라자루스 그룹: 북한 사이버 공격자들이 암호화폐를 훔치는 방법
한 해킹 조직이 역사상 가장 많은 암호화폐를 훔쳤습니다. 게다가 이들은 정부를 위해 일하는 것으로 알려져 있습니다. 라자루스 그룹은 북한의 국가 해킹 조직으로, 암호화폐 탈취는 부업이 아니라 국가 수입원이자 주요 업무입니다. 이들의 기준으로는 한 해에 20억 달러 이상을 거래소, 브릿지, 일반 지갑에서 빼돌립니다. 하지만 대부분은 신고가 접수되기 전에 사라집니다.
이 가이드에서는 그들이 누구인지, 그들과 관련된 가장 큰 해킹 사건들, 공격이 실제로 어떻게 진행되는지, 자금 세탁은 어떻게 이루어지는지, 그리고 얼마나 많은 돈이 사라졌는지에 대해 다룹니다. 특히 암호화폐에 초점을 맞추고 있습니다. 이 이야기는 현재 암호화폐와 관련되어 있기 때문입니다.
라자루스 그룹의 진짜 정체는 무엇일까요?
후드티를 입은 외로운 해커라는 이미지는 잊으세요. 라자루스 그룹은 급여를 받는 정부 부서에 더 가깝습니다. 서방 정보기관들은 이 그룹을 북한의 주요 해외 정보기관인 정찰총국 및 일명 121국으로 불리는 부서와 연관 짓고 있습니다. 사이버 보안 연구원들은 이 그룹을 단일 위협 집단으로 추적하지만, 실제로는 북한 정부의 공격적인 사이버 작전을 수행하는 여러 팀의 집합체입니다. 키보드 뒤에서 활동하는 사람들은 훈련받고, 급여를 받으며, 임무를 부여받고, 공격 대상 목록은 국가에서 지정합니다.
이 그룹은 보고서 작성자에 따라 APT38, 히든 코브라, 가디언즈 오브 피스, 래버린스 촐리마 등 다양한 이름으로 불립니다. 분석가들은 이 그룹을 각기 다른 역할을 맡은 하위 팀으로 나눕니다. 블루노로프는 은행과 암호화폐 기업을 대상으로 금전적 이득을 노리고, 안다리엘은 스파이 활동과 시스템 교란에 주력하며, 더 큰 규모의 라자루스 그룹은 주요 사이버 공격을 담당합니다. 이들은 2009년경부터 다양한 형태로 활동해 왔으며, 세계에서 가장 오랫동안 활동해 온 동시에 금전적 동기가 강한 위협 행위자 중 하나입니다.
라자루스가 다른 국가 해커들과 차별화되는 점은 동기입니다. 러시아와 중국은 주로 스파이 활동을 하지만, 북한은 자금 마련을 위해 해킹을 감행합니다. 2019년 9월, 미국 재무부는 라자루스와 관련 그룹인 블루노로프, 안다리엘을 북한 국가의 하수인으로 규정하고 공식 제재 대상으로 지정했습니다. 한 보안 업체는 이들을 "북한 국기를 단 범죄 조직"이라고 간결하게 표현했습니다.
소니에서 워너크라이까지: 초창기 이야기
암호화폐 사업 이전, 라자루스는 혼란을 조장하는 것으로 악명을 떨쳤습니다. 2014년 소니 픽처스 엔터테인먼트를 공격한 이 회사는 가디언즈 오브 피스(Guardians of Peace)와 계약을 맺고 시스템을 초기화하고, 미개봉 영화를 유출했으며, 수년간의 내부 이메일을 공개했습니다. 그 동기는 북한 지도자를 풍자하는 코미디 영화 때문인 것으로 보입니다. 시끄럽고, 정치적이며, 파괴적이었습니다. 당시에는 수익성이 없었지만요.
그다음은 돈이었다. 2016년, 이 조직은 역사상 최대 규모의 은행 강도 사건 중 하나를 거의 성공시킬 뻔했다. 뉴욕 연방준비은행에 있는 방글라데시 중앙은행 계좌에서 9억 5100만 달러를 빼돌리기 위해 사기성 SWIFT 메시지를 전송한 것이다. 오타와 약간의 운 덕분에 대부분은 무산되었지만, 약 8100만 달러는 여전히 건져낼 수 있었다. 이 한 번의 사이버 공격으로 라자루스는 키보드만으로 금융기관을 털 수 있다는 것이 입증되었고, 국가 주도의 사이버 범죄가 실질적인 수익 창출의 원천이 되었다.
