가짜 창구 만들어 자금 가로채는 지능적 수법 동원
믹서 서비스 거쳐 자금 세탁 시작…전액 회수 '난항'
![[서울=뉴시스] 북한 해킹. (사진=뉴시스 DB) 2026.01.16. photo@newsis.com](https://img1.newsis.com/2026/01/16/NISI20260116_0002042718_web.jpg?rnd=20260116183101)
[서울=뉴시스] 북한 해킹. (사진=뉴시스 DB) 2026.01.16. [email protected]
[서울=뉴시스] 신효령 기자 = 북한 해커 조직 라자루스 그룹이 올해 최대 규모 가상자산 해킹 사건의 배후로 지목됐다. 타깃은 유망 예치 서비스인 '켈프다오(Kelp DAO)'. 피해 규모는 2억9000만 달러(약 4200억원)로, 전세계 암호화폐 시장을 다시 한번 충격에 빠뜨렸다. 이번 사건으로 이틀 만에 글로벌 탈중앙화 금융(DeFi) 시장에서 약 18조원의 자금이 빠져나가는 등 시장 전체가 공포에 휩싸였다.
20일(현지시간) 블룸버그 등 외신에 따르면 북한 해킹 조직 라자루스 그룹 산하 '트레이더트레이터'가 리스테이킹 프로토콜 켈프다오를 공격해 약 2억9000만달러를 탈취한 것으로 확인됐다. 올해 발생한 암호화폐 도난 사건 중 단일 건으로는 최대 규모다.
이들은 단순히 시스템의 허점을 찌르는 것을 넘어, 물리적인 인프라를 장악하고 사용자를 기만하는 공격을 퍼부었다.
이번 공격의 핵심은 RPC(원격 프로시저 호출) 인프라를 장악한 것이다. RPC는 블록체인 세상으로 들어가는 은행 창구와 같다. 사용자가 내 자산을 확인하거나 인출하고, 다른 곳으로 옮기려 할 때 반드시 거쳐야 하는 필수적인 통신 통로다.
공격 대상이 된 '레이어제로'는 서로 다른 블록체인을 연결해 주는 가교 역할을 하는데, 해커들은 이 가교의 검증 시스템을 구성하는 일부 서버에 침입하는 데 성공했다. 이들은 정상적으로 작동하던 프로그램을 자신들이 정교하게 제작한 가짜 프로그램으로 몰래 바꿔치기했다.
여기에 해커들은 디도스(DDoS) 공격까지 병행했다. 정상 RPC 서버를 마비시켜 트래픽을 차단하고, 이용자 요청을 해커가 통제하는 노드로 몰리게 했다. 결국 시스템은 위조된 거래를 진짜로 인식했고, 대규모 자산 유출로 이어졌다.
전문가들은 이번 사건을 계기로 '탈중앙화'라는 이름 뒤에 숨은 보안의 공백을 직시해야 한다고 경고한다. 한 보안 전문가는 "통신 인프라와 검증 체계가 단일 지점에 의존한다면 언제든 무너질 수 있다"며 "투자자들 역시 높은 수익률보다는 해당 플랫폼이 얼마나 다각화된 검증 체계를 갖췄는지, 보안 권고안을 성실히 이행하는지 먼저 따져봐야 한다"고 조언했다.
현재 켈프다오는 피해 자산의 이동을 막기 위해 주요 거래소 및 스테이블코인 발행사들과 협력 중이다. 하지만 해커들은 이미 자금 세탁의 검은 구멍이라 불리는 믹서 서비스를 통해 탈취한 자금을 쪼개고 섞어 추적을 따돌리기 시작했다. 전문가들은 이미 세탁 경로에 진입한 자산의 경우 전액 회수는 사실상 불투명하다고 진단하고 있다.
이번 사건이 뼈아픈 이유는 충분히 막을 수 있었던 인재라는 지적이 나오기 때문이다. 외신들은 켈프다오의 안일한 보안 설계를 강하게 비판했다.
일반적으로 큰돈이 오가는 시스템은 여러 명의 검증관이 신분증을 대조하는 다중 검증 방식을 사용한다. 하지만 켈프다오는 운영의 편의성을 이유로 한 명의 검증관만 두는 단일 검증 구조를 유지했다.
