본문으로 건너뛰기

라자루스 그룹 플레이북: 북한의 역대 67.5억 달러 암호화폐 절도 작전 내부 분석

· 약 10 분
Dora Noda
Dora Noda
Software Engineer

Safe{Wallet} 개발자인 "Developer1"이 2025년 2월 4일에 평범해 보이는 요청을 받았을 때, 그들은 자신의 Apple MacBook이 역사상 최대 규모의 암호화폐 강도 사건의 진입점이 될 것이라고는 전혀 예상하지 못했습니다. 17일 만에 북한의 라자루스 그룹(Lazarus Group)은 그 단 하나의 감염된 노트북을 이용해 바이비트(Bybit)에서 15억 달러를 훔쳤으며, 이는 일부 국가의 전체 GDP보다 많은 액수입니다.

이것은 일시적인 현상이 아니었습니다. 이는 국가가 주도하는 해커 그룹을 전 세계에서 가장 정교한 암호화폐 도둑으로 탈바꿈시킨 10년의 진화가 정점에 달한 결과이며, 이들이 훔친 누적 금액은 최소 67억 5천만 달러에 달합니다.

모든 거래소가 경각심을 가져야 할 숫자들

북한의 암호화폐 탈취 규모는 전례 없는 수준에 도달했습니다. Chainalysis의 암호화폐 범죄 보고서에 따르면, 북한 연계 행위자들은 2025년에만 20억 2천만 달러의 암호화폐를 훔쳤습니다. 이는 전년 대비 51% 증가한 수치이며, 전 세계 암호화폐 탈취 사건의 약 60%를 차지합니다.

하지만 가장 우려스러운 통계는 총액이 아니라 효율성입니다. 북한의 해킹 사건 전체 횟수는 2024년 대비 74% 감소했지만, 공격당 탈취 가치는 급증했습니다. 현재 라자루스 그룹은 암호화폐 산업의 모든 서비스 수준 침해 사고 중 76%를 차지하고 있으며, 이는 점유율이 상당히 낮았던 이전 몇 년에 비해 크게 늘어난 수치입니다.

이러한 변화는 TRM Labs가 명명한 "암호화폐 탈취의 산업화"를 의미합니다. 더 적은 공격으로 더 큰 수익을 올리고, 48시간 이내에 수억 달러를 처리할 수 있는 자금 세탁 인프라를 갖추게 된 것입니다.

바이비트 해킹 해부: 사회 공학의 정수

2025년 2월의 바이비트 해킹 사건은 북한 해커들이 전통적인 무차별 대입 방식을 넘어 얼마나 진화했는지를 보여주었습니다. FBI는 이 공격을 국가 주도 암호화폐 탈취의 대명사가 된 악성 사이버 캠페인인 "TraderTraitor"의 소행으로 규정했습니다.

공격 체인은 코드 취약점 공격이 아니라 인간에 대한 심리 조작에서 시작되었습니다.

1단계: 침해

Safe{Wallet}의 사후 분석에 따르면, 공격자들은 먼저 높은 시스템 접근 권한을 가진 개발자를 식별했습니다. 가짜 구인 제안이나 투자 기회를 포함한 표적형 피싱 캠페인을 통해 개발자가 악성 소프트웨어를 다운로드하도록 유도했습니다. 일단 설치된 맬웨어는 북한이 관리자의 MacOS 기기를 완전히 제어할 수 있게 했습니다.

2단계: 조용한 잠입

공격자들은 즉시 자금을 훔치는 대신 몇 주 동안 바이비트의 거래 패턴을 연구했습니다. 그들은 AWS 세션 토큰을 탈취하여 다요소 인증(MFA)을 완전히 우회했습니다. 또한 특정 바이비트 거래에 의해서만 실행되도록 설계된 휴면 페이로드를 사용하여 Safe{Wallet}의 웹사이트 코드를 수정했습니다.

3단계: 추출

2025년 2월 말, 바이비트 직원이 일반적인 거래를 승인하기 위해 Safe{Wallet}을 열었을 때 휴면 코드가 활성화되었습니다. 이 코드는 거래 승인 프로세스를 조작하여 당시 15억 달러 가치의 약 400,000 ETH를 공격자가 제어하는 지갑으로 리디렉션했습니다.

전체 탈취 과정은 바이비트 보안 팀의 눈앞에서 실시간으로 발생했습니다.

