징 서비스, 코인 믹싱 프로토콜을 선호하는 것으로 보입니다. 대규모 해킹 후 자금 세탁 주기는 약 45일입니다.
• 2025년에는 개인 지갑 도난 건수가 15만 8천 건으로 급증하여 8만 명의 사용자가 피해를 입었지만, 도난당한 총액(7억 1천 3백만 달러)은 2024년에 비해 감소했습니다.
• 탈중앙 금융(DeFi)의 총 예치 자산(TVL)이 증가했음에도 불구하고, 2024년과 2025년 해킹으로 인한 손실은 낮은 수준을 유지하여 보안 조치 개선이 상당한 효과를 나타내고 있음을 보여줍니다.

2025년, 암호화폐 생태계는 또 다른 심각한 도전에 직면했습니다. 바로 자금 도난이 계속 증가했다는 점입니다. 분석 결과, 암호화폐 도난 패턴에는 네 가지 주요 특징이 드러났습니다. 북한 해커들이 여전히 주요 위협 요인으로 남아 있었고, 중앙 집중식 서비스에 대한 개별 공격이 점점 더 심각해졌으며, 개인 지갑 도난이 급증했고, 탈중앙화 금융(DeFi) 해킹 추세가 예상치 못하게 다양해졌습니다.

전반적인 상황: 2025년 에 34 억 달러 이상 이 도난당했습니다 .

2025년 1월부터 12월 초까지 암호화폐 업계는 34억 달러 이상의 도난 피해를 입었으며, 그중 15억 달러는 2월 한 달 동안 바이비트(Bybit)에서 도난당했습니다.

데이터는 또한 이러한 절도 유형에 상당한 변화가 있음을 보여줍니다. 개인 지갑 절도는 급격히 증가하여 전체 절도 금액의 7.3%를 차지했던 것이 2022년에는 44%로 상승 습니다. 만약 바이비트(Bybit) 해킹 공격의 심각한 영향이 없었다면, 이 비율은 2025년에는 37%에 달했을 수도 있습니다.

한편, 중앙 집중식 서비스는 개인 키 인프라 및 서명 프로세스를 표적으로 하는 정교한 공격으로 인해 손실이 점점 더 커지고 있습니다. 이러한 플랫폼들은 막대한 기관 자원과 전문 보안팀을 보유하고 있음에도 불구하고 콜드 월렛 제어를 우회할 수 있는 위협에 취약한 상태입니다. 이러한 침입은 빈번하게 발생하지는 않지만(아래 그림 참조), 발생 시 막대한 규모의 탈취로 이어질 수 있으며, 2025년 1분기 전체 손실의 88%를 차지했습니다. 많은 공격자들은 제3자 지갑 통합을 악용하고 서명자를 속여 악성 거래를 승인하도록 유도하는 수법을 개발했습니다.

일부 영역에서 암호화 보안이 개선되었음에도 불구하고, 도난당한 금액이 상당하다는 것은 공격자들이 여전히 다양한 수단을 통해 성공할 수 있음을 시사합니다.

상위 3개 해킹 공격으로 전체 손실액의 69%가 발생했으며, 극단적인 경우에는 중간값의 1000 배에 달하는 손실을 입었습니다.

역사적으로 자금 탈취는 극단적인 사건에 의해 발생해 왔으며, 대부분의 해킹은 비교적 소규모였지만, 극히 일부만이 대규모 해킹으로 이어졌습니다. 그러나 2025년에 상황이 악화되었습니다. 최대 규모 해킹 사건과 전체 해킹 사건의 중간값 비율이 처음으로 1,000배를 넘어섰습니다. 오늘날 최대 규모 공격으로 탈취된 자금은 일반적인 해킹 사건으로 탈취된 자금의 1,000배에 달하며, 2021년 불장(Bull market) 최고치를 넘어섰습니다. 이러한 계산은 탈취 당시의 자금 가치를 기준으로 합니다.

