북한 해커들의 암호화폐 탈취액 60억 달러 돌파: 2026년 전 세계 피해액의 76% 차지하며 '산업화'된 범죄 양상 보여

2026년 4월 30일 발표된 블록체인 인텔리전스 기업 TRM 랩스(TRM Labs)의 보고서에 따르면, 북한 연계 해커들이 지금까지 탈취한 디지털 자산의 누적 규모가 60억 달러라는 기록적인 수치에 도달했다. 특히 2026년 들어 이들의 활동은 더욱 정교해졌으며, 올해 1월부터 4월까지 발생한 전 세계 암호화폐 해킹 및 익스플로잇 피해액 중 무려 76%가 평양과 연계된 행위자들의 소행인 것으로 나타났다. 이는 북한의 사이버 범죄 모델이 과거보다 훨씬 '산업화'되고 '예리해진' 형태로 진화했음을 시사한다.

TRM 랩스는 북한의 두 주요 해킹 그룹인 DPRK와 라자루스(Lazarus)가 2026년 암호화폐 시장의 혼란을 주도하고 있다고 분석했다. 보고서에 따르면 전체 해킹 빈도는 변동이 있을 수 있으나, 북한이 주도하는 작전의 영향력은 오히려 강화되는 추세다. 이들은 특정 목표를 정밀하게 타격하여 단일 공격으로 막대한 자금을 탈취하는 전략을 구사하고 있으며, 올해 현재까지의 시장 점유율은 압도적인 수준이다.

우리가 목격하고 있는 것은 단순히 범위가 넓어진 북한의 캠페인이 아니라, 훨씬 더 정교하고 날카로워진 공격이다. 이는 명확한 목표와 전문성, 규모를 갖춘 국가 주도의 산업화된 절도 모델을 반영한다.

아리 레드보드(Ari Redbord) TRM 랩스 법무 및 대외협력 총괄은 이번 보고서를 통해 북한의 공격이 단순한 사이버 범죄를 넘어 국가적 차원의 전략적 자산으로 활용되고 있음을 강조했다. 특히 2026년 1분기와 2분기 초반에 집중된 공격들은 이전보다 훨씬 빠른 속도로 진행되었으며, 이는 보안 당국의 대응 속도를 앞지르고 있다. 북한의 이러한 독점적 지위를 보여주는 데이터는 다음과 같다.

누적 탈취액 60억 달러의 이정표와 2025년의 기록

북한은 2025년 한 해 동안에만 최소 20억 2,000만 달러의 암호화폐를 탈취하며 역대 최고 기록을 경신한 바 있다. 2025년은 공격 횟수 자체는 줄어들었음에도 불구하고, 공격당 피해 규모가 커지는 고효율 타격 양상을 보였다. 이러한 흐름은 2026년에도 이어져 누적 탈취액 60억 달러 돌파라는 결과로 이어졌으며, 이는 국제 사회의 제재 속에서 북한의 주요 외화 벌이 수단으로 확고히 자리 잡았음을 보여준다. 지난 3년간의 탈취 흐름을 정리하면 다음과 같다.

• 2026년 4월 한 달 동안에만 두 곳의 DeFi 플랫폼에서 5억 7,700만 달러가 탈취됨
• 탈중앙화 금융(DeFi) 프로토콜은 여전히 북한 해커들의 가장 주요한 공격 대상임
• 전통적인 거래소보다 보안 취약점이 많은 DeFi의 특성을 악용하는 사례가 급증함
• 2026년 현재까지 북한의 탈취액은 이미 8억 6,200만 달러를 상회함

최근 드러난 '드리프트(Drift)' 익스플로잇 사건은 북한 해커들의 집요함을 잘 보여준다. 이들은 2억 8,500만 달러를 빼내기 위해 수개월 동안 신분을 위장하고 팀의 일원으로 활동하며 내부 신뢰를 쌓은 뒤 결정적인 순간에 자금을 탈취하는 '롱 컨(Long Con)' 방식을 사용했다. 이는 라자루스 그룹을 포함한 북한 행위자들이 단기적인 기술적 해킹을 넘어, 인적 네트워크를 침투시키는 고도의 사회 공학적 기법을 병행하고 있음을 증명한다.

탈취된 자산은 '2단계' 공정으로 불리는 복잡한 세탁 과정을 거친다. 북한은 스테이블코인 발행사의 주소 동결 조치나 거래소의 차단 리스트를 피하기 위해 이른바 '중국식 세탁소(Chinese laundromat)' 네트워크에 점점 더 의존하고 있다. 이들은 탈취한 자산을 추적하기 어렵게 쪼개고 섞는 과정을 거쳐 최종적으로 사용 가능한 가치로 전환하며 국제 금융 시스템의 감시망을 교묘히 빠져나가고 있다.

국가 차원의 사이버 전쟁과 시장 리스크

미국 정보 공동체(IC)는 2026년 연례 위협 평가 보고서를 통해 북한의 사이버 프로그램이 정권의 전략적 목표와 긴밀히 연결되어 있다고 경고했다. 북한은 위조된 신분으로 해외 기술 기업에 취업한 IT 노동자들을 활용해 외화를 벌어들이는 동시에, 이들을 해킹 작전의 교두보로 활용하고 있다. 이러한 활동은 금융 제재를 회피하고 대량살상무기(WMD) 개발 자금을 조달하는 데 핵심적인 역할을 한다.

결론적으로, 북한의 암호화폐 탈취는 단순한 사이버 범죄를 넘어 글로벌 금융 안보를 위협하는 국가적 과제가 되었다. 블록체인 인텔리전스 기술을 통한 실시간 추적과 국제적인 규제 공조가 강화되지 않는 한, DeFi 생태계를 향한 북한의 '산업화된' 공격은 앞으로도 계속될 것으로 보인다. 시장 참여자들은 온체인 보안 강화와 더불어 내부 인력에 대한 철저한 검증이 필요한 시점이다.