북한 소속 해커들이 구글 독스 및 업워크, 링크트인과 같은 일반적인 업무 플랫폼을 통해 전 세계의 암호화폐 개발 시장에 대규모로 잠입하고 있는 사실이 밝혀졌다. 블록체인 분석가 잭엑스비티가 공개한 조사 결과, 이들은 5명으로 구성된 팀이지만 30개 이상의 가짜 신원을 만들어 활동 중인 것으로 나타났다.
조사에 따르면, 북한 해커들은 정부에서 발급한 신분증을 이용해 VPN 및 AI 소프트웨어, 컴퓨터 장비를 구매하여 각종 플랫폼에 등록하고 개발자 자리를 확보했다. 그들이 사용한 자료에서는 구글 드라이브, 크롬 프로필, 스크린샷 등의 기본 도구가 프로젝트 관리와 예산 편성의 핵심으로 활용되었으며, 이들은 영어로 소통하고 있었다.
특히 주목할 점은 이들이 작성한 스프레드시트이다. 여기에는 팀원 간의 주간 업무 보고서와 회계 자료가 포함되어 있으며, “업무가 이해되지 않는다”는 솔직한 평가와 더불어 “열심히 하자”는 자기 개선 메모가 담겨 있어 이들이 맡은 바 업무에 적응하기 위해 노력하고 있음을 잘 보여준다.
또한, 다른 파일에서는 신분 도용을 통해 사회보장번호, 업워크 및 링크트인 계정, 가상전화번호, AI 서비스, 컴퓨터 임대, VPN 등을 구매한 내역이 기록되어 있었다. 그 가운데 ‘헨리 장’이라는 가명을 포함한 면접 스크립트와 회의 일정표도 발견되었다.
이들은 컴퓨터를 구매하거나 임대하여 원격 접속 툴인 애니데스크를 활용해 해외에서 근무하는 것처럼 위장했으며, 지급된 현금 보수는 파이오니어를 통해 암호화폐로 전환하였다. 이와 관련된 지갑 주소 중 하나인 ‘0x78e1’은 2025년 6월에 암호화폐 프로젝트 ‘Favrr’를 겨냥한 68만 달러 규모의 해킹 사건과 연결되어 있는 것으로 알려졌다. 이 사건에서 Favrr의 최고기술책임자(CTO)와 여러 개발자들이 북한 출신 해커로 밝혀졌다.
북한 해커의 흔적은 그들이 한국어 키워드를 구글 번역을 통해 러시아 IP 주소로 검색한 점에서도 감지되었다. 잭엑스비티는 이들이 기술적으로 정교하지는 않지만, 전 세계의 다양한 직책에 지원하는 끈질긴 자세로 인해 전략적 위협을 가하고 있다고 평가했다. 민간 기업들과 서비스 간의 공조 부족, 그리고 내부자들이 문제를 제보하더라도 이를 외면하는 경향은 이들의 추적 과정을 더욱 어렵게 하고 있다.
한편, 라자루스 그룹이라는 북한 해킹 조직은 여전히 암호화폐 산업에 심각한 위협 요소로 자리 잡고 있다. 이들은 2025년 2월 두바이의 거래소 바이빗에서 약 15억 달러를 탈취하는 역대 최대 규모의 해킹 사건을 발생시켰다. 이 공격은 세이프월렛의 보안 취약점을 이용해 다중 서명 검증을 무력화했으며, FBI는 이를 북한의 ‘트레이더트레이터’ 공격으로 간주하고 있다.
최근에는 인도 암호화폐 거래소인 코인DCX에서도 약 4,400만 달러 규모의 해킹 사건이 발생했으며, 이 역시 라자루스 그룹과 관련이 있는 것으로 확인되었다. 이들은 내부 유출된 자격 증명을 악용하여 유동성 인프라에 접근해 범행을 저지른 것으로 전해진다.
북한의 이러한 암호화폐 침투 시도는 단순한 사이버 범죄를 넘어, 글로벌 블록체인 생태계의 신뢰 기반을 흔드는 심각한 위협 요소로 부각되고 있다. 따라서 전 세계의 암호화폐 기업과 개발자 커뮤니티는 북한 해커의 위장된 침투에 대해 보다 세심하고 제한적인 대응이 필요할 것이다.
