북한

Cryptopolitan에 따르면, 사이버 보안 분석가들이 RemotePE라는 이름의 새로운 유형의 파일 없는 원격 접근 트로이 목마(RAT)를 발견했습니다. 북한과 관련이 있다고 여겨지는 사이버 범죄 조직인 Lazarus Group이 이 트로이 목마를 이용해 은행과 암호화폐 회사를 공격하고 있습니다. 이 트로이 목마는 완전히 메모리에서 실행되며, 전통적인 안티바이러스 및 포렌식 도구로는 탐지가 어렵습니다. 공격자는 Telegram을 통해 거래 회사 직원으로 가장하고, 위조된 Calendly 및 Picktime 링크를 사용하여 사회 공학 공격을 수행합니다. 악성 소프트웨어는 DPAPILoader, RemotePELoader 및 RemotePE의 세 단계로 체인 로딩되며, 전체 과정에서 파일 시스템에 접촉하지 않고, 프로세스 비우기, 반 분석 검사 및 암호화된 C2 통신을 이용해 탐지를 회피합니다.이 악성 소프트웨어는 2025년 9월에 처음 발견되었습니다. 2026년의 첫 4개월 동안, Lazarus 조직은 약 5.77억 달러의 암호 자산을 훔쳤으며, 이는 전 세계 암호 도난 총액의 76%를 차지합니다. 2017년 이후, 이 조직이 누적 도난한 금액은 60억 달러에 달합니다.

코인텔레그래프에 따르면, 사이버 보안 회사 크라우드스트라이크가 발표한 보고서에 따르면, 2025년 북한 해커와 위협 행위자들로 인한 암호 자산 손실이 20억 달러를 초과하며, 전년 대비 51% 증가했지만 공격 횟수는 감소했습니다. 크라우드스트라이크는 북한 해커가 암호화폐 사용자에 대한 최대 위협 조직이라고 언급하며, 도난당한 자금은 거의 확실히 해당 정권의 군사 계획을 지원하는 데 사용된다고 밝혔습니다.공격자는 고가치 목표를 우선적으로 겨냥하며, 주로 Web3 프로젝트와 암호화폐 거래소를 대상으로 합니다. 도난당한 자금은 익명으로 현금화하고 이전하기가 더 쉽기 때문입니다. 올해 4월, 이더리움 재단은 100명의 북한 해커를 식별했으며, 드리프트 프로토콜은 북한 기술자에 의해 침투당해 2억 8천만 달러의 손실을 초래했습니다. 이러한 위협 행위자들은 제3자 중개인을 통해 대면 관계를 구축합니다.

Web3 보안 회사 CertiK가 《Skynet 북한 암호 위협 보고서》를 발표했습니다. 데이터에 따르면, 2016년부터 현재까지 북한 해커 조직은 약 675억 달러의 디지털 자산을 탈취했습니다. 2025년에는 그들이 발생시킨 도난 사건의 손실이 206억 달러에 달하며, 이는 전 세계 암호 산업 연간 총 손실의 거의 60%를 차지합니다(여기에는 15억 달러의 Bybit 도난 사건이 포함됩니다). 2026년 초까지 이 위협 추세는 여전히 지속되고 있으며, 그로 인한 손실 비율은 약 55%에 달합니다.보고서는 북한 해커의 공격 방식이 근본적으로 변화했음을 강조하며, 단순한 코드 취약점 이용에서 사회 공학, 심층 공급망 공격 및 "물리적 침투"를 결합한 국가급 공격 체제로 발전하고 있다고 밝혔습니다. 최근 Drift 프로토콜 사건에서는 공격자가 오히려 6개월 동안 오프라인 산업 회의에 잠입하여 실제 자금과 인간 관계를 통해 신뢰를 구축한 후 공격을 감행했습니다.CertiK 보안 전문가들은 이러한 수준의 시스템적 공격에 직면했을 때 단순한 기술 방어선이 약해졌다고 경고합니다. 암호 기관은 "제로 트러스트" 채용 모델을 전면적으로 시행하고, 제3자 공급망을 강화하며, 자금 서킷 브레이커를 설정하고, 전문 보안 기관과 협력하여 코드 감사, 24시간 위험 모니터링 및 온체인 자금 추적을 포함한 전 생애 주기 방어 체계를 구축해야 합니다.

