북한 연계 해킹 조직이 가상자산 탈취 전략을 '대형 표적 집중'으로 바꾸며 올해 약 20억2천만 달러(약 3조 원)를 빼앗은 것으로 나타났다.
21일 보안업계에 따르면 미국 블록체인 분석 기업 체이널리시스(Chainalysis)는 최근 보고서에서 북한의 2025년 가상자산 탈취액이 2024년(약 13억 달러) 대비 51% 증가한 20억2천만 달러(약 3조 원)로 역대 최대를 기록했다고 밝혔다.
올해 전 세계 가상자산 서비스 침해액 중 북한 비중은 76%에 달한다.공격 횟수는 전년 대비 74% 급감했으나 건당 피해 규모가 비약적으로 커졌다.
과거 보안 취약한 탈중앙화 금융(DeFi) 브리지를 주로 노리던 북한은 올해 업비트·바이비트(Bybit) 등 중앙화 거래소(CEX)와 핵심 인프라를 정조준했다.
체이널리시스는 “북한 해커들은 수개월간 타깃을 정밀 분석한 뒤 단 한 번의 성공으로 수억 달러를 빼낼 수 있는 '대어'에 모든 자원을 투입한다”고 분석했다.
대표 사례로 지난 2월 바이비트 15억 달러 해킹 사건을 꼽았다.탈취 자금 세탁 과정에서도 북한 특유 패턴이 드러났다.
훔친 자산의 60% 이상을 50만 달러(약 7억4천만 원) 이하 소액으로 쪼개 수천 개 주소로 옮기는 '개미떼 세탁' 수법을 사용한다.
이는 거래소와 수사 당국의 AI 모니터링을 회피하기 위한 전략으로, 보통 45일 이내에 1차 세탁을 마무리한다.
해킹 직후 집중 감시를 '스테이징' 단계로 버틴 뒤 감시가 느슨해지는 시점에 자금을 이동시킨다.
북한 자금 세탁의 핵심 노드로 캄보디아 기반 결제 그룹 '후이원(Huione)'이 지목됐다.
미국 재무부 금융범죄단속망(FinCEN)은 올해 후이원을 '주요 자금세탁 우려 기관'으로 지정했다.
후이원은 2021년부터 2025년 초까지 최소 40억 달러의 불법 자금을 세탁했으며, 상당액이 북한 사이버 공격에서 유입된 것으로 파악됐다.
규제가 느슨한 동남아 결제망과 중국계 장외거래(OTC) 브로커를 연결해 북한 자금을 법정화폐로 환전하는 역할을 했다.
전문가들은 북한 해킹이 단순 기술 침투를 넘어 '사회공학적 기법'으로 진화했다고 지적한다.
최근 북한은 유명 테크 기업 채용 담당자를 사칭해 IT 인력에게 접근, '기술 면접' 명목으로 악성 코드를 배포하거나 내부 접근권을 탈취하는 수법을 즐겨 쓴다.
체이널리시스는 “북한은 더 적은 공격으로 더 큰 수익을 내는 정교한 국가 차원 금융 작전을 수행할 능력을 갖췄다”며 “가상자산 업계는 특정 금액 이상 거래를 걸러내는 전통 방식에서 벗어나, 북한 특유의 소액 분할 송금 패턴과 지리적 선호도를 실시간 포착하는 '패턴 기반 탐지 역량'을 강화해야 한다”고 강조했다.