암호화폐 업계는 2025년에 전 세계 암호화폐 도난이 대폭 증가하는 심각한 사태를 겪었으며, 체이널리시스(Chainalysis)의 새 보고서에 따르면 1월부터 12월 초까지 피해액이 34억 달러를 넘었습니다.
이 사태는 주로 북한 연계 해커들에 의해 발생했으며, 이들이 올해 도난 자금의 대부분을 차지했습니다.
북한, 암호화폐 20억달러 탈취 내막
체이널리시스는 최신 보고서에서, 조선민주주의인민공화국(DPRK)의 공격 빈도가 상당히 감소했음에도 불구하고 암호화폐 절도 규모에서는 역대 최고 기록을 달성했다고 밝혔습니다.
Sponsored북한 해커들은 2025년에 최소 20억2000만 달러 상당의 디지털 자산을 탈취했습니다. 이는 전년 대비 51% 증가입니다. 2020년과 비교하면 약 570% 급증한 수치입니다.
“올해 사상 최대의 탈취액은 알려진 사건 수가 상당히 적었음에도 달성됐습니다. 이런 변화—더 적은 사건으로 훨씬 더 큰 수익을 올리는 상황—는 2025년 3월 발생한 대규모 바이빗(Bybit) 해킹의 영향을 반영합니다.”라고 체이널리시스는 언급했습니다.
또한, 보고서에 따르면 DPRK 연계 행위자들은 올해 발생한 전체 서비스 침해 중 76%라는 최고 기록을 차지한 것으로 나타났습니다.
이 수치를 모두 합치면, 2025년 기준 북한에 의해 탈취된 암호화폐 자금의 최소 누적 추정액은 67억5000만 달러에 달합니다.
“이 변화는 장기적 경향의 연속입니다. 북한 해커들은 오랫동안 매우 높은 수준의 전문성을 보여왔으며, 2025년 그들의 활동은 전술과 주요 목표 모두에서 계속 발전하고 있음을 나타냅니다.” – 앤드루 피어만, 체이널리시스 국가안보 인텔리전스 책임자
과거 데이터를 바탕으로 체이널리시스는 북한이 여타 위협 행위자보다 더 고액의 공격을 꾸준히 수행하고 있다고 밝혔습니다.
“이 패턴은 북한 해커들이 공격할 때 대규모 서비스를 집중적으로 노리고 최대한의 효과를 목표로 삼는다는 점을 다시 한번 보여줍니다.”라고 보고서에 나와 있습니다.
체이널리시스에 따르면, 북한 연계 해커들은 암호화폐 관련 기업 내에 기술 직책으로 침투한 요원들을 배치함으로써 점점 더 대규모 피해를 일으키고 있습니다. 이 방식은 주요 공격 벡터 중 하나로, 위협 행위자들이 우선 접근 권한을 얻고 더 치명적인 침입을 실행하도록 돕고 있습니다.
7월에는 블록체인 조사자 잭엑스비티(ZachXBT)가 북한 연계 요원들이 암호화폐 산업 전반에 걸쳐 345~920개 일자리에 침투했다는 폭로를 공개한 바 있습니다.
Sponsored Sponsored“올해 기록적인 해킹은 거래소, 커스터디안, 웹3 기업에서 IT직원 침투에 더욱 의존하게 된 결과일 수 있습니다. 이로 인해 대규모 절도 전에 초기 접근과 수평 이동이 빨라집니다.”라고 보고서는 밝혔습니다.
위협 행위자들은 또한 채용 사기와 유사한 방식으로, 고용주로 가장해 이미 업계에서 일하는 개인들을 표적으로 삼고 있습니다.
또한, BeInCrypto는 최근 해커들이 허위 Zoom 및 마이크로소프트 팀즈(Microsoft Teams) 회의에서 신뢰받는 업계 관계자로 위장했다고 보도했습니다. 이 수법으로 이들은 3억 달러 이상을 훔쳤습니다.
“DPRK는 항상 새로운 공격 벡터와 취약점이 존재하는 영역을 찾아내 자금을 탈취하려고 시도합니다. 북한 정권이 글로벌 경제에 접근하지 못하는 상황과 결합하면, 정권에 가능한 한 많은 자본을 얻으려는 동기 부여와 높은 전문성을 갖춘 국가 차원의 위협 세력이 탄생합니다. 그 결과, 올해는 중앙화 서비스의 개인키 유출이 절도 규모의 상당 부분을 차지했습니다.”라고 피어만이 설명했습니다.
체이널리시스, 북한 해커 45일 돈세탁 방식 분석
체이널리시스는 북한의 자금 세탁 양식이 다른 집단과 확연히 다르다고 밝혔습니다. 보고서에 따르면, DPRK 연계 행위자들은 온체인상에서 상대적으로 소규모 단위로 자금을 세탁하며, 전체 거래량의 60% 이상이 50만 달러 미만 거래에 집중되고 있습니다.
반면, DPRK가 아닌 위협 행위자는 절취 자금의 60%를 훨씬 큰 단위로 옮기며, 종종 100만 달러에서 1000만 달러 이상에 이릅니다. 체이널리시스는 이 구조가 전체 도난 규모는 더 크지만, 북한 쪽이 훨씬 더 치밀하고 정교하게 세탁 작업을 운영하고 있음을 보여준다고 설명했습니다.