미국 맨해튼 연방 법원 판사 Margaret Garnett가 Aave의 rsETH 공격 사건 이후 자산 회복 계획을 승인하여, 이전에 Arbitrum에서 동결된 약 7100만 달러 ETH를 Aave가 관리하는 지갑으로 이전할 수 있도록 허용했습니다.법원 문서에 따르면, 이 결정은 이전에 Arbitrum DAO에 대한 제한 명령을 수정하여, 커뮤니티가 온체인 거버넌스 투표를 통해 ETH 이전을 완료할 수 있도록 허용하며, 투표 및 이전 실행에 참여한 자의 관련 법적 책임을 면제합니다. 이번 사건은 4월에 발생한 rsETH 공격 사건에서 비롯되었으며, 관련 공격은 북한과 연관된 Lazarus Group에 광범위하게 귀속됩니다. 이전에 북한 테러 피해자 가족을 대리하는 변호사는 관련 자산의 동결을 주장하며 약 8억 7700만 달러의 미지급 판결 보상 범위에 포함시키려 했습니다.Arbitrum 커뮤니티는 Snapshot 온도 체크 투표에서 동결된 ETH를 Aave 회복 계획으로 반환하는 것에 대해 높은 지지를 보였지만, 실제 이전은 공식 온체인 거버넌스를 통해 통과되어야 합니다. 보도에 따르면, 이 사건은 미국 관련 원고가 북한과 연관된 암호 자산을 추적하는 행동의 일환이기도 합니다. Arbitrum 외에도, 원고는 이전에 프라이버시 프로토콜 Railgun DAO를 고소했으며, Digital Currency Group(DCG)을 피고 중 하나로 지목하여 관련 거버넌스 및 경제 활동에 참여했다고 주장했습니다.

OpenSourceMalware 연구에 따르면, 북한 해커 조직 Lazarus는 "감염성 면접"과 "TaskJacker"와 같은 개발자를 겨냥한 악성 활동에서 새로운 기법을 사용하여 두 번째 단계 로더를 Git Hooks의 pre-commit 스크립트에 숨겼습니다. "감염성 면접"은 이 조직이 가짜 암호화폐/DeFi 분야의 채용 프로세스를 통해 개발자가 악성 코드 저장소를 클론하도록 유도하는 일련의 공격 활동으로, 궁극적으로 암호 자산과 자격 증명을 탈취합니다.연구원들은 면접 프로세스의 일환으로 코드 저장소를 클론하라는 요청을 받은 개발자들이 이러한 위험에 주의해야 하며, 개인 브라우저 구성, SSH 키 및 암호 지갑을 마운트하지 않도록 격리된 환경에서 실행하는 것이 좋다고 권고합니다.

FinanceFeeds에 따르면, 북한의 피해자 변호사는 맨해튼 연방 법원 청문회 전에 Aave에서 발생한 rsETH 공격 사건을 "도난"이 아닌 "사기"로 재정의하려고 시도하여 7100만 달러 가치의 ETH에 대한 동결 명령을 유지하려고 했습니다.변호사는 공격자가 무가치한 담보를 이용해 자산을 빌리고 상환하지 않은 것은 사기성 대출 거래에 해당하며, 이는 테러리즘 위험 보험법에 따라 이러한 동결 자산을 테러리즘 판결 배상에 사용하려는 의도라고 주장했습니다.이전에 Lazarus Group과 관련된 해커들은 크로스 체인 브리지 취약점을 통해 무담보 rsETH를 발행하고 Aave에서 약 2억 3천만 달러의 자산을 빌렸으며, 그 중 7100만 달러는 Arbitrum 개발자에 의해 차단되었습니다. 피해자 변호사는 또한 Aave의 방어 자격에 의문을 제기하며, 그 서비스 약관이 사용자 자산에 대한 통제권을 주장하지 않는다고 지적했습니다. 또한, DeFi United는 이번 논란의 금액을 초과하는 3억 2천7백만 달러의 자금을 모금했습니다.

