북한, 암호화폐 3.9조 원 탈취…‘중·러·캄보디아’로 이어지는 9단계 세탁망 구축

요약

피해 규모: 2024년~9월 누적 약 3.93조 원(20.37억 달러) 탈취, 전년 대비 50% 급증

주요 사건: 2월 바이빗(Bybit) 공격이 금년도 피해의 상당 부분 차지

전술 변화: 거래소 본체보다 지갑·보안 솔루션 등 제3자 공급망 집중 타격

세탁 루트: ETH → 믹서(Tornado/Wasabi) → BTC 브리지 → 재믹싱 → TRX → USDT → OTC 현금화, 다국가 브로커 관여

관여 지역: 중국·러시아·캄보디아 기반 브로커·기업 활용 정황

국제 대응: 11개국 연합, 유엔 안보리 전문가패널 복원 촉구

무엇이 일어났나

북한 연계 해킹 조직이 올해 들어서만 11.8억 달러(약 1.64조 원) 규모의 가상자산을 탈취한 것으로 집계됐다. 다자간 제재 감시팀(MSMT) 보고서에 따르면, 2024년 이후 누적 피해액은 20.37억 달러(약 3.93조 원) 로, 북한의 연간 외화 수입 추정치의 약 1/3에 해당한다.

가장 큰 단일 피해는 2월 발생한 바이빗 침해로, 내부 시스템 피싱·악성코드 주입 후 다중서명 지갑 솔루션 공급망을 악용해 출금을 내부 이체로 위장, 콜드월렛 스마트 컨트롤을 탈취한 방식이 지목됐다. 주도 조직은 일명 TraderTraitor(=Jade Sleet/UNC4899) 로 특정된다.

공격 방식: ‘거래소 정면’보다 ‘공급망 측면’

표적 전환: 중앙화 거래소 코어 인프라보다 세이프월렛 등 3rd-party 지갑·보안 솔루션, 개발 툴체인을 노리는 공급망(서플라이 체인) 공격이 주류.

참여 조직: TraderTraitor 외에 CryptoCore, Citrine Sleet 등도 개발자 사칭·신원 도용 등 사회공학을 결합한 침투 전술 사용.

사례: 웹3 프로젝트 Munchables에서는 약 6,300만 달러 탈취 후 세탁 실패로 자금 반환까지 이어진 이례 사례도 보고됨.

어떻게 세탁하나: 9단계 ‘다중 세탁 벨트’

탈취 자산 ETH로 환전

Tornado Cash / Wasabi Wallet 등 믹싱으로 자금 흐름 교란

크로스체인 브리지 통해 BTC로 이동

재믹싱 및 콜드월렛 분산 보관

TRX(트론) 으로 재교환

USDT(테더) 로 전환

멀티홉 지갑 분산

OTC 브로커 네트워크 이용

현금화·오프램프

관여 지역:

중국 선전 소재 네트워크·브로커 인물(예: Ye Dinrong, Tan Yongzhi, Wang Yicong)이 자금 유통·가짜 신분 생성에 동원된 정황.

러시아 기반 OTC 브로커를 통해 6,000만 달러+ 환수 루트 확인.

캄보디아의 Huione Pay 등 라이선스 만료·규제 사각 결제 채널 악용.

러 언어권 사이버조직과의 ‘공생’

MSMT는 2010년대부터 북한 해커들이 러시아어권 사이버범죄 그룹과 공조·도구 임대를 이어왔다고 분석. 2025년에는 Moonstone Sleet가 러시아 랜섬웨어 조직 Qilin으로부터 공격 툴 임대 정황까지 포착, 전술 공유의 산업화가 진행되고 있음을 시사한다.

왜 지금 심각한가

피해 규모의 상시화: ‘이벤트성’이 아닌 연중 지속형 공격·세탁 체계로 고도화

공급망 리스크 급증: 거래소 외부의 지갑·보안·백오피스가 최약 고리로 노출

세탁 인프라의 다변화: 믹서 제재에도 브리지·OTC·국경 간 결제 플랫폼으로 우회 경로 고착

권고: 보안·규제·국제공조 삼각편대

운영·보안 측면

3rd-party 리스크 관리: 지갑·보안 솔루션의 코드 검사·서명 체인 검증, 공급망 침투 탐지

권한 분리·제로트러스트: 콜드월렛 컨트롤의 다층 권한·행위 기반 승인

피싱/내부자 위협: 보안 인식 교육·행위 분석 기반 E-mail/DevOps 보호

크로스체인 감시: 브리지 경유 흐름·믹서 재유입에 대한 온체인 모니터링 상시화

규제·협력 측면

믹서·OTC KYC 강화, 국경 간 결제업체 라이선스 주기적 재검토

리스트 공유: 의심 지갑·브로커·서비스 제재 리스트 실시간 갱신·공유

국제 협력: 11개국 연합이 촉구한 유엔 안보리 전문가패널 복원을 통해 제재 집행력 회복