2025년 2월 21일, 세계 최대 가상자산 거래소 중 하나인 바이비트는 전례 없는 사이버 공격을 받아 약 15억 달러의 이더리움 토큰을 도난당했습니다. 이 사건은 이전의 유명 거래소 침해 사고를 능가하는 사상 최대 규모의 공격으로 기록되었으며, 사이버 범죄의 고도화에 대한 심각한 우려를 불러일으켰습니다.
15억 달러 규모의 해킹 규모를 파악하기 위해 TRM의 2025년 암호화폐 범죄 보고서에 따르면 북한은 2024년 한 해 동안 약 8억 달러의 가상자산 도난(TRM이 보통 이상의 신뢰도를 가진 공격만 포함)에 책임이 있는 것으로 나타났습니다. 이 보고서에 따르면 북한은 2024년 전체 도난 자금의 약 35%를 차지했으며, 북한의 공격은 다른 행위자들의 공격보다 거의 5배 더 많은 것으로 나타나 북한이 영향력이 큰 작전에 중점을 두고 있음을 알 수 있습니다.
바이비트 해킹 직후 TRM은 해킹된 주소를 '해킹' 또는 '도난 자금'으로 식별하고 태그를 붙였으며, '바이비트 익스플로잇 2025'라는 전담 추적 기관을 설립하여 도난 자산의 이동을 실시간으로 모니터링하고 있습니다.
블록체인 인텔리전스 통해, TRM Labs 은 북한 해커가 이번 유출 사건의 배후이며, 과거 국가가 후원한 암호화폐 절도 사건과 연관되어 있음을 확인했습니다. 증거를 통해 이번 작전에 사용된 지갑과 과거 북한의 절도 사건과 관련된 지갑이 명백하게 겹친다는 사실이 밝혀졌습니다. 2025년 2월 26일, FBI 공식적으로 이 절도 사건을 북한과 연관시켰습니다.
TRM에 따르면 이번 어트리뷰션 2017년부터 50억 달러 이상의 가상자산 탈취한 북한의 오랜 사이버 작전 패턴과 일치합니다. 바이비트 공격은 피싱, 공급망 침해, 개인 키 도난 등의 방법을 통해 중앙화된 암호화폐 거래소를 표적으로 삼는 북한의 기존 전술을 반영하며, 이는 4,100개 이상의 개별 주소에서 1억 달러 규모의 가상자산 탈취한 2023년 아토믹 월렛 해킹과 같은 사건에 사용된 전략과 유사합니다.
진화하는 자금세탁 전략
바이비트 해킹의 규모도 놀랍지만, 도난당한 자금이 세탁되는 속도가 더욱 놀랍습니다. 48시간 이내에 최소 1억 6천만 달러가 불법적인 경로를 통해 유출되었으며, 2월 23일까지는 총액이 2억 달러를 넘어선 것으로 추정하고 있습니다. 2월 26일까지는 4억 달러 이상이 이동되어 전례 없는 수준의 운영 효율성을 보여주었습니다.
2025년 2월 26일 현재 세탁 프로세스에는 여러 중개 지갑을 통한 송금, 다른 암호화폐로의 전환, 탈중앙화 거래소 및 크로스 체인 브리지를 사용하여 추적을 난독화할 수 있습니다.
이러한 빠른 자금 세탁은 북한이 자금 세탁 인프라를 확장했거나 특히 중국 내 지하 금융 네트워크가 불법 자금을 흡수하고 처리하는 능력을 강화했음을 시사합니다. 기존의 자금세탁 방지 메커니즘으로는 불법 거래의 규모와 속도를 따라잡기 어렵기 때문에 수사관들은 새로운 과제를 안고 있습니다.
역사적으로 북한 사이버 범죄자들은 훔친 자금을 법정화폐로 전환하기 전에 가상자산 믹서에 의존해 훔친 자금의 출처를 모호하게 만들었습니다. 그러나 바이비트 공격에서 탈취한 막대한 양의 자산은 기존의 믹싱 서비스를 비현실적으로 만들었습니다. 대신 공격자들은 여러 중개 지갑, 탈중앙화 거래소, 크로스 체인 브릿지 등 다각적인 전략을 채택하여 자금의 출처를 빠르게 난독화했습니다.