이처럼 격차가 확대되면서 손실이 특정 기업에 집중될 가능성이 높아졌습니다. 2025년까지 가장 흔한 해킹 공격 세 가지가 전체 손실의 69%를 차지할 것으로 예상되며, 개별 공격 사건 하나하나가 연간 총 손실액에 매우 큰 영향을 미칠 것입니다. 공격 빈도는 변동될 수 있고, 자산 가격 상승에 따라 평균 손실액도 증가할 수 있지만, 개별적인 핵심 취약점으로 인한 잠재적 손실은 훨씬 더 빠른 속도로 상승 하고 있습니다.

확인된 공격 건수는 감소했지만, 북한은 여전히 ​​주요 위협 요소로 남아 있습니다.

공격 빈도가 크게 감소했음에도 불구하고, 북한은 여전히 ​​암호화폐 보안에 가장 심각한 위협을 가하는 국가로 남아 있습니다. 북한의 암호화폐 탈취액은 2025년에 최소 20억 2천만 달러(2024년 대비 6억 8천1백만 달러 증가)에 달해 사상 최고치를 기록할 것으로 예상되며, 이는 전년 대비 51% 증가한 수치입니다. 탈취액 규모로만 보면, 2025년은 북한발 암호화폐 탈취 사상 최악의 해였으며, 전체 침입 사례 중 북한의 공격이 76%를 차지하며 역대 신고점. 전체적으로 북한에 의해 탈취된 누적 암호화폐 총액은 최소 67억 5천만 달러로 추산됩니다.

북한 해커들이 주요 공격 방식 중 하나인 IT 인력 침투를 통해 특권 접근 권한을 획득하고 대규모 공격을 감행하는 사례가 늘고 있다. 올해 기록적인 공격 건수는 북한이 거래소, 호스팅 업체, 웹3 기업 등에 침투한 IT 인력을 활용하는 데 점점 더 의존하고 있음을 반영하는 것일 수 있다. 이러한 IT 인력 침투는 초기 접근과 네트워크 내 이동을 신속하게 처리하여 대규모 데이터 탈취를 용이하게 한다.

하지만 최근 북한과 연계된 해킹 그룹들이 이러한 IT 노동자 모델을 완전히 뒤흔들어 놓았습니다. 단순히 구직 신청을 하고 직원으로 위장하여 침투하는 대신, 유명 웹3 및 AI 기업의 채용 담당자를 사칭하고 정교하게 가짜 채용 절차를 만들어냅니다. 결국 "기술 심사"라는 명목으로 피해자의 로그인 자격 증명, 소스 코드, 그리고 현재 고용주의 VPN 또는 싱글 사인온(SSO) 접속 권한을 탈취합니다. 임원급에서는 유사한 사회공학적 수법을 사용하여 가짜 전략적 투자자 또는 인수자를 사칭합니다. 투자 유치 프레젠테이션과 가짜 실사 과정을 통해 민감한 시스템 정보와 잠재적으로 고가치 인프라에 접근하려 하는데, 이는 북한의 IT 노동자 사기 수법을 직접적으로 발전시킨 것으로, 전략적으로 중요한 AI 및 블록체인 기업을 표적으로 삼고 있습니다.

최근 몇 년간 나타난 것처럼 북한의 지속적인 사이버 공격은 다른 해커들의 공격보다 훨씬 더 큰 피해를 발생시키고 있습니다. 아래 그림에서 볼 수 있듯이, 2022년부터 2025년까지 북한의 공격은 가장 높은 피해 규모를 기록한 반면, 북한 이외의 해커들의 공격은 모든 피해 규모에 걸쳐 비교적 고르게 분포했습니다. 이러한 패턴은 북한 해커들이 공격을 감행할 때 피해를 극대화하기 위해 대규모 서비스를 표적으로 삼는다는 것을 시사합니다.

올해 기록적인 손실은 발생한 사고 건수가 크게 감소한 데서 비롯되었습니다. 이러한 변화(사고 건수는 줄었지만 손실액은 크게 증가)는 2025년 2월에 발생한 대규모 바이비트(Bybit) 해킹 사건의 영향을 반영합니다.