48시간 자금 세탁 기계

북한의 암호화폐 운영이 다른 사이버 범죄 기업과 구별되는 점은 자금 세탁 인프라의 속도와 정교함입니다. TRM Labs는 바이비트 해킹 발생 후 48시간 이내에 최소 1억 6천만 달러가 이미 불법 경로를 통해 처리되었으며, 일부 추정치에 따르면 이틀째 말까지 그 금액이 2억 달러를 넘어섰다고 보고했습니다.

이러한 신속한 세탁은 Chainalysis가 설명하는 약 45일간의 "다단계" 프로세스를 따릅니다.

0-5일차: 즉각적인 레이어링

도난당한 자금은 즉시 수백 개의 중간 지갑으로 분산됩니다. 공격자들은 THORChain 및 LI.FI와 같은 크로스 체인 브리지를 사용하여 블록체인 간 "체인 호핑(Chain hopping)"을 수행하며 이더리움을 비트코인으로, 그 다음에는 DAI와 같은 스테이블코인으로 전환합니다. 이러한 관할권 및 기술적 파편화는 포괄적인 추적을 매우 어렵게 만듭니다.

6-10일차: 초기 통합

혼합된 자산은 트론(Tron) 기반의 USDT로 전환되는데, 이는 대량 세탁을 위해 더 빠른 거래와 더 낮은 수수료를 제공하기 때문입니다. 자금은 수천 개의 새로운 주소에 나누어 배치되며, 각 주소는 거래소의 모니터링 임계값을 피할 수 있을 만큼 소액을 보유합니다.

20-45일차: 최종 통합

세탁된 USDT는 주로 중국과 동남아시아에 거점을 둔 장외거래(OTC) 브로커 네트워크에 도달합니다. 이 브로커들은 암호화폐를 받고 중국 유니온페이(UnionPay) 카드를 통해 북한이 통제하는 은행 계좌에 그에 상응하는 법정 화폐를 입금합니다.

바이비트 해킹이 발생한 지 한 달도 채 되지 않은 2025년 3월 20일, CEO 벤 저우(Ben Zhou)는 공격자들이 도난당한 ETH의 86.29%를 비트코인으로 전환했음을 확인했으며, 이는 이러한 산업화된 세탁 프로세스의 효율성을 입증합니다.

Sony에서 수십억 달러 규모의 강도 사건까지의 진화

라자루스 그룹(Lazarus Group)을 이해하려면 이들이 정치적 해커 활동가에서 세계 최고의 암호화폐 절도범으로 진화한 과정을 추적해야 합니다.

2014년: 소니 픽처스 공격

이 그룹은 김정은 암살을 묘사한 영화 "더 인터뷰(The Interview)"에 대한 보복으로 소니 픽처스의 인프라를 파괴하면서 처음으로 국제적인 악명을 떨쳤습니다. 이들은 회사 네트워크 전체의 데이터를 삭제하는 와이퍼(wiper) 악성코드를 배포하는 동시에 당혹스러운 내부 통신 내용을 공개적으로 유출했습니다.

2016년: SWIFT 강도 사건

라자루스는 SWIFT 국제 은행 시스템을 통해 방글라데시 은행에서 약 10억 달러를 훔치려 시도함으로써 금융 탈취에 대한 야망을 드러냈습니다. 오타로 인해 전액 도난은 면했지만, 그럼에도 불구하고 8,100만 달러를 챙겨 달아났습니다. 이 수치는 나중에 보면 오히려 소박해 보일 정도입니다.

2017-2019년: DeFi로의 전환

암호화폐의 가치가 폭등하자 라자루스는 거래소를 타겟으로 방향을 틀었습니다. 빗썸(700만 달러), 유빗(Youbit) 및 기타 플랫폼에 대한 초기 공격은 암호화폐 업계에서 그들의 명성을 확립했습니다. 이러한 공격은 일반적으로 구인 제안이나 보안 업데이트로 위장한 악성코드가 포함된 스피어 피싱 이메일을 활용했습니다.

2022년: 6억 2,000만 달러 규모의 로닌 네트워크 공격

로닌 네트워크(Ronin Network) 해킹은 전환점이 되었습니다. 공격자들은 수석 엔지니어에게 보낸 가짜 링크드인(LinkedIn) 구인 제안을 통해 Sky Mavis를 침해(Axie Infinity 개발사)했습니다. 일단 내부에 침입한 후, 이들은 충분한 검증인 키를 장악할 때까지 횡적 이동을 감행하여 네트워크에서 6억 2,000만 달러 상당의 ETH와 USDC를 탈취했습니다.