코인데스크(CoinDesk)에 따르면, Drift 프로토콜은 4월 1일 약 2.95억 달러의 보안 취약점에 대한 사용자 복구 계획을 발표했으며, 이 공격은 북한 지원 해커 조직에 기인한 것으로 알려졌다.복구 계획의 핵심은 검증된 사용자 손실을 나타내는 영수증 토큰을 발행하는 것으로, 각 토큰은 1달러의 검증된 손실을 나타내며, 보유자는 시간이 지남에 따라 누적된 복구 풀의 가치를 기준으로 상환할 수 있다. 복구 풀의 초기 자금은 약 380만 달러이며, 거래소 수익을 통해 최대 1.275억 달러, 테더 지원 및 파트너를 통해 최대 2000만 달러 등으로 증가할 것으로 예상되며, 총 손실 약 2.954억 달러를 커버할 때까지 계속될 예정이다.Drift는 약 336만 달러의 USDC를 동결했으며, 자산 회수를 위한 10%의 공개 보상을 시작했다. Drift는 2분기에 "안전 우선" 거래소로 다시 온라인에 올라갈 계획이다. 법적 자산 회수 작업은 여전히 진행 중이다.

코인데스크에 따르면, 리플은 월요일에 암호화 산업 위협 정보 공유 조직인 크립토 ISAC에 북한 해커에 대한 내부 정보를 공유하여 기업들이 협동 침투 행동을 식별하는 데 도움을 줄 것이라고 발표했습니다.이 조치는 암호화 산업이 최근 겪고 있는 공격 방식의 변화 배경을 가지고 있습니다. 리플은 "가장 강력한 암호화 보안 태세는 공유 태세입니다. 한 회사가 배경 조사를 통과하지 못한 위협 행위자는 같은 주에 다른 세 회사에 이력서를 제출할 수 있습니다. 정보를 공유하지 않으면 각 회사는 제로에서 시작해야 합니다."라고 말했습니다.

The Block에 따르면, 북한은 외부에서 제기된 암호 자산 도난에 대한 참여 의혹을 부인하며, 관련 주장을 "터무니없는 비방"과 "정치적 도구"라고 주장했다. 이 성명은 공식 매체를 통해 발표되었으며, 국가 이익을 보호하기 위해 필요한 조치를 취할 것임을 강조했다.그러나 블록체인 분석 기관 TRM Labs의 데이터에 따르면, 북한과 연관된 해커 조직이 약 5.77억 달러를 탈취했으며, 이는 같은 기간 전 세계 암호 도난 손실의 약 76%를 차지한다. 여기에는 KelpDAO(약 2.92억 달러)와 Drift Protocol(약 2.85억 달러)에 대한 두 건의 주요 공격 사건이 포함된다.TRM은 관련 공격이 주로 Lazarus Group 및 그 하위 조직과 관련이 있다고 지적했다. 2017년 이후 북한과 연관된 암호 도난의 누적 규모는 60억 달러를 초과했다. 미국 및 국제 기관들은 이러한 자금이 군사 및 미사일 프로젝트를 지원하는 데 사용된다고 일반적으로 보고 있다. 한편, 미국 재무부는 최근 관련 개인 및 단체에 대해 제재를 시행했으며, 이는 2024년 약 8억 달러의 불법 자금 흐름과 관련이 있다.

MegaETH 관리자 PaperImperium은 X 플랫폼에서 뉴욕 남부 연방 법원 문서가 미국 법원이 Arbitrum DAO에 대해 금지 명령을 발부하여 KelpDAO 해킹 사건에서 동결된 약 7100만 달러 ETH 자산을 이전하지 못하도록 요구했다고 밝혔습니다. 원고 측은 이 자금을 북한과 관련된 테러리즘, 납치 등의 사건에 대한 미지급 판결 보상을 집행하기 위해 사용하려고 하며, Arbitrum DAO에 법적 통지를 발송하기 위해 대체 송달 방식으로 신청하였고, 이를 "책임을 질 수 있는 파트너 조직"으로 간주하고 있습니다.법원 문서에서는 Arbitrum DAO가 ARB 보유자에 의해 관리되는 Security Council을 두고 있으며, 긴급 상황에서 조치를 취할 수 있는 능력을 갖추고 있다고 언급했습니다. 따라서 관련 구성원이 협조를 거부할 경우 법원 모독 등의 법적 책임을 질 수 있습니다. 시장은 이 사건이 미국 사법 시스템이 DAO 거버넌스 구조를 직접적으로 제약하는 중요한 사례가 될 수 있으며, DeFi 프로토콜이 현실 법적 프레임워크 내에서의 준수 압박을 더욱 부각시킬 것이라고 보고 있습니다.