북한의 독특한 자금 세탁 방식

2025년 초에 발생한 대량 자금 유입은 북한 해커들이 어떻게 대규모로 암호화폐 자금 세탁을 하고 있었는지를 드러냈습니다. 그들의 수법은 다른 사이버 범죄자들의 수법과는 확연히 달랐으며, 시간이 지남에 따라 진화해 왔습니다.

북한의 자금 세탁 활동은 뚜렷한 "단계별" 패턴을 보이며, 거래의 60% 이상이 50만 달러 미만에 집중되어 있습니다. 이와 대조적으로, 다른 해커들이 온체인 통해 이체하는 자금의 60% 이상은 100만 달러에서 1,000만 달러 이상에 이르는 소액으로 이루어집니다. 북한은 한 번에 더 큰 금액을 세탁하지만, 온체인 이체를 여러 소액으로 나누어 처리함으로써 복잡한 자금 세탁 수법을 구사하고 있음을 보여줍니다.

다른 해커들과 비교했을 때, 북한은 특정 자금 세탁 과정에서 뚜렷한 선호도를 보인다.

북한 해커들은 다음과 같은 경향이 있습니다:

• 중국어 송금 및 에스크로 서비스(+355%에서 1000% 이상): 이는 가장 두드러진 특징으로, 중국어 에스크로 서비스와 자금 세탁 네트워크에 크게 의존하고 있으며, 이러한 네트워크는 잠재적으로 규정 준수 통제가 취약한 수많은 자금 세탁 운영자로 구성되어 있습니다.
• 크로스체인 브리지 서비스(+97%): 서로 다른 블록체인 간 자산 전송을 위해 크로스체인 브리지에 크게 의존하며 추적 난이도를 높이려고 합니다.
• 혼합 서비스 이용 증가(+100%): 자금 흐름을 숨기기 위해 혼합 서비스를 이용하는 빈도가 높아졌습니다.
• Huione 및 기타 전문 서비스(+356%): 자금 세탁 활동을 용이하게 하기 위해 특정 서비스를 전략적으로 이용하고 있습니다.

자금세탁 활동에 연루된 다른 해커들은 다음과 같은 특징을 보이는 경향이 있습니다.

• 대출 프로토콜(-80%): 북한은 이러한 DeFi 서비스를 사용하지 않아 광범위한 DeFi 생태계와의 통합이 제한적임을 보여줍니다.
• 본인 인증 절차 없는 거래소(-75%): 놀랍게도 북한보다 다른 해커들이 본인 인증 절차가 없는 거래소 더 자주 이용합니다.
• 개인 간 거래소(-64%): 북한은 개인 간 거래 플랫폼에 대한 관심이 제한적입니다.
• CEX(-25%): 다른 해커들과 기존 거래소 플랫폼 간의 직접적인 상호 작용이 더 많아짐
• DEX(-42%): 다른 해커들은 높은 유동성과 강력한 익명성 때문에 DEX를 선호합니다.

이러한 패턴은 북한의 사이버 활동이 국가 지원을 받지 않는 사이버 범죄자들과는 다른 제약 조건과 목표를 가지고 있음을 시사합니다. 북한이 중국어 전문 자금 세탁 서비스와 장외거래(OTC) 업체를 대량 이용하는 것은 북한 해커들이 아시아 태평양 지역의 불법 행위자들과 긴밀한 연계를 맺고 있음을 나타냅니다.

북한 해킹 공격 이후 자금 세탁 진행 과정 타임라인

2022년부터 2025년 사이에 북한 소행으로 추정되는 해킹 사건 이후 온체인 활동을 분석한 결과, 암호화폐 생태계 내에서 도난 자금의 흐름에 일관된 패턴이 나타났습니다. 대규모 해킹 사건 이후, 도난 자금은 약 45일 동안 조직적이고 다단계적인 자금 세탁 경로를 거쳤습니다.

1단계: 즉각적인 계층화 ( 0~5 일 )

해킹 발생 직후 며칠 동안, 자금 유출 경로에서 즉시 자금을 빼돌리려는 움직임이 두드러지게 나타나는 등 평소와 다른 활동이 관찰되었습니다.

