"6개월 공들여 털었다"…北 배후 '4300억원 거래소 해킹' 전말은?

작성일 04-07

<div id="layerTranslateNotice" style="display:none;"></div> 
 <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> 
 <section dmcf-sid="FW5u5ju5vK">
 <figure class="figure_frm origin_fig" contents-hash="3fc31568b5af6dc3cabb25ffa1e986b7c2f52fd579273413b83ffb9f28edf65c" dmcf-pid="3Y171A71Cb" dmcf-ptype="figure">
 <img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202604/07/552796-pzfp7fF/20260407162812040rdkl.jpg" data-org-width="640" dmcf-mid="1PQnQXnQC2" dmcf-mtype="image" height="auto" src="https://img3.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202604/07/552796-pzfp7fF/20260407162812040rdkl.jpg" width="658">
 </figure>
 [디지털데일리 김보민기자] 솔라나 기반 탈중앙화 거래소 '드리프트'에서 4300억원 규모 해킹 사고가 발생한 가운데, 사건 배후에 북한 연계 조직이 지목돼 파장이 일고 있다.
 보안업계는 이번 해킹 사고가 기존 사이버 공격과 다른 양상을 보이고 있다는 점을 주목하고 있다. 공격자는 취약점을 악용하는 단계를 넘어 수개월간 신뢰를 구축한 뒤 내부 접근권을 확보한 것으로 나타났다. 기존 방어 전략 만으로 북한 배후 공격에 대응하기 어려워졌다는 우려가 커지는 이유다.
 ◆ 접촉→신뢰→침투→탈취…6개월에 걸친 해킹 시나리오
 7일 보안업계에 따르면 드리프트는 최근 사회관계망서비스 엑스(X·구 트위터)를 통해 4월1일 발생한 대규모 해킹 경위를 공개했다. 이번 사고로 발생한 피해 규모는 2억8500만달러(약 4300억원)에 달한다.
 드리프트는 이번 사고가 "6개월에 걸쳐 계획된 공격"으로 인해 발생했다며 북한 정부 지원을 받는 해킹 조직 'UNC4736' 소행일 가능성이 높다고 밝혔다. UNC4736은 애플제우스, 골든천리마 등 별칭으로도 불리는 조직이다.
 이 조직은 2018년부터 암호화폐 시장을 대상으로 자금 탈취를 시도해온 전력이 있다. 2024년 10월에는 탈중앙화 금융 플랫폼 '라디언트캐피탈 '을 해킹해 5300만달러를 탈취하기도 했다. 현 기준 800억원에 달하는 규모다.
 드리프트에 따르면 이 조직은 2025년 말 컴퓨터 프로그램 자동 매매 업체로 위장했다. 암호화폐 콘퍼런스를 통해 드리프트 관계자들에 접근했고, 이후 여러 국가에서 열린 산업 행사에서 특정 인물을 반복적으로 찾으며 관계를 형성했다. 텔레그램 모임을 개설하거나 트레이딩 전략에 대한 논의를 이어오며 '업계 관계자'라는 점을 의심하지 않도록 신뢰를 쌓기도 했다.
 2025년 12월부터 올해 1월 사이에는 드리프트 생태계 내 접근 기반을 마련하며 100만달러(약 15억원) 이상 자금을 예치하기도 했다. 관계자들에게 사업에 대한 실무 질문을 던지며 실제 업계 관계자처럼 행동하기도 했다. 이러한 관계는 올해 3월까지 이어졌다. 드리프트는 이를 두고 "의도적인 행동"이라고 평가했다.
 공격은 내부 접근권을 확보한 이후 실행된 것으로 보인다. 공격자에게 공유된 코드 저장소를 통해 개발 환경이 감염됐을 가능성 또한 점쳐지고 있다. 특히 마이크로소프트 비주얼스튜디오코드(VS코드) 취약점을 악용해 프로젝트를 여는 것만으로 사용자 인지 없이 악성코드가 실행됐을 가능성도 거론되고 있다. 공격 직전 텔레그램 대화와 악성 소프트웨어가 삭제된 점 역시 설계된 작전 중 일부로 분석되고 있다.