처음에는 탈취된 이더리움의 일부가 바이낸스(Binance) 스마트 체인, 솔라나 등의 네트워크를 경유했지만, 현재는 대부분 비트코인으로 직접 전환되었습니다. 자산의 빠른 이동에도 불구하고 전환된 비트코인의 대부분은 거의 정지된 상태로 남아 있어 해커들이 장외거래(OTC) 네트워크를 통해 대규모 청산 또는 추가 난독화를 준비하고 있음을 시사합니다.
이러한 세탁 전술의 변화는 북한 사이버 활동에 대한 TRM 보고서에 자세히 설명된 대로 북한이 크로스 체인 브릿지와 대량 거래 전략에 대한 의존도가 높아지고 있음을 반영합니다. 이전 절도 사건에서 북한 해커들은 렌 브리지, 애벌랜치 브리지와 같은 플랫폼을 활용하여 자금을 비트코인으로 전환한 후 신바드, 요믹스, 와사비 월렛, 크립토믹서 등의 믹서를 사용했습니다. 그러나 믹싱 서비스에 대한 조사가 강화되고 토네이도 캐시 같은 플랫폼에 대한 단속이 강화되면서 북한은 이제 기존의 익명성보다 속도와 자동화를 우선시하는 것으로 보입니다.
TRM의 북한 전문가이자 전 FBI 주제 전문가인 닉 칼슨은 "바이비트 익스플로잇은 북한 정권이 여러 플랫폼에서 빠르고 빈번한 거래로 규정 준수 팀, 블록체인 분석가, 법 집행 기관을 압도하여 추적 노력을 복잡하게 만드는 "플러드 더 존" 기술을 강화하고 있음을 보여줍니다."라고 말했습니다.
위조에서 암호화까지
북한은 수십 년 동안 핵 야망, 인권 침해, 불법 금융 활동으로 인해 국제 사회의 제재를 받는 불량 국가로 운영되어 왔습니다. 경제적 고립에 직면한 북한은 오랫동안 범죄 기업에 의존해 정권의 자금을 조달해 왔으며, 정교한 글로벌 불법 수익원 네트워크를 개발해 왔습니다. 북한은 가상자산 절도에 연루되기 훨씬 전부터 미국 달러를 대규모로 위조하여 거의 완벽한 '슈퍼노트'를 생산했으며, 위조 담배 밀수, 마약 밀매, 무기 판매에도 관여했습니다.
2016년, 북한 해커들은 방글라데시 은행 강도를 통해 금융 사이버 범죄를 확대했는데, 북한 해커들은 SWIFT 은행 네트워크에 침투하여 10억 달러를 훔치려다 8,100만 달러를 훔쳐 달아나는 데 성공했습니다. 이 공격은 국가가 사이버를 이용해 대규모 금융 범죄를 저지른 최초의 인스턴스 , 북한의 사이버 역량이 고도화되었을 뿐만 아니라 금융 절도에만 집중하고 있다는 사실을 입증했습니다.
북한 해커들은 김정은에 대한 풍자 영화 ' 인터뷰' 개봉 이후 소니 픽처스의 시스템을 마비시킨 보복성 사이버 공격인 2014년 소니 픽처스 해킹을 포함해 전 세계를 대상으로 공격을 계속했습니다. 제재가 강화되고 전통적인 범죄 활동이 어려워지자 북한은 가상자산 거래소와 탈중앙화 금융 플랫폼에서 이상적인 표적을 찾았고, 신흥 디지털 자산 생태계의 취약점을 악용하여 수십억 달러를 훔쳤습니다. 불법 거래와 사이버 강도에 의존하던 북한은 이제 대규모 암호화폐 절도를 위한 국가적 캠페인으로 발전하여 전 세계에서 가장 많은 금융 사이버 범죄를 저지르는 국가로 자리매김했습니다.
