"내가 협업한 개발자, 알고보니 북한 해커?"...이더리움, 신뢰 모델 완전 붕괴

▲ 북한 해커

이더리움 생태계에 기여자로 위장한 북한 해킹 조직이 핵심 권한을 장악한 뒤 단기간에 막대한 자금을 탈취하며 업계 전반에 충격을 안겼다. 탈중앙화 구조의 핵심이던 ‘신뢰’ 자체가 공격 경로로 악용됐다는 점에서 파장이 커지고 있다.

코인 뷰로 진행자 루이스 라스킨(Louis Raskin)은 4월 28일(현지시간) 공개된 영상을 통해 북한 라자루스 그룹(Lazarus Group)이 2026년 4월 초 약 18일 동안 5억 7,700만 달러를 탈취했다고 밝혔다. 이는 2025년 한 해 동안 북한이 탈취한 것으로 추정되는 전체 자금의 4분의 1을 넘는 규모다. 이더리움 재단(Ethereum Foundation)의 캣맨 프로젝트(Ketman project) 조사에서는 북한 정보통신 인력 약 100명이 53개 웹3 기업에 정상 기여자로 위장해 침투한 사실이 확인됐다.

이들은 가짜 신분으로 채용 절차를 통과한 뒤 슬랙 등 협업 채널에서 활동하고 실제 코드 작업까지 수행하며 내부 신뢰를 구축했다. 가상자산 수사관 작XBT 조사에 따르면 약 390개의 관련 계정이 매달 100만 달러 규모의 급여를 개발자로 위장해 수령하고 있는 것으로 나타났다. 동일한 이력서 양식과 깃허브 계정을 활용하고 활동 시간대를 조절하는 방식으로 정체를 숨겼다. 이후 핵심 권한을 확보한 뒤 자금을 빼돌리는 방식의 공격이 실행됐다.

4월 1일에는 솔라나(Solana, SOL) 기반 드리프트 프로토콜(Drift Protocol)에서 약 2억 8,500만 달러가 유출됐다. 공격자는 수개월 동안 정상 트레이딩 업체 직원처럼 행동하며 자금을 예치해 신뢰를 확보한 뒤, 보안 위원회를 속여 권한 승인 서명을 받아내고 12분 만에 자금을 탈취했다. 이어 17일 뒤에는 켈프 다오(Kelp DAO)를 겨냥해 노드 소프트웨어를 악성 코드로 교체하고 약 2억 9,200만 달러를 추가로 빼돌렸다.

탈취 자금은 토네이도 캐시(Tornado Cash)를 통해 세탁되거나 에이브(Aave), 컴파운드(Compound) 등 대출 프로토콜을 거쳐 추적이 어려운 형태로 전환됐다. 이후 서클(Circle)의 크로스체인 전송 프로토콜(CCTP)을 활용해 비트코인으로 분산되며 최종 현금화된 것으로 파악된다. 유엔 전문가 패널은 북한의 가상자산 탈취 자금이 탄도미사일 개발 예산의 최대 45%를 차지한다고 분석했다.

이번 사건은 기술적 취약점이 아닌 인간 간 신뢰 체계를 무너뜨렸다는 점에서 의미가 크다. 누구나 참여 가능한 개방형 구조가 오히려 침투 경로로 활용되며 탈중앙화 모델의 근간이 흔들렸다. 이에 대응하기 위한 실명 인증 강화나 권한 집중 방안이 논의되고 있으나, 이는 익명성을 기반으로 한 생태계 철학과 충돌하는 과제를 남기고 있다. 아비트럼 보안 위원회는 약 7,100만 달러 규모 자산을 긴급 동결하며 대응에 나섰다. 업계는 기술을 넘어 참여자 검증 체계까지 재설계해야 하는 국면에 진입했다.

*면책 조항: 이 기사는 투자 참고용으로 이를 근거로 한 투자 손실에 대해 책임을 지지 않습니다. 해당 내용은 정보 제공의 목적으로만 해석되어야 합니다.*