TRM 랩스 보고서, "2026년 가상자산 탈취액 76% 북한 소행... 2017년 이후 누적 60억 달러 돌파"

2026년 4월 30일, 블록체인 분석 기업 TRM 랩스는 북한 연계 해커들이 2026년 첫 4개월 동안 발생한 전체 가상자산 탈취액의 76%를 차지했다는 보고서를 공개했다. 4월에 발생한 두 건의 대규모 익스플로잇으로 인해 북한의 2017년 이후 누적 탈취액은 60억 달러를 돌파했다. 이는 국가 차원의 정교하고 공격적인 캠페인이 가속화되고 있음을 시사한다.

2026년 4월 한 달간의 피해액은 1분기 전체 피해액을 크게 상회하며 시장에 큰 충격을 주었다. 특히 이번 보고서는 북한이 단순한 사이버 범죄 조직을 넘어 산업화된 탈취 모델을 구축했음을 경고하고 있다. 이는 독립적인 사이버 범죄자들의 활동을 압도하는 수준이다.

TRM 랩스에 따르면 북한은 탈취한 자금을 핵무기 확산과 제재 회피를 위한 주요 재원으로 활용하고 있다. 이러한 활동은 글로벌 금융 시스템의 보안을 위협하는 심각한 요소로 부상했다. 국제 사회의 감시에도 불구하고 북한의 해킹 전술은 더욱 정교해지고 있다.

가상자산 업계는 이번 사태를 계기로 보안 체계의 근본적인 변화가 필요하다는 목소리를 높이고 있다. 특히 국가 주도의 해킹 그룹이 사용하는 고도화된 전술에 대한 경계심이 극에 달한 상태다. 대규모 자산 유출은 시장의 신뢰도를 저하시키는 주요 원인이 되고 있다.

2026년 초반 가상자산 시장은 상대적으로 평온한 흐름을 보였으나 4월 들어 분위기가 급변했다. 1분기 전체 손실액은 1억 6,550만 달러 수준이었으나, 4월 한 달간의 급증으로 인해 올해 누적 탈취액은 약 7억 7,100만 달러까지 치솟았다. 이 중 북한의 점유율은 과거 어느 때보다 높은 수준을 기록하고 있다.

북한은 가상자산 탈취를 무기 확산, 제재 회피 및 불안정화 활동을 위한 수익 엔진으로 무기화해 왔다.

4월의 급격한 피해 증가는 두 건의 '블랙 스완'급 사건이 주도했다. 드리프트 프로토콜(Drift Protocol)에서 2억 8,500만 달러가 유출되었고, 켈프DAO(KelpDAO)에서는 2억 9,200만 달러 규모의 탈취가 발생했다. 이로 인해 2026년 4월은 14억 달러의 피해를 기록했던 2025년 2월 바이비트(Bybit) 사건 이후 최악의 달로 기록되었다.

산업화된 해킹 전술과 60억 달러의 이정표

북한의 가상자산 탈취 규모는 2017년 이후 지속적으로 확대되어 왔다. 2025년에는 전체 27억 달러의 탈취액 중 절반 이상인 19억 2,000만 달러가 북한 연계 조직의 소행으로 확인되었다. 이러한 추세는 북한의 해킹 역량이 단순한 사이버 범죄를 넘어 국가 주도의 산업화된 모델로 진화했음을 보여준다.

• AI를 활용해 북한 시민들이 해외 IT 노동자로 위장 취업하여 내부 정보 탈취
• 드리프트 및 켈프DAO 공격에서 확인된 수개월에 걸친 정교한 사회 공학적 기법
• 탈취 자금 세탁을 위해 진화하는 '중국식 세탁소(Chinese laundromat)' 네트워크 활용

특히 북한은 인공지능(AI)을 적극적으로 도입하여 해커들이 미국 등 타국에서 근무하는 합법적인 IT 전문가인 것처럼 위장하도록 돕고 있다. 이들은 가상자산 기업에 취업하여 권한이 있는 정보에 접근한 뒤, 이를 바탕으로 치밀한 공격을 수행한다. 이번 4월의 대규모 탈취 역시 수개월간의 사전 준비 작업을 거친 결과로 분석된다.

탈취된 자금은 '중국식 세탁소'라고 불리는 복잡한 네트워크를 통해 세탁되며, 이는 국제 사회의 감시망을 교묘히 빠져나가는 핵심 수단이 되고 있다. 가상자산 해킹 예측 시장에서는 4월의 급증 이후 'YES' 심리가 100%를 유지하며 추가 공격에 대한 우려를 나타내고 있다. 탈중앙화 금융 생태계의 지속 가능성을 위해서는 국가 차원의 사이버 위협에 맞선 공조 체계가 시급하다.