북한이 올 한 해 해킹으로 탈취한 가상자산 규모가 3조 원에 이른다는 분석이 나왔다.
미국 블록체인 데이터 분석 기업 '체이널리시스'는 최근 공개한 보고서에서 북한 연계 해킹 조직이 2025년 한 해 동안 탈취한 가상자산을 약 20억 2천만 달러(약 3조 원)로 추정했다. 지난해 약 13억 달러보다 51% 급증한 수치로, 역대 최대 규모다.
체이널리시스는 특히 올해 북한 해킹 조직의 공격 횟수는 지난해 대비 74% 급감했지만, 건당 피해 규모는 비약적으로 커졌다고 밝혔다. 실제로 올해 전 세계 가상자산 서비스 침해액(개인 지갑 제외) 중 북한이 차지하는 비중은 무려 76%로 나타났다. 북한의 해킹 전략에서 가장 주목할 점은 '공격의 정예화'라는 설명이다.
보안이 허술한 탈중앙화 금융(DeFi) 브리지를 주로 노렸던 북한은 올해 들어 업비트 및 바이비트(Bybit) 같은 중앙화 거래소(CEX) 및 핵심 인프라를 정조준하고 있다.
체이널리시스는 "북한 해커들은 수개월간 표적을 정밀 분석한 뒤, 단 한 번의 성공으로 수억 달러를 빼낼 수 있는 '대어'에 모든 자원을 투입한다"고 강조했다. 지난 2월 발생한 바이비트 15억 달러 해킹 사건이 대표적이다.
탈취 자금 세탁 과정에서도 북한만의 독특한 '지문'이 발견됐다.
북한 연계 해킹 조직은 훔친 자산의 60% 이상을 50만 달러(약 7억 4천만 원) 이하 소액 단위로 잘게 쪼개 수천 개의 주소로 옮기는 패턴을 보였다는 것이다. 거액 거래를 집중 감시하는 거래소와 수사 당국의 AI 모니터링 시스템을 회피하기 위한 전략으로 추정된다.
체이널리시스는 "북한이 이같은 분할 송금과 환전 과정을 거쳐 통상 45일 이내에 1차 세탁 과정을 마무리한다"고 밝혔다. 해킹 직후의 집중 감시 기간을 '스테이징(대기)' 단계로 버틴 뒤 감시가 느슨해지는 시점에 전격적으로 자금을 이동시키는 수법이다.
북한 자금 세탁 핵심 노드로는 캄보디아 기반 결제 그룹 후이원(Huione)이 지목됐다. 미국 재무부 산하 금융범죄단속망(FinCEN)도 올해 후이원을 '주요 자금세탁 우려 기관'으로 지정했다. 후이원이 2021년부터 올해 초까지 세탁한 불법 자금 최소 40억 달러 중 중 상당액이 북한 사이버 공격에서 유입된 것으로 파악됐다.
체이널리시스는 "북한은 더 적은 공격으로 더 큰 수익을 내는 정교한 국가 차원 금융 작전 수행 능력을 갖췄다"며 "가상자산 업계는 특정 금액 이상의 거래를 걸러내는 전통적 방식에서 벗어나 북한 특유의 소액 분할 송금 패턴과 지리적 선호도를 실시간으로 포착하는 '패턴 기반 탐지 역량'을 강화해야 한다"고 강조했다.