• 탈중앙금융(DeFi) 프로토콜에서 도난 자금이 가장 크게 증가(+370%)하여 주요 진입점이 되었습니다.
• 코인 믹싱 서비스의 거래량 또한 크게 증가(+135~150%)하여 혼란의 첫 번째 원인이 되었습니다.
• 이 단계는 최초의 절도 행위로부터 거리를 두기 위한 긴급한 "첫 번째 조치"를 나타냅니다.

2단계: 초기 통합 ( 6~10 일 )

2주 차에 접어들면서 자금 세탁 전략은 자금을 더 넓은 생태계에 통합하는 데 도움이 될 수 있는 서비스 쪽으로 전환되었습니다.

• KYC 제한이 완화된 거래소(+37%)와 중앙거래소(CEX)(+32%)에서 자금 유입을 수용하기 시작했습니다.
• 2단계 자금 혼합 서비스(+76%)는 강도는 낮췄지만 자금 세탁 활동을 지속했습니다.
• 크로스체인 브리징(예: XMRt, +141%)은 블록체인 간 자금 흐름을 분산화하고 은폐하는 데 도움이 됩니다.
• 이 단계는 자금이 잠재적인 출구 경로로 유입되기 시작하는 중요한 전환기입니다.

3단계: 장기 통합 ( 20~45 일 )

최종 단계에서는 궁극적으로 법정화폐나 기타 자산으로 전환될 수 있는 서비스가 분명히 유리합니다.

• KYC(고객 신원 확인)가 필요 없는 거래소 이용(+82%)과 투도우 단바오(Tudou Danbao)와 같은 에스크로 서비스 이용(+87%)이 크게 증가했습니다.
• 즉시 거래소(+61%)과 중국 플랫폼(예: 후이왕, +45%)이 궁극적인 환전 수단이 되었습니다.
• CEX(+50%) 또한 자금을 수용하고 있다는 사실은 합법적인 자본과 자금을 혼합하려는 교묘한 시도를 시사합니다.
• 중국 자금세탁 네트워크(+33%)와 그리넥스(+39%)가 있는 지역처럼 규제가 덜한 관할 구역들이 이러한 모델을 완벽하게 구현해냈습니다.

일반적으로 45일 정도 소요되는 자금세탁 활동 기간은 법 집행 기관과 규정 준수 팀에 매우 중요한 정보를 제공합니다. 이러한 패턴이 수년간 지속되어 왔다는 사실은 북한 해커들이 운영상의 제약에 직면하고 있음을 시사하며, 이는 아마도 금융 인프라에 대한 접근성 제한과 특정 중개자와의 협력 필요성과 관련이 있을 것입니다.

해커들이 항상 이와 정확히 같은 시간표를 따르는 것은 아니지만(훔친 자금 중 일부는 몇 달 또는 몇 년 동안 휴면 상태로 남아 있기도 함), 이 패턴은 자금 세탁이 활발하게 이루어질 때 나타나는 일반적인 온체인 행동을 보여줍니다. 또한, 특정 활동(예: 개인 키 전송 또는 거래소 외부에서의 암호화폐-법정화폐 교환)은 추가적인 정보 없이는 온체인 확인되지 않을 수 있으므로, 이러한 분석에서 발생할 수 있는 잠재적인 사각지대를 인식하는 것이 중요합니다.

개인 지갑 절도: 개인 사용자에게 점점 더 큰 위협이 되고 있습니다.

온체인 패턴 분석과 피해자 및 업계 파트너의 보고서를 종합해 보면 개인 지갑 도난의 심각성을 알 수 있지만, 실제 도난 건수는 훨씬 더 많을 것으로 예상됩니다. 최소 추정치로 개인 지갑 도난은 2025년 전체 손실의 20%를 차지할 것으로 보이며, 이는 2024년의 44%에서 감소한 수치로 규모와 패턴 모두에서 변화를 보여줍니다. 전체 도난 건수는 2025년에 15만 8천 건으로 급증하여 2022년의 5만 4천 건에 비해 거의 3배에 달합니다. 피해자 수도 2022년 4만 명에서 2025년에는 최소 8만 명으로 증가할 것으로 예상됩니다. 이러한 급격한 증가는 암호화폐의 광범위한 사용 확산에 기인한 것으로 보입니다. 예를 들어, 개인 지갑 사용이 가장 활발한 블록체인 중 하나인 솔라나(Solana)는 도난 건수(약 2만 6천 5백 건)에서 솔라나를 훨씬 능가합니다.

