북한, 암호화폐 대규모 해킹 전면전 선언…디지털 자산 시장 충격 경고

북한이 국가 차원의 암호화폐 해킹 작전을 공개적으로 진행 중이라는 충격적인 경보가 발령됐다. 전문가들은 이 같은 공격이 디지털 자산 시장에 10% 이상의 급격한 조정을 초래할 수 있다고 경고하며, 글로벌 규제기관들은 즉각적인 대응에 나섰다.

[디지털투데이 홍진주 기자] 북한이 암호화폐를 반복적으로 노리는 배경이 제재 회피용 결제망 확보보다 무기 개발 자금을 직접 조달하기 위한 목적이라는 분석이 나왔다.

12일(현지시간) 블록체인 매체 코인데스크는 최근 보안 전문가들을 인용해 북한의 암호화폐 해킹이 다른 국가 지원 해킹과 구조적으로 다르다고 보도했다. 특히 드리프트를 겨냥한 6개월 잠입 공작이 알려지면서 업계의 경각심도 커지고 있다.

핵심 차이는 암호화폐를 쓰는 방식이다. 러시아와 이란이 암호화폐를 제재 회피를 위한 자금 이동 수단으로 활용하는 반면, 북한은 암호화폐 생태계 자체를 공격 대상으로 삼는다는 설명이다. 데이브 슈웨드(Dave Schwed) SVRN 최고운영채임자(COO)는 북한이 강력한 제재 환경 속에서 무기 프로그램 자금을 확보해야 하는 압박이 크다고 지적했다. 그는 국제기구와 정보기관들이 암호화폐 탈취를 북한의 핵·미사일 개발 주요 자금원으로 보고 있다고 밝혔다.

이 때문에 북한은 공개 블록체인에서 추적이 가능한 대규모 탈취도 감수하는 전략을 취한다. 슈웨드는 러시아에는 여전히 석유와 가스, 원자재 수출과 거래 상대가 있고, 이란도 제재 대상 원유와 중동 내 자금 네트워크를 활용할 수 있지만 북한은 판매할 수 있는 것이 거의 남아 있지 않다고 설명했다. 그는 북한의 수출은 사실상 대부분 제재 대상이며, 작동하는 경제가 없어 결제망보다 직접 수익이 필요하다고 말했다. 이어 암호화폐 탈취는 거래 상대방 없이도 전 세계에서 즉시 유동성을 확보할 수 있게 해준다고 했다.

공격 대상도 명확하다. 알렉산더 어벨리스(Alexander Urbelis) ENS랩스 최고정보보호책임자(CISO)는 거래소, 지갑 서비스, 디파이 프로토콜뿐 아니라 서명 권한이나 인프라 접근 권한을 가진 핵심 인물을 주요 표적으로 꼽았다. 결국 자금 접근 권한을 가진 개인이나 시스템이 공격의 중심이라는 의미다.

공격 방식 역시 일반적인 사이버 범죄와 다르다. 북한은 단순 피싱을 넘어 정보기관 수준의 장기 침투 전략을 활용하는 것으로 평가된다. 수개월에 걸친 관계 형성, 가짜 신원 사용, 공급망 침투 등이 결합된 방식이다. 실제 드리프트 사례에서도 특정 인물을 겨냥해 장기간 신뢰를 쌓은 뒤 접근하는 방식이 사용된 것으로 알려졌다.

암호화폐 구조 자체도 북한에 유리한 조건으로 거론됐다. 전통 금융에서는 해킹 이후에도 결제 지연, 규제 검증, 송금 취소 등의 방어 장치가 작동하지만, 암호화폐는 거래가 승인되면 되돌리기 어렵다. 어벨리스는 지난해 초 바이비트 공격에서 15억달러가 약 30분 만에 이동한 사례를 언급하며 이러한 구조적 차이를 강조했다.

이 같은 특성은 방어 전략에도 영향을 미친다. 은행 같은 전통 금융권은 사고 이후 대응 여지가 있지만, 암호화폐는 사전 차단이 사실상 유일한 대응 수단에 가깝다. 그러나 많은 프로젝트가 빠른 개발과 출시를 우선하면서 충분한 보안 통제와 감사 체계를 갖추지 못한 점이 취약점으로 지적된다.

전문가들은 특히 정교한 가짜 신원과 내부 접근 권한을 식별하는 문제가 현재 업계의 가장 어려운 보안 과제라고 입을 모은다. 드리프트 사례 이후 경각심이 높아지고 있지만, 북한이 암호화폐를 결제 인프라가 아닌 직접 현금화 가능한 표적으로 인식하고 있다는 점에서 보안 부담은 당분간 지속될 전망이다.