MegaETH 관리자 PaperImperium은 X 플랫폼에서 뉴욕 남부 연방 법원 문서에 따르면, 미국 법원이 Arbitrum DAO에 대해 금지 명령을 발부하여 KelpDAO 해킹 사건에서 동결된 약 7100만 달러 ETH 자산을 이전하지 못하도록 요구했다고 밝혔습니다.원고 측은 해당 자금을 북한의 테러리즘, 납치 등 사건에 대한 미지급 판결 보상을 집행하기 위해 사용하려고 하며, Arbitrum DAO에 법적 통지를 발송하기 위해 대체 송달 방식으로 신청하였고, 이를 "책임을 질 수 있는 파트너 조직"으로 간주하고 있습니다. 법원 문서에서는 Arbitrum DAO가 ARB 보유자가 관리하는 Security Council을 두고 있으며, 긴급 상황에서 조치를 취할 수 있는 능력이 있다고 언급했습니다. 따라서 관련 구성원이 협조를 거부할 경우 법원 모독 등의 법적 책임을 질 수 있습니다. 시장은 이 사건이 미국 사법 시스템이 DAO 거버넌스 구조를 직접적으로 제약하는 중요한 사례가 될 수 있으며, DeFi 프로토콜이 현실 법적 프레임워크 내에서의 준수 압박을 더욱 부각시킬 것이라고 보고 있습니다.

TRM Labs의 최신 보고서에 따르면, 북한 해커들이 Drift Protocol과 Kelp DAO 공격 사건에서 약 6억 달러의 암호화폐를 도난당했으며, 이는 총 손실액의 76%에 해당합니다. TRM Labs는 2017년 이후 북한과 관련된 해커들이 암호화 프로토콜과 프로젝트에서 60억 달러 이상을 도난당했다고 추정하고 있습니다.보고서에 따르면, 북한 해커들이 초래한 손실이 전 세계 암호화폐 해킹 공격 손실에서 차지하는 비율은 2020년과 2021년의 10% 미만에서 2022년의 22%, 2023년의 37%, 2024년의 39%, 그리고 2025년의 64%로 증가했습니다.

북한 해커는 Drift Protocol을 공격하기 전에 수개월 동안 그 직원들과 오프라인 접촉 및 침투를 진행했으며, 결국 암호화폐 산업 역사상 가장 큰 규모의 사회 공학 공격 중 하나를 실행하여 약 2.85억 달러의 손실을 초래했습니다.블록체인 보안 회사 TRM Labs의 데이터에 따르면, 2026년 현재 북한 해커는 전체 암호화폐 해킹 손실의 76%를 차지하고 있습니다.

블록체인 정보 기관 TRM Labs의 최신 보고서에 따르면, 전 세계 암호화폐 해킹 공격 손실의 약 76%가 북한 관련 조직과 관련이 있으며, 누적 도난 금액은 약 5.77억 달러에 달합니다.북한의 전 세계 암호화 도난 비율은 지속적으로 상승하고 있습니다: 2022년 22%, 2023년 37%, 2024년 39%, 2025년 64%로 증가하며, 2026년에는 76%로 더욱 상승할 것으로 보입니다. 2017년 이후 누적 불법 수익은 60억 달러를 초과했습니다. 보고서는 이러한 손실이 주로 4월의 두 가지 주요 사건에서 발생했다고 지적합니다: KelpDAO가 겪은 2.92억 달러 공격과 Drift Protocol에서 도난당한 2.85억 달러 사건으로, 두 공격은 같은 기간 모든 해킹 사건의 약 3%를 차지합니다.