하지만 사건 발생 건수와 피해자 수는 증가했음에도 불구하고, 개인 피해자 한 명당 탈취된 총액은 2024년 최고치인 15억 달러에서 2025년 7억 1,300만 달러로 감소했습니다. 이는 공격자들이 더 많은 사용자를 표적으로 삼고 있지만, 피해자 한 명당 탈취되는 금액은 줄어들고 있음을 보여줍니다.

특정 네트워크의 피해자 데이터는 암호화폐 사용자에게 가장 큰 위협이 되는 분야를 파악하는 데 더 자세한 정보를 제공합니다. 아래 차트는 다양한 네트워크에서 활성 개별 지갑 수를 기준으로 조정된 피해자 데이터를 보여줍니다. 2025년 지갑 10만 개당 범죄 발생률로 측정했을 때, 이더 과 트론의 도난 발생률이 가장 높습니다. 이더 의 방대한 사용자 기반은 높은 도난 발생률과 많은 피해자 수를 시사하며, 트론은 활성 지갑 수가 더 적음에도 불구하고 높은 도난 발생률을 보입니다. 반면, 베이스와 솔라나는 사용자 기반이 크지만 도난 발생률은 더 낮습니다.

이는 개인 지갑의 보안 리스크 암호화폐 생태계 전반에 걸쳐 균일하지 않다는 것을 보여줍니다. 유사한 기술 아키텍처를 사용하더라도 블록체인마다 피해 발생률이 다르다는 것은 기술적 요인 외에도 사용자 인구 통계, 이슈 애플리케이션, 범죄 조직 구조와 같은 요소들이 도난 발생률을 결정하는 데 중요한 역할을 한다는 것을 시사합니다.

디파이 해킹: 다양한 패턴은 시장 변화를 예고한다

탈중앙금융(DeFi) 부문은 2025년 범죄 데이터에서 과거 추세와 크게 다른 독특한 패턴을 보였습니다.

데이터는 뚜렷하게 구분되는 세 단계를 보여줍니다.

• 1단계(2020-2021): DeFi TVL과 해킹 공격으로 인한 손실이 함께 증가했습니다.
• 2단계(2022-2023): 두 지표 모두 동시에 하락합니다.
• 3단계(2024-2025): TVL이 회복되는 반면, 해킹 공격으로 인한 손실은 안정적인 수준을 유지합니다.

처음 두 단계는 직관적인 패턴을 따릅니다. 리스크 의 가치가 클수록 훔칠 수 있는 가치도 커지고, 해커들은 가치가 높은 프로토콜을 더욱 공격적으로 노립니다. 은행 강도 윌리 서튼의 말처럼, "거기에 돈이 있기 때문이죠."

이로 인해 3단계의 차이점이 더욱 두드러지게 나타납니다. DeFi TVL은 2023년 최저치에서 크게 반등했지만, 해킹으로 인한 손실은 그에 비례하여 증가하지 않았습니다. 수십억 달러가 이러한 프로토콜로 다시 유입되었음에도 불구하고 DeFi 해킹 사건은 낮은 수준을 유지하고 있으며, 이는 상당한 변화를 나타냅니다.

다음 두 가지 요인이 이러한 차이를 설명할 수 있습니다.

• 보안 개선: TVL이 지속적으로 증가하고 있음에도 불구하고 해킹 발생률은 계속 감소하고 있는데, 이는 DeFi 프로토콜이 2020-2021년보다 더 효과적인 보안 조치를 시행하고 있음을 시사합니다.
• 공격 대상 전환: 개인 지갑 절도와 중앙 집중식 서비스 공격이 동시에 증가하는 것은 공격자들이 다른 대상으로 초점을 옮기고 있을 가능성을 시사합니다.