그러다가 2017년에는 워너크라이(WannaCry)라는 랜섬웨어가 등장했습니다. 이 랜섬웨어는 약 150개국에서 수십만 대의 컴퓨터를 마비시켰고, 영국 병원 몇 곳도 마비시켰습니다. 허술하게 만들어졌고 수익도 거의 없었지만, 그 영향력은 분명히 드러났습니다. 그렇게 암호화폐 시장이 성장할 무렵, 라자루스(Lazarus)는 이미 10년 동안 자신들이 손댈 권리도 없는 돈을 이리저리 옮기는 경험을 쌓아둔 상태였습니다.
북한 해커들이 암호화폐를 공격하는 이유는 무엇일까요?
글로벌 금융 시스템과 단절된 정권에게 암호화폐는 너무나 편리한 수단입니다. 제재로 은행 계좌를 동결하고 SWIFT 송금을 차단할 수는 있지만, 암호화폐 지갑이 자금을 받는 것을 막을 수는 없습니다. 암호화폐는 국경을 넘어 몇 분 만에 이동하고, 되돌릴 수 없는 결제가 이루어지며, 추적을 어렵게 만드는 도구를 통해 쉽게 재배치될 수 있습니다.
그래서 북한은 전략을 바꿨습니다. 단 한 통의 전화로 되돌릴 수 있는 은행 강도를 감수할 필요가 있을까요? 브리지 해킹은 그보다 10배나 더 많은 돈을 벌 수 있고, 되찾을 수도 없습니다. 경제적으로 공격자에게 훨씬 유리합니다. SWIFT 송금이 실패하면 동결되어 반환되지만, 브리지 해킹에 성공하면 블록이 확정되는 순간 모든 것이 끝납니다. 상대방에게 전화할 필요도 없고, 환불 요청도 없으며, 지갑에 대한 관할권을 가진 법원도 없습니다. 조사관들과 유엔은 현재 도난당한 암호화폐 자금이 북한의 외화 수입의 상당 부분과 무기 개발 프로그램의 상당 부분을 차지한다고 추정하고 있지만, 정확한 비율은 공개된 자료가 아닌 첩보 분석에 따른 것입니다.
라자루스 그룹 최대 규모 암호화폐 탈취 사건
그 수치들은 이미 오래전부터 범죄처럼 들리지 않았습니다. 마치 국가 예산안처럼 느껴지죠. 단일 사건으로는 최대 규모인 바이빗 해킹 사건이 다음으로 큰 사건들을 합친 것보다 크고, 역사상 암호화폐 관련 사건을 제외한 어떤 은행 강도 사건보다도 규모가 큽니다.
| 강도 | 날짜 | 양 | 방법 |
|---|---|---|---|
| 바이빗 | 2025년 2월 | 약 15억 달러 | 조작된 다중 서명 인터페이스 |
| 로닌 브리지(액시) | 2022년 3월 | 약 6억 2,500만 달러 | 탈취된 검증자 개인 키 |
| DMM 비트코인 | 2024년 5월 | 약 3억 800만 달러 | 가짜 채용 담당자, 사기꾼 직원 |
| 와지르엑스 | 2024년 7월 | 약 2억 3500만 달러 | 지갑 인프라 침해 |
| 하모니 호라이즌 | 2022년 6월 | 약 1억 달러 | 손상된 브리지 키 |
| 아토믹 월렛 | 2023년 6월 | 1억 달러 이상 | 악성 소프트웨어 업데이트 |
자세히 살펴보면 동일한 취약점이 계속해서 나타납니다. 로닌 해킹 사건은 공격자들이 고위 엔지니어를 해킹하여 브리지를 보호하는 9개의 검증자 키 중 5개를 확보함으로써 자신들의 출금을 승인할 수 있었기 때문에 가능했습니다. 바이비트 해킹은 좀 더 교묘했습니다. 콜드 월렛을 해킹하는 대신, 서명자들이 보는 인터페이스를 변조하여 팀이 평범해 보이는 이체를 승인하도록 만들었습니다. 두 경우 모두 암호화 자체는 안전했지만, 그 주변의 사람과 소프트웨어가 제 역할을 하지 못했습니다.
출처에 따라 금액이 다른 이유는 일반적으로 당일 토큰 가격에 연동되기 때문이며, 라자루스는 이더리움과 같이 변동성이 큰 자산을 노리는 경향이 있습니다. 로닌의 피해액은 집계 방식에 따라 약 5억 4천만 달러에서 6억 2천 5백만 달러 사이이며, 바이빗의 피해액은 14억 달러에서 15억 달러 사이로 추정됩니다. 이러한 공격의 기본 패턴은 일관적입니다. 브릿지 , 암호화폐 거래소, 지갑 소프트웨어와 같이 작은 오류라도 발생하면 막대한 자금이 유출될 수 있는 취약점을 노리는 것입니다.