네트워크 보안 회사 Expel의 연구 보고서에 따르면, 이 회사는 북한(DPRK) 국가 지원 APT 조직 "HexagonalRodent"를 추적하고 있으며, 이 조직은 Web3 개발자를 주요 목표로 삼고 고가치 디지털 자산인 암호화폐와 NFT를 전문적으로 훔치고 있습니다.이 조직은 주로 허위 채용 정보를 통해 공격을 수행합니다. LinkedIn 및 Web3 채용 플랫폼에 고액 연봉 직위를 게시하여 구직자가 내장된 악성 코드가 포함된 "기술 테스트"를 완료하도록 유도하고, VSCode의 tasks.json 기능을 이용해 피해자가 프로젝트 폴더를 열 때 악성 프로그램을 자동으로 실행합니다. 사용된 악성 소프트웨어에는 BeaverTail, OtterCookie 및 InvisibleFerret가 포함되어 있으며, 이들은 비밀번호 도용, 원격 제어 및 역방향 셸 기능을 갖추고 있습니다.주목할 점은 이 조직이 ChatGPT, Cursor와 같은 생성적 AI 도구를 대량으로 활용하여 악성 소프트웨어를 개발하고, 가짜 회사 웹사이트 및 AI 생성 경영진 팀을 구축하며, 심지어 멕시코에 페이퍼 컴퍼니를 등록하여 공격의 신뢰성을 높였다는 것입니다. 또한, 이 조직은 최근 처음으로 공급망 공격을 수행하여 VSCode 확장을 성공적으로 해킹했습니다.

코인데스크(CoinDesk)에 따르면, CertiK 모니터링에 따르면, 라자루스 그룹(Lazarus Group)은 금융 기술 및 암호화폐 산업의 고위 경영진을 대상으로 Mach-O Man이라는 공격 작전을 진행하고 있습니다. 이 작전은 ClickFix 소셜 엔지니어링 기술을 이용하여 가짜 온라인 회의 초대를 전송하고, 피해자가 Mac 단말기에 수정 지시를 붙여넣도록 유도하여 회사 및 재무 시스템에 대한 접근 권한을 획득합니다.CertiK 연구원인 나탈리 뉴슨(Natalie Newson)은 라자루스 그룹이 지난 2주 동안 Drift와 KelpDAO 공격을 통해 5억 달러 이상을 탈취했다고 밝혔습니다. Mach-O Man은 라자루스 그룹의 Chollima 부서에서 개발한 모듈형 macOS 악성 소프트웨어 툴킷으로, 사용 후 자동으로 삭제되어 탐지를 회피할 수 있습니다.또한, 공격자들은 DeFi 프로젝트 도메인을 탈취하고 가짜 Cloudflare 메시지로 교체하는 방식으로 이 공격을 수행하고 있습니다.

이더리움 재단은 최근 ETH Rangers 보안 프로젝트 요약 보고서를 발표하며, 6개월 간의 보안 지원 프로그램에서 연구자들이 약 100명의 국가 지원 의심 네트워크 행위자를 식별했다고 밝혔습니다. 이들 중에는 북한의 침투자가 포함되어 있으며, 여러 Web3 프로젝트에서 활동하고 있습니다.보고서에 따르면, 관련 조사는 "Ketman Project"와 같은 프로젝트를 통해 진행되었으며, 연구자들은 약 53개의 블록체인 프로젝트에 경고를 발송하여 이들이 가짜 신분으로 개발 팀에 침투하고 자금 흐름 및 기술 직무에 참여하고 있음을 밝혔습니다. 동시에 일부 관련 자금은 동결되었으며, 규모는 수십만 달러에 달합니다. 보안 팀은 또한 관련 정보를 Lazarus Group의 위협 분석 시스템에 포함시키고 DEF CON과 같은 보안 회의에서 이를 공개하여 국가급 사이버 공격이 암호화 산업 인프라에 지속적으로 침투하고 있음을 보여주었습니다.전체 성과 측면에서, 이 계획은 누적하여 580만 달러 이상의 자금을 동결하거나 회수하였으며, 보고서 또는 기록된 취약점은 785개를 초과하고, 36건의 보안 사건을 처리하였습니다. 이는 현재 이더리움 생태계가 단순한 취약점 공격에서 국가급 행위자가 포함된 시스템적 위험으로 업그레이드된 보안 위협에 직면하고 있음을 보여줍니다. 또한 보고서는 북한 관련 해커들이 "원격 IT 작업자"와 같은 방식으로 프로젝트에 침투하고 있으며, 계정 탈취, 프리랜서 플랫폼 침투 및 자금 이체 등 다양한 공격 경로가 포함되어 있어 산업의 주요 방어 대상이 되고 있다고 지적했습니다.이더리움 재단은 분산형 네트워크의 보안이 "분산형 방어"를 필요로 한다고 강조하며, 앞으로도 지속적으로 보안 연구, 위협 정보 및 인재 양성을 지원하여 끊임없이 증가하는 국가급 사이버 위협에 대응할 것이라고 밝혔습니다.