사례 연구: 비너스 프로토콜 에 대한 보안 대응

2025년 9월에 발생한 비너스 프로토콜(Venus Protocol) 사건은 강화된 보안 조치가 실질적인 효과를 발휘하고 있음을 보여주었습니다. 당시 공격자들은 해킹된 Zoom 클라이언트를 이용해 시스템에 접근한 후, 한 사용자를 속여 1,300만 달러 규모의 계정에 대한 위임 권한을 획득했습니다. 이는 하마터면 치명적인 결과를 초래할 수 있는 상황이었습니다. 다행히 비너스 프로토콜은 사건 발생 불과 한 달 전에 헥사게이트(Hexagate)의 보안 모니터링 플랫폼을 도입한 상태였습니다.

해당 플랫폼은 공격 발생 18시간 전에 의심스러운 활동을 감지했으며, 악성 거래가 발생하자마자 즉시 추가 경고를 발령했습니다. 20분 이내에 Venus는 프로토콜을 일시 중단하여 추가 자금 유입을 차단했습니다. 이러한 조직적인 대응은 DeFi 보안의 진화를 보여줍니다.

• 5시간 이내: 보안 검사가 완료되면 일부 기능이 복원됩니다.
• 7시간 이내: 공격자의 지갑을 강제로 청산
• 12시간 이내: 도난당한 모든 자금을 복구하고 서비스를 재개하십시오.

특히, 비너스는 ​​공격자가 여전히 통제하고 있던 3백만 달러 상당의 자산을 동결 지배구조 개선안을 통과시켰습니다. 이로써 공격자는 수익을 올리지 못했을 뿐만 아니라 손실까지 입었습니다.

이번 사건은 DeFi 보안 인프라가 실질적으로 개선되었음을 보여줍니다. 사전 예방적 모니터링, 신속한 대응 능력, 그리고 결정적인 조치를 가능하게 하는 거버넌스 메커니즘의 결합으로 전체 생태계가 더욱 유연하고 탄력적으로 변모했습니다. 공격은 여전히 ​​발생하지만, 공격을 탐지하고 대응하며 심지어 복구하는 능력은 공격이 성공할 경우 영구적인 손실을 초래하는 경우가 많았던 초기 DeFi 시대와 비교하면 근본적으로 달라졌습니다.

2026년 이후 의 영향

2025년 데이터는 북한이 암호화폐 산업에 가장 큰 위협으로 작용하는 복잡한 양상을 보여줍니다. 공격 횟수는 감소했지만 파괴력은 크게 증가했는데, 이는 북한이 더욱 정교하고 치밀한 전술을 사용하고 있음을 시사합니다. 바이빗(Bybit) 사건이 연간 활동 패턴에 미친 영향은 북한이 대규모 해킹에 성공하면 공격 속도를 늦추고 자금 세탁에 집중하는 경향이 있음을 보여줍니다.

암호화폐 업계에 있어 이러한 변화는 북한의 고가치 자금 세탁 표적에 대한 경계 태세를 강화하고 특정 자금 세탁 패턴을 더욱 정확하게 파악해야 할 필요성을 제기합니다. 북한이 특정 서비스 유형과 거래 금액을 지속적으로 선호하는 경향은 다른 범죄자들과 구별되는 특징을 제공하며, 수사관들이 이들의 온체인 행동 양식을 파악하는 데 도움을 줍니다.

북한이 국가적 우선순위 사업 자금을 조달하고 국제 제재를 회피하기 위해 암호화폐를 계속해서 탈취하는 가운데, 암호화폐 업계는 북한의 공격 방식이 일반적인 사이버 범죄자들과는 근본적으로 다르다는 점을 인식해야 합니다. 2025년 북한의 공격 횟수가 74%나 감소했다는 기록적인 수치는 우리가 북한 활동의 ​​가장 가시적인 부분만을 보고 있을 가능성을 시사합니다. 2026년의 과제는 북한이 바이비트 공격과 같은 규모의 공격을 다시 감행하지 못하도록 탐지하고 차단하는 것입니다.

관련 기사: 암호화폐 보안 손실 급증: 공격 횟수는 줄었지만 파괴력은 크게 상승 .