2023년: 타겟의 중앙집중화

라자루스는 탈중앙화 프로토콜에서 중앙 집중식 서비스 제공업체로 초점을 옮겼습니다. 3개월 동안 이들은 아토믹 월렛(Atomic Wallet, 1억 달러), 코인스페이드(CoinsPaid, 3,730만 달러), 알파포(Alphapo, 6,000만 달러), 스테이크닷컴(Stake.com, 4,100만 달러), 코인엑스(CoinEx, 5,400만 달러)를 공격했습니다. FBI는 각 공격의 배후가 북한임을 확인했습니다.

2024-2025년: 산업화된 절도

WazirX 해킹(2억 3,490만 달러)과 바이비트(Bybit) 강도 사건(15억 달러)은 현재의 진화 단계를 보여줍니다. 공격 횟수는 줄어들었지만 영향력은 극대화되었으며, 수십억 달러를 처리할 수 있는 자금 세탁 인프라를 갖추게 되었습니다.

인적 요인: 트로이 목마가 된 IT 노동자들

직접적인 해킹 외에도 북한은 연구자들이 "Wagemole" 전략이라고 부르는 방식을 전개해 왔습니다. 이는 전 세계의 합법적인 기업 내부에 위장 IT 노동자를 잠입시키는 전략입니다.

이러한 요원들은 허위 신분을 사용하거나 유령 회사를 통해 원격 기술직을 얻습니다. 일단 고용되면 이들은 합법적인 직원으로 활동하면서 해킹 팀에 정보를 제공합니다. 어떤 경우에는 자격 증명을 제공하거나, 보안 시스템을 비활성화하거나, 사기 거래를 승인함으로써 직접적으로 절도를 돕기도 합니다.

Chainalysis에 따르면, 2024년에만 12개 이상의 암호화폐 기업에 IT 노동자로 위장한 북한 요원이 침투했습니다. 디파이언스 캐피털(DeFiance Capital) 침해 사건은 라자루스 요원들이 스마트 컨트랙트 개발자로 위장하여 회사에 침투한 후 발생한 것으로 알려졌습니다.

이 전략은 업계에 근본적인 과제를 제시합니다. 공격자가 이미 합법적인 액세스 권한을 가지고 있는 경우 전통적인 경계 보안은 무용지물이 되기 때문입니다.

"ClickFake" 캠페인: 무기화된 구인 제안

2023년에 시작되어 현재까지 진행 중인 DEV#POPPER 캠페인은 라자루스의 진화하는 사회 공학적 기법의 정교함을 보여줍니다.

공격은 깃허브(GitHub)나 링크드인과 같은 전문 플랫폼에서 시작됩니다. 공격자는 채용 담당자나 동료로 위장하여 타겟에게 커리어 기회에 대한 대화를 시도합니다. 대화는 점차 왓츠앱(WhatsApp)과 같은 개인 메시징 플랫폼으로 이동하며, 여기서 몇 주 동안 관계 형성이 지속됩니다.

결국 타겟은 기술 평가나 암호화폐 거래 관련 도구로 설명된, 겉보기에 합법적인 깃허브 리포지토리를 클론하도록 초대받습니다. 이러한 리포지토리에는 통합 시 백도어 악성코드를 설치하는 악성 노드 패키지 매니저(npm) 종속성이 포함되어 있습니다.

"BeaverTail"이라 불리는 이 악성코드는 장기적인 지속성과 데이터 유출 기능을 제공합니다. 공격자는 키 입력 모니터링, 스크린샷 캡처, 브라우저 자격 증명 접근을 할 수 있으며, 최종적으로 암호화폐 지갑을 비우는 데 필요한 개인 키를 획득할 수 있습니다.

최근의 변종에는 원격 코드 실행을 위해 합법적인 pyyaml 라이브러리를 활용함으로써 대부분의 안티바이러스 탐지를 우회하는 가짜 파이썬(Python) 프로젝트("MonteCarloStockInvestSimulator-main.zip" 등)로 위장한 파일이 포함되어 있습니다.

도난당한 수십억 달러가 중요한 이유

라자루스 그룹이 훔친 암호화폐는 개인 계좌로 사라지지 않습니다. 윌슨 센터(Wilson Center)의 분석에 따르면, 이 자금은 북한의 무기 프로그램의 핵심 수익원으로 사용됩니다.