 드리프트는 이번 해킹으로 인해 영향을 받은 기능을 제거했고 추적을 진행 중이다. 드리프트는 "추가 조사가 진행되면 자세한 내용을 공유할 예정"이라고 밝혔다.
 <figure class="figure_frm origin_fig" contents-hash="043d3fb54374be8e2ddc8cd00b0fda035595fbaf3fceeca1fd817e5a92489325" dmcf-pid="9W5u5ju5lt" dmcf-ptype="figure">
 <img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202604/07/552796-pzfp7fF/20260407162813361lpvb.jpg" data-org-width="628" dmcf-mid="t7JjJ3jJW9" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202604/07/552796-pzfp7fF/20260407162813361lpvb.jpg" width="658">
 </figure>
 ◆ 임무 분산하고 신원 숨기고…"더 많은 공격 온다"
 이번 사고는 북한이 공격 방식을 진화시켰다는 점을 보여준다. 최근 사이버 위협은 기술적 취약점을 직접 공략할 뿐만 아니라 사람을 대상으로 신뢰를 형성한 뒤 접근권을 확보하는 방향으로 진화하고 있다.
 북한 배후 공격자는 실제 인물처럼 보이기 위해 고용 이력부터 자격, 전문 네트워크 등 거짓 신원을 구축하는 양상을 보이고 있다. 단순한 피싱 공격을 넘어 조직 내부로 침투하는 위장형 공격으로 발전했다는 점을 의미하는 대목이다. 정보기술(IT) 전문가로 위장해 재택근무가 활성화된 국가에 취직한 뒤 정보 등을 빼내는 행태도 이어지고 있다.
 북한의 사이버 공격 체계가 분산된 형태로 진화하고 있다는 분석도 나온다. 사이버보안 조사 전문 '도메인툴스 인베스티게이션(DTI)'에 따르면 북한이 설계한 공격 작전은 임무 중심으로 설계돼 추적을 회피하는 데 능해지고 있다.
 DTI는 악성코드 개발과 운영이 기술뿐만 아니라 조직적으로 세분화되고 있다고 설명했다. 특정 작전에서 작전이 노출되더라도 전체 시스템으로 확산되지 않도록 구조를 분리하고 있다는 설명이다. 동시에 도구, 인프라, 운영 방식을 임무별로 나눠 관리해 공격 출처를 특정하기 어렵게 만들고 있다. 방어자 입장에서는 대응 속도가 느려질 수밖에 없는 이유다.
 북한 연계 해킹 조직이 자금 전달 수단으로 암호화폐를 활용하고 있는 만큼 거래소는 등 관련 업계를 겨냥한 위협은 거세질 전망이다. 정보기술(IT) 전문 인력으로 위장해 기업에 취직한 뒤, 중요 데이터를 빼내고 대가로 암호화폐를 요구하는 행태도 이어질 것으로 보인다.
 IBM 위협 분석 전문 조직 엑스포스(X-Force)는 최근 보고서에서 북한 활동이 일회성이 아닌 지속적인 순환 구조를 나타내고 있다고 평가했다. 특히 "북한 IT 인력은 일정 시점에 직장을 떠나거나 해고될 수밖에 없다는 점을 인지하고 있다"며 "이에 따라 직무, 신원, 계정을 바꿔가며 활동을 이어갈 것"이라고 입을 모았다. 이어 "특정 직위에 오래 머물거나 단일 모습(페르소나)을 장기간 유지하지 않는다는 점을 유의해야 한다"고 강조했다.
 </section> 
 </div> 
 Copyright © 디지털데일리. All rights reserved. 무단 전재 및 재배포 금지.

이전

돌아온 ‘유미의 세포들’…드라마 시즌3부터 뮤지컬까지 2026년은 ‘유미의 해’

04-07
다음

싸지 않은 스타링크 요금…국내 통신 영향은 '제한적'

04-07

등록된 댓글이 없습니다.

로그인한 회원만 댓글 등록이 가능합니다.

먹튀폴리스

"6개월 공들여 털었다"…北 배후 '4300억원 거래소 해킹' 전말은?

멤버랭킹

관련자료

멤버랭킹