라자루스 그룹 해킹 사건의 전개 과정
사람들이 놀라는 부분은 바로 이것입니다. 이러한 기록적인 절도 사건은 드물게 기발하고 막을 수 없는 묘책으로 시작됩니다. 대부분 누군가가 속는 것에서 시작되죠. 교묘하고 돌이킬 수 없는 부분은 그 후에, 돈이 감쪽같이 사라지는 순간에 펼쳐집니다.
침입 경로: 가짜 일자리와 피싱
라자루스는 인내심이 강하고 사교적입니다. '꿈의 직업 작전'으로 불리는 이들의 오랜 전략은 링크드인이나 개발자 커뮤니티에서 채용 담당자로 가장하여 실제 회사처럼 보이는 곳에서 꿈같은 직책을 제안하는 것입니다. 면접 도중 "코딩 테스트"나 PDF 파일이 전송되고, 이를 열면 악성코드가 설치됩니다. DMM 비트코인 탈취 사건 역시 이와 유사한 방식으로 시작된 것으로 추정되며, 가짜 채용 담당자가 연관된 회사의 직원을 속인 것입니다. 이와 같은 수법은 악성코드가 심어진 npm 패키지나 GitHub 저장소를 합법적인 업무 샘플처럼 위장하여 업계 전반의 개발자들을 대상으로 사용되어 왔습니다. 방화벽도 해당 파일이 업무 과제라고 믿은 엔지니어를 막을 수 없기 때문에, 이러한 공격의 대부분은 난공불락의 익스플로잇이 아닌 사회공학적 기법을 통해 이루어집니다.
건물 안에 있는 가짜 IT 직원들
최근 북한의 수법은 더욱 대담해졌습니다. 침입 대신, 북한은 오히려 해당 기업에 취업 지원을 합니다. 수천 명의 북한 IT 전문가들이 도난당한 미국 신분증과 현지 조력자들이 운영하는 노트북 팜을 이용해 원격 개발자로 위장합니다. 마치 평양이 아닌 텍사스에서 접속하는 것처럼 보이게 하는 것입니다. 서구의 IT 및 암호화폐 기업에 채용된 이들은 급여를 본국으로 송금하고, 때로는 추후 해킹을 위해 시스템에 접근 권한을 심어놓기도 합니다. 미국 법무부는 이러한 수법의 양쪽 모두를 추적해 왔으며, 2024년 12월에는 북한인 14명을 기소했고 , 2025년에는 노트북 호스팅을 담당했던 미국 내 조력자들을 상대로 소송을 제기했습니다. 이는 급여 지급으로 위장한 간첩 행위입니다.
현금 인출: 믹서와 브리지
암호화폐를 훔치는 것은 절반의 성공일 뿐이고, 더 어려운 절반은 그 돈을 사용하는 것입니다. 라자루스는 훔친 자금을 2022년 미국 제재 대상인 토네이도 캐시(Tornado Cash)나 2023년 말 제재 대상인 신바드(Sinbad) 같은 믹서를 통해 처리한 다음, 브리지와 스왑을 이용해 블록체인 간 자금 이동을 은폐하고, 검증이 허술한 거래소를 통해 현금화합니다. 이 과정은 빠르고 자동화되어 있습니다. 바이비트(Bybit) 사건 이후, 수사관들은 자금이 몇 시간 만에 수백 개의 지갑으로 흩어지는 것을 목격했습니다. 이는 대규모 자금 세탁이며, 정권이 이를 계속 사용하는 이유가 바로 여기에 있습니다.
라자루스 그룹은 얼마나 훔쳤습니까?
전체적인 규모를 보면 충격적입니다. 체이나리시스(Chainalysis) 에 따르면, 북한과 연계된 해커들이 2025년 한 해 동안 약 20억 2천만 달러 상당의 암호화폐를 훔쳤는데, 이는 전년 대비 51% 증가한 수치로, 누적 피해액은 67억 5천만 달러를 넘어섰습니다. 2025년에는 전 세계 암호화폐 서비스에서 도난당한 금액의 약 76%가 북한에서 발생한 것으로 추산됩니다. 한 국가가 전체 피해액의 4분의 3을 차지한 셈입니다.