북한 암호화폐 강탈의 역사
바이비트 해킹은 북한 라자루스 그룹이 연루된 일련의 유명한 가상자산 절도 사건 중 가장 최근의 사건입니다. 라자루스 그룹은 우리가 생각하는 전통적인 방식의 국가 후원을 받는 단체가 아닙니다. 라자루스 그룹은 북한이고 북한은 라자루스 그룹입니다. 이 사이버 범죄자들은 가상자산 생태계의 취약점을 악용하기 위해 지속적으로 전술을 조정하고 발전시키는 능력을 보여 왔습니다.
- 아토믹 월렛 해킹 (2023년 6월): 북한 해커들이 비수탁형 지갑 제공업체인 아토믹 월렛의 사용자를 표적으로 삼아 4,100개 이상의 개별 주소에서 약 1억 달러 상당의 가상자산 도난당했습니다. 공격의 특성상 피싱 또는 공급망 침해를 통해 실행되었을 가능성이 높습니다.
- 스테이크 익스플로잇 (2023년 9월): FBI 온라인 카지노 및 베팅 플랫폼인 스테이크닷컴에서 약 4,100만 달러의 암호화폐 자산을 도난당한 배후에 라자루스 그룹이 있음을 확인했습니다. 도난당한 자산은 이더리움, 바이낸스(Binance) 스마트 체인, 폴리곤 블록체인의 스테이크가 관리하는 주소에서 탈취되었습니다.
- 로닌 브리지 해킹 (2022년 3월): 가장 중요한 디파이(Defi) 익스플로잇에서 북한 해커들은 액시 인피니티 게임과 관련된 크로스 체인 다리인 로닌 브릿지를 해킹하여 6억 달러 이상의 암호화폐를 탈취했습니다.
- 와지르엑스 거래소 침해 (2024): 북한 국가가 후원하는 해커들이 인도 최대 가상자산 거래소인 와지르엑스에서 2억 3,500만 달러를 탈취했으며, 2024년에 여러 건의 가상자산 절도를 통해 6억 5,900만 달러의 수익을 올린 광범위한 캠페인의 일환입니다.
- DMM(일본 가상자산 거래소) 비트코인 거래소 해킹 (2024): 일본의 DMM(일본 가상자산 거래소) 비트코인 거래소에서 3억 5천만 달러 상당의 비트코인을 도난당한 사건이 발생하여 그 해 북한의 가상자산 도난액이 13억 4천만 달러를 기록하는 데 기여했습니다.
이러한 사건들은 중앙화된 거래소, 탈중앙화된 금융 플랫폼, 개인 지갑 제공업체를 노리는 북한 사이버 공격자들의 패턴을 잘 보여줍니다. 이들은 정교한 사회 공학, 피싱 캠페인, 소프트웨어 취약점을 악용하여 디지털 자산에 무단으로 액세스하는 방법을 주로 사용합니다.
대응 방안과 업계의 대응
바이비트 공격에 대응하기 위해 거래소는 동결 또는 복구에 성공한 자산에 대해 10%의 보상을 제공하는 포상금 프로그램을 시행했습니다. 이 이니셔티브는 전문 블록체인 조사관과 독립 분석가를 모두 동원하여 세탁 네트워크에 대한 조사를 강화하고 가해자를 더욱 복잡하게 만드는 것을 목표로 합니다. 이러한 협력 노력은 거래소와 보안 회사가 재정적 인센티브를 활용하여 조사 자원을 크라우드소싱하고 불법 거래에 대한 실시간 추적을 강화하는 광범위한 업계 트렌드를 반영합니다.
동시에 TRM은 법 집행 기관, 국가 보안 기관, 규제 기관 및 광범위한 가상자산 업계와 긴밀히 협력하여 도난당한 자금을 추적, 동결 및 회수하기 위해 끊임없이 노력하고 있습니다.
이번 공격은 사이버 보안 조치 개선, 실시간 거래 모니터링, 강력한 국가 간 정보 공유가 시급히 필요하다는 점을 강조합니다. 이러한 규모의 공격을 조율하고 훔친 자금을 신속하게 세탁하는 국가 행위자와 사이버 범죄자들의 능력은 금융 범죄 네트워크가 점점 더 정교해지고 있음을 나타냅니다.
트론, 솔라나 및 기타 23개 블록체인에 대한 보도 내용을 확인하세요.
양식을 작성하여 조사 전문 서비스에 대해 저희 팀과 상담하세요.