코인텔레그래프에 따르면, 이더리움 재단은 자금을 지원하는 케트만 프로젝트가 6개월 내에 Web3 조직에 잠입한 북한 IT 인력 100명을 식별하고 약 53개 프로젝트에 경고를 발송했다고 밝혔습니다. 이는 관련 인력을 고용했을 가능성이 있음을 알리는 것입니다.이 프로젝트는 암호화 산업 내 "가짜 개발자" 문제에 초점을 맞추고 있으며, ETH Rangers 공공 안전 자금 지원 프로그램의 일환입니다. 케트만은 또한 의심스러운 GitHub 활동을 식별하기 위한 오픈 소스 탐지 도구를 개발하고, Security Alliance와 협력하여 북한 IT 인력을 식별하기 위한 산업 식별 프레임워크를 수립했습니다.

암호 지갑 Zerion이 공개한 바에 따르면, 북한 해커들이 AI를 사용하여 장기적인 사회 공학 공격을 수행하고 회사의 핫 월렛에서 약 10만 달러를 도난당했습니다.Zerion은 사용자 자금, 애플리케이션 및 인프라가 영향을 받지 않았다고 확인했으며, 예방 조치로 웹 애플리케이션을 자발적으로 비활성화했습니다. Zerion은 또한 공격자가 일부 팀원들이 로그인한 세션과 자격 증명, 그리고 회사 핫 월렛의 개인 키를 획득했다고 밝혔으며, AI가 네트워크 위협의 작동 방식을 변화시키고 있다고 지적했습니다.

암호화폐 산업에 대한 표절과 공격이 계속해서 심화됨에 따라, 보안 전문가들은 다른 국가 배경의 해커들과의 핵심 차이점이 있다고 지적합니다: 암호 자산이 해당 국가의 군비 유지에 중요한 직접 자금 조달 원천이 되었다는 것입니다. 보도에 따르면, 최근 Drift Protocol에 대한 수개월 간의 침투 작전에서 북한 해커들이 다시 한번 산업에 충격을 주었습니다.전문가들은 이 모델이 단순한 "자금 이동 도구"가 아니라 직접적인 "약탈적 이익"이라고 말하며, 국제 제재를 우회하고 즉시 사용할 수 있는 경화 자금을 확보하는 데 사용된다고 설명합니다. 보안 연구자들은 러시아, 이란 등과는 달리 북한은 지속 가능한 대외 경제 및 상품 수출 능력이 거의 없기 때문에, 핵무기 및 탄도 미사일 프로그램을 지원하기 위해 암호화폐 도난에 더 의존하고 있다고 지적합니다.전문가들은 또한 북한 해커의 공격 목표가 단순한 피싱에서 거래소, 지갑 서비스 및 DeFi 프로토콜의 핵심 권한 보유자로 확대되었으며, 일반적으로 장기적인 사회 공학 및 신원 위장 침투 수단을 사용하고 있다고 강조합니다. 블록체인 거래의 "확인되면 되돌릴 수 없다"는 특성 때문에, 암호화폐 산업은 자금 동결 및 회수 측면에서 전통 금융 시스템보다 훨씬 취약하여 이러한 공격이 속도와 규모에서 더 큰 파괴력을 지니게 됩니다. 보안 전문가들은 이러한 "장기 잠복 + 정밀 권력 탈취" 공격 모델이 여전히 산업에서 효과적으로 해결되지 않았다고 경고합니다.