인프라 기업인 레이어제로는 "이전부터 수차례 검증관을 늘려 보안을 강화하라고 권고했지만 켈프다오가 이를 반영하지 않았다"고 밝혔다. 반면 켈프다오는 공격 경로가 된 인프라 책임을 문제 삼으며 반박했다.
그러나 보안 업계에서는 "현관문 열쇠를 하나만 만들어 놓고 복제당한 뒤 자물쇠 제조사를 탓하는 격"이라며 싸늘한 시선을 보내고 있다.
◎공감언론 뉴시스 [email protected]
20일(현지시간) 블룸버그 등 외신에 따르면 북한 해킹 조직 라자루스 그룹 산하 '트레이더트레이터'가 리스테이킹 프로토콜 켈프다오를 공격해 약 2억9000만달러를 탈취한 것으로 확인됐다. 올해 발생한 암호화폐 도난 사건 중 단일 건으로는 최대 규모다.
이들은 단순히 시스템의 허점을 찌르는 것을 넘어, 물리적인 인프라를 장악하고 사용자를 기만하는 공격을 퍼부었다.
이번 공격의 핵심은 RPC(원격 프로시저 호출) 인프라를 장악한 것이다. RPC는 블록체인 세상으로 들어가는 은행 창구와 같다. 사용자가 내 자산을 확인하거나 인출하고, 다른 곳으로 옮기려 할 때 반드시 거쳐야 하는 필수적인 통신 통로다.
공격 대상이 된 '레이어제로'는 서로 다른 블록체인을 연결해 주는 가교 역할을 하는데, 해커들은 이 가교의 검증 시스템을 구성하는 일부 서버에 침입하는 데 성공했다. 이들은 정상적으로 작동하던 프로그램을 자신들이 정교하게 제작한 가짜 프로그램으로 몰래 바꿔치기했다.
여기에 해커들은 디도스(DDoS) 공격까지 병행했다. 정상 RPC 서버를 마비시켜 트래픽을 차단하고, 이용자 요청을 해커가 통제하는 노드로 몰리게 했다. 결국 시스템은 위조된 거래를 진짜로 인식했고, 대규모 자산 유출로 이어졌다.
전문가들은 이번 사건을 계기로 '탈중앙화'라는 이름 뒤에 숨은 보안의 공백을 직시해야 한다고 경고한다. 한 보안 전문가는 "통신 인프라와 검증 체계가 단일 지점에 의존한다면 언제든 무너질 수 있다"며 "투자자들 역시 높은 수익률보다는 해당 플랫폼이 얼마나 다각화된 검증 체계를 갖췄는지, 보안 권고안을 성실히 이행하는지 먼저 따져봐야 한다"고 조언했다.
현재 켈프다오는 피해 자산의 이동을 막기 위해 주요 거래소 및 스테이블코인 발행사들과 협력 중이다. 하지만 해커들은 이미 자금 세탁의 검은 구멍이라 불리는 믹서 서비스를 통해 탈취한 자금을 쪼개고 섞어 추적을 따돌리기 시작했다. 전문가들은 이미 세탁 경로에 진입한 자산의 경우 전액 회수는 사실상 불투명하다고 진단하고 있다.
이번 사건이 뼈아픈 이유는 충분히 막을 수 있었던 인재라는 지적이 나오기 때문이다. 외신들은 켈프다오의 안일한 보안 설계를 강하게 비판했다.
일반적으로 큰돈이 오가는 시스템은 여러 명의 검증관이 신분증을 대조하는 다중 검증 방식을 사용한다. 하지만 켈프다오는 운영의 편의성을 이유로 한 명의 검증관만 두는 단일 검증 구조를 유지했다.
인프라 기업인 레이어제로는 "이전부터 수차례 검증관을 늘려 보안을 강화하라고 권고했지만 켈프다오가 이를 반영하지 않았다"고 밝혔다. 반면 켈프다오는 공격 경로가 된 인프라 책임을 문제 삼으며 반박했다.
그러나 보안 업계에서는 "현관문 열쇠를 하나만 만들어 놓고 복제당한 뒤 자물쇠 제조사를 탓하는 격"이라며 싸늘한 시선을 보내고 있다.
◎공감언론 뉴시스 [email protected]