Sponsored이 회사는 서비스 이용 양상에서도 뚜렷한 차이점을 확인했습니다. 북한 연계 해커들은 중국어 기반 자금 이동 및 보증 서비스, 거래 내역을 감추는 브릿지와 믹싱 툴에 크게 의존하고 있습니다. 또한 후이원(Huione) 같은 특화 플랫폼을 통해 자금 세탁을 진행합니다.
반면, 다른 절도 행위자들은 디파이 거래소, 중앙화 플랫폼, P2P 서비스 및 대출 프로토콜을 더 자주 이용합니다.
“이런 패턴은 DPRK가 비국가 후원 사이버 범죄자들과는 다른 제약과 목표 하에 움직인다는 점을 시사합니다. 북한 해커들이 전문 중국어 자금 세탁 서비스와 OTC 트레이더를 적극 활용하는 모습은, DPRK 위협 행위자들이 아시아 태평양 지역의 불법 세력과 밀접하게 통합돼 있고, 중국 기반 네트워크를 활용해 국제 금융 시스템에 접근해 온 평양의 역사와도 부합합니다.”라고 회사는 언급했습니다.
체이널리시스는 45일 동안 반복되는 자금세탁 패턴도 관찰했습니다. 해킹 발생 직후(0~5일차)에는 북한 연계 조직이 탈취한 자금을 출처로부터 신속히 분리하는 데 중점을 둡니다. 이 시기 디파이 프로토콜과 믹싱 서비스 이용이 크게 증가한다고 보고서는 밝혔습니다.
2주차(6~10일차)에는 더 폭넓은 통합이 가능한 서비스로 이동이 전환됩니다. 자금 흐름은 중앙화 거래소와 신원확인(KYC) 요건이 낮은 플랫폼으로 유입되기 시작합니다.
자금세탁 활동은 2차 믹싱 서비스에서 다소 완화된 강도로 계속됩니다. 이와 동시에 크로스체인 브릿지가 자금 이동을 더 은폐하는 데 활용됩니다.
“이 단계는 자금이 잠재적 현금화 경로로 이동하기 시작하는 중요한 전환기에 해당합니다.”라고 해당 기업이 밝혔습니다.
마지막 단계(20~45일차)에서는 자금 전환 또는 현금화에 유리한 서비스와의 상호작용이 증가합니다. 신원확인 없는 거래소, 보장 서비스, 즉시 교환 플랫폼, 중국어 서비스 이용이 두드러지며, 다시 중앙화 거래소를 활용해 불법 자금을 정상 거래와 혼합하는 사례가 나타납니다.
Sponsored Sponsored체이널리시스는 반복되는 45일 세탁 주기가 법 집행 기관에 중요한 통찰을 제공한다고 강조했습니다. 이 패턴은 해커들이 겪는 운영상의 제약과 특정 중개인에 대한 의존도를 반영한다고 설명했습니다.
“북한은 빠르고 효과적인 자금세탁 전략을 실행합니다. 그러므로 업계 전체의 신속한 대응이 필요합니다. 거래소, 블록체인 분석 업체를 비롯한 민간 부문과 법률 집행 기관이 유기적으로 협력해, 스테이블코인이나 즉시 동결 가능한 거래소 이동 등 기회가 있는 즉시 불법 자금을 차단해야 합니다.”라고 피어맨이 논평했습니다.
모든 탈취 자금이 이 일정대로 이동하는 것은 아니지만, 이 패턴이 온체인에서 흔히 나타나는 양상임을 의미합니다. 팀은 또한, 개인키 이전, 오프체인 OTC 거래 등 일부 활동은 블록체인 데이터만으로는 확인할 수 없는 사각지대가 있음을 인정했습니다.
2026년 전망
체이널리시스 국가안보정보 책임자는 BeInCrypto에, 북한이 이용 가능한 모든 취약점을 탐색할 가능성이 높다고 밝혔습니다. 올해 바이빗, BTCTurk, 업비트 사건은 중앙화 거래소가 커지는 압력을 받고 있음을 시사하지만, 해킹 수법은 언제든 달라질 수 있다고 설명했습니다.
최근 밸런서, 연파인 관련 해킹 사례는 오랜 기간 운영된 프로토콜도 공격 목표가 되고 있음을 보여줍니다. 그는 다음과 같이 말했습니다.
“2026년에 어떤 일이 있을지 단언할 수는 없지만, 북한은 목표물에서 최대 수익을 추구할 것입니다. 예치금이 많은 서비스일수록 높은 보안 기준을 유지해야 다음 공격의 표적이 되는 일을 방지할 수 있습니다.”
보고서는 북한이 점점 더 암호화폐 절도에 의존해 국가 과제에 자금을 조달하고 국제 제재를 회피함에 따라, 업계는 이 위협 주체가 일반 사이버 범죄자와 본질적으로 다른 제약과 동기 속에서 움직이고 있음을 인식해야 한다고 강조했습니다.
“해당 국가가 74% 감소한 알려진 공격 건수로 신기록을 세운 2025년 실적을 볼 때, 지금 우리가 확인한 것은 활동 전체 중 눈에 잘 띄는 일부에 불과할 가능성이 높습니다.”라고 체이널리시스는 덧붙였습니다.
해당 기업은 2026년 진입에 앞서 가장 중요한 과제로, Bybit 해킹 수준에 버금가는 사건이 북한 연계 조직에 의해 실행되기 전에 이러한 고위험 작전을 조기에 식별하고 차단하는 것이 될 것이라고 밝혔습니다.