국가보위성(MSMT) 보고서는 이 수익원이 "북한의 불법 대량살상무기 및 탄도 미사일 프로그램을 위한 재료와 장비를 조달하는 데" 필수적이라고 결론지었습니다.

이러한 연결 고리는 암호화폐 보안을 단순한 금융 문제를 넘어 국제 안보의 문제로 격상시킵니다. 해킹의 성공은 곧 지역 및 글로벌 안정을 위협하는 무기 개발의 자금이 됩니다.

국가 차원의 공격자로부터의 방어

바이비트(Bybit) 해킹 사건은 고도의 보안 체계를 갖춘 풍부한 자원의 거래소조차 취약할 수 있음을 보여주었습니다. 라자루스(Lazarus)의 방법론을 분석하면 다음과 같은 몇 가지 교훈을 얻을 수 있습니다.

인적 계층 우선

대부분의 주요 해킹은 기술적 취약점이 아닌 사회공학적 기법에서 시작됩니다. 조직은 외부 통신, 특히 채용 제안, 투자 기회 또는 기술 협력 요청과 관련된 사항에 대해 엄격한 검증 프로토콜을 구현해야 합니다.

침해 가정

"웨이지몰(Wagemole)" 전략은 내부 행위자가 이미 침해되었을 수 있음을 의미합니다. 중요한 트랜잭션에 대한 다자간 승인(multi-party authorization), 직무 분리, 지속적인 행동 모니터링이 필수적입니다.

하드웨어 보안 모듈

다중 서명(multi-signature) 지갑을 사용하더라도 소프트웨어 기반의 키 관리는 라자루스를 막기에 불충분한 것으로 드러났습니다. 트랜잭션 승인을 위해 물리적 상호작용이 필요한 하드웨어 보안 모듈(HSM)은 추가적인 장벽을 형성합니다.

트랜잭션 속도 제한

단일 트랜잭션에서 15억 달러를 탈취할 수 있다는 것은 근본적인 설계 결함을 나타냅니다. 속도 제한과 대규모 출금 시 시간 지연(time-delay)을 구현하면 기본 제어 장치가 실패하더라도 탐지 시간을 확보할 수 있습니다.

블록체인 포렌식 통합

블록체인 분석 플랫폼과의 실시간 통합을 통해 의심스러운 트랜잭션 패턴을 식별하고 자금 세탁 네트워크를 통과하는 자금을 추적할 수 있습니다. 조기 탐지는 자금 회수 가능성을 높입니다.

향후 과제

북한의 암호화폐 탈취 작전은 기회주의적 해킹에서 산업화된 국가 주도의 금융 범죄로 진화했습니다. 이 그룹이 누적 67.5억 달러를 도난했다는 사실은 국가 차원의 결단력 있는 적대 세력에 대해 전통적인 보안 접근 방식이 불충분함을 입증합니다.

업계는 냉혹한 선택에 직면해 있습니다. 위협에 상응하는 보안 조치를 구현하거나, 적대적인 국가 행위자들을 위한 ATM 역할을 계속하는 것입니다. 이해관계가 걸린 자금의 규모와 그 자금이 궁극적으로 무기 개발에 사용된다는 점을 고려할 때, 이는 단순한 비즈니스 결정이 아닌 글로벌 안보의 문제입니다.

거래소, 수탁 기관(custodian), DeFi 프로토콜에 있어 라자루스 그룹의 수법은 경종을 울리는 계기가 되어야 합니다. 공격자들은 인내심(침해된 시스템 내에서 수주간 대기), 정교함(세션 토큰 하이재킹을 통한 MFA 우회), 효율성(48시간 이내에 수억 달러 세탁)을 증명해 보였습니다.

문제는 북한 해커들이 또 다른 10억 달러 규모의 강탈을 시도할지 여부가 아닙니다. 문제는 그들이 시도할 때 업계가 더 잘 준비되어 있을지 여부입니다.

BlockEden.xyz는 보안 모니터링 및 이상 탐지 기능이 내장된 엔터프라이즈급 블록체인 인프라를 제공합니다. 당사의 RPC 엔드포인트는 Web3 애플리케이션을 보호하기 위해 실시간 위협 인텔리전스 통합을 지원합니다. 안전한 기반 위에 구축하려면 API 마켓플레이스를 확인해 보세요.

Share on Twitter