| 기간 | 도난당한 (암호화폐) | 원천 |
|---|---|---|
| 2024년 (정부 확정) | 약 6억 5천 9백만 달러 | 미국/일본/한국 공동 성명 |
| 2024 (원본 출처 표기) | 약 11억 9천만 달러 | 체인애널리시스 / 만디안트 |
| 2025 | 약 20억 2천만 달러 | 체인 분석 |
| 역대 최고 기록 (하한) | 약 67억 5천만 달러 | 체인 분석 |
2024년 수치는 측정 기준이 다르기 때문에 차이가 있습니다. 각국 정부는 몇 건의 구체적인 해킹 사건을 확인한 반면, 분석 업체들은 온체인 추적을 통해 더 많은 해킹 사건을 파악했습니다. 어느 쪽이든 추세는 상승세를 보이고 있습니다. 유엔 전문가 패널은 2024년과 2025년 수치가 확정되기 전인 2017년부터 2023년까지 북한의 소행으로 추정되는 암호화폐 해킹 사건이 약 58건 발생했으며, 그 규모는 약 30억 달러에 달한다고 밝혔습니다. 같은 패널은 이 자금이 북한의 무기 개발 프로그램 자금으로 쓰이고 있다고 보고했는데, 이는 감사된 회계 자료가 아닌 회원국 정보에 근거한 주장입니다. 하지만 이러한 분석은 모든 거래소 해킹 사건을 지정학적 사건으로 재해석하는 데 도움이 됩니다.
제재, 기소 및 대응
그렇다면 실제로 누가 할 수 있는 일은 무엇일까요? 그들의 이름을 밝히고, 제재를 가하고, 기소하는 것. 하지만 체포는 거의 불가능합니다. 그들은 평양에 앉아 있기 때문입니다.
지금까지의 기록은 상당히 방대합니다. 재무부는 2019년에 라자루스를 블랙리스트에 올렸고, 그 후 라자루스가 의존하는 자금 세탁 업체인 토네이도 캐시와 신바드를 추적했습니다. 검찰도 가세하여 2021년부터 특정 해커들을 기소했고, 최근에는 가짜 IT 직원 모집 시스템을 운영한 사람들을 기소했습니다. 영장을 집행하는 데 성공하기는 쉽지 않을 겁니다.
돈을 되찾는 건 훨씬 더 어려운 일입니다. 로닌 사건 이후, 수사관들은 FBI와 체이나리시스의 도움을 받아 자금의 일부를 되찾았습니다 . 겨우 일부일 뿐입니다. 나머지는 흔적도 없이 사라졌습니다. 제재는 문제를 이리저리 옮길 뿐입니다. 토네이도 캐시를 블랙리스트에 올리면 돈은 신바드에게 흘러가고, 신바드를 제재하면 그들은 다른 모임을 찾아 나섭니다. 이런 모든 조치는 현금화 과정을 더 어렵고 복잡하게 만듭니다. 하지만 그 어떤 것도 절도를 근본적으로 막을 수는 없습니다. 정부를 송환할 수는 없으니까요.
라자루스 그룹을 막을 수 있을까?
솔직히 말해서, 제재만으로는 충분하지 않습니다. 진정으로 중요한 방어는 침해 발생 이전에 이루어져야 하며, 검찰보다는 거래소와 사용자에게 달려 있습니다. 즉, 대규모 이체에 대한 하드웨어 승인 강화, 불특정 모집책을 기회가 아닌 위협으로 간주하는 것, 그리고 해킹당한 노트북 한 대로 막대한 자금이 유출되는 것을 막는 것이 중요합니다. 또한, 단순히 화면을 믿는 것이 아니라 실제로 서명하는 내용을 확인해야 합니다. 바로 이 허점이 바이빗(Bybit) 사태에서 10억 달러 이상의 손실을 초래한 원인입니다. 이러한 비대칭성은 매우 심각합니다. 방어자는 매번 정확해야 하지만, 라자루스(Lazarus)는 단 한 명의 엔지니어만 있으면 파일을 복구할 수 있습니다. 현실적인 목표는 해당 그룹을 완전히 제거하는 것이 아니라, 각각의 절도를 더디게, 더 작은 규모로, 그리고 자금 세탁을 더 어렵게 만들어 다음 10억 달러 규모의 해킹 시도를 사전에 차단하는 것입니다.
암호화폐 시장에서 라자루스 그룹이 중요한 이유
라자루스는 암호화폐의 가장 자랑스러운 특징인 국경 없는 불가역성을 국가 재정 조달 도구로 악용했습니다. 여기서 얻을 수 있는 불편한 교훈은 바로 이것입니다. 은행으로부터 돈을 해방시키는 설계 방식이 동시에 돈을 회수할 수 없게 만든다는 것입니다. 암호화폐 보안은 더 이상 개인 키 관리의 문제가 아니라 여러 국가의 국가 안보 문제로 대두되었습니다. 감사받지 않은 모든 브리지와 허술한 통제를 받는 모든 거래소는 미사일 예산의 잠재적 항목이 될 수 있습니다. 여기서 중요한 질문은 개방적이고 허가 없는 금융 시스템이 대규모 절도를 외교 정책 문제로 여기는, 인내심 있고 자금력이 풍부한 적에 어떻게 맞서 스스로를 방어할 수 있느냐는 것입니다.
