당신이 만날 수 있는 고액 자산 고객은 북한 해커의 '용병'일 수 있습니다

원문 저자: Nicky, Foresight News

최근 Drift Protocol은 공격 사건에 대한 최신 조사 결과를 발표했으며, 이번 행동은 2024년 10월 Radiant Capital 해킹 사건과 동일한 위협 행위자가 실행한 것으로, 체인 상 자금 흐름과 작동 방식이 매우 일치한다고 지적했습니다. 보안 회사 Mandiant는 Radiant Capital 공격을 UNC4736, 즉 북한 정부와 연관된 조직의 소행으로 돌린 바 있습니다.

Drift 공격 사건 발생 후, 해커는 누적으로 130,293 ETH(약 2.66억 달러 상당)를 보유하게 되었습니다. 사건은 20개 프로토콜에 영향을 미쳤으며, 그중에는 Prime Numbers Fi, Gauntlet, Elemental DeFi, Project 0 등이 포함됩니다. Prime Numbers Fi는 예상 손실이 1000만 달러를 초과하고, Gauntlet은 약 640만 달러, Neutral Trade는 약 367만 달러, Elemental DeFi는 약 290만 달러로 추정되며, Elemental은 Drift로부터 부분적인 보상을 받기를 희망한다고 밝혔습니다.

Drift는 성명에서 이번 공격이 6개월 동안 계획된 정교한 작전이라고 밝혔습니다. 2025년 가을, 자칭 양적 거래 회사인 한 그룹이 대형 암호화폐 컨퍼런스에서 Drift 기여자에게 접근했습니다. 필자가 시간대를 정리해보면, 해당 기간 내 대형 암호화폐 컨퍼런스로는 Korea Blockchain Week 2025(2025년 9월 22일~28일, 서울 개최), TOKEN2049 Singapore(10월 1일~2일, 싱가포르 개최), Binance Blockchain Week Dubai 2025(10월 30일~31일, 두바이 개최), Solana Breakpoint Dubai(11월 20일~21일, 두바이 개최) 등이 있었습니다.

Drift 공식은 그들이 기술적으로 숙련되어 있고 검증 가능한 직업 배경을 보유하며 Drift의 운영 방식에 매우 익숙하다고 밝혔습니다. 양측은 Telegram 그룹을 만들었고, 이후 몇 달 동안 거래 전략과 금고 통합을 중심으로 실질적인 대화를 진행했습니다.

2025년 12월부터 2026년 1월까지, 이 그룹은 Drift에 공식적으로 생태계 금고를 입주시켰고, 요구된 전략 상세 양식을 작성했습니다. 그들은 여러 기여자들과 여러 차례 작업 논의를 진행했으며, 상세한 제품 질문을 제기하고 100만 달러 이상의 자체 자금을 예치했습니다. 인내심 있고 체계적인 운영을 통해, 그들은 Drift 생태계 내부에 기능적으로 완전한 비즈니스 존재를 구축했습니다.

통합 논의는 올해 3월까지 지속되었습니다. Drift의 여러 기여자들은 여러 국제 컨퍼런스에서 다시 이들과 대면으로 만났습니다. 이 시점에서 양측은 거의 반년 동안 협력 관계를 구축했으며, 상대방은 더 이상 낯선 사람이 아닌 함께 일한 파트너가 되었습니다. 그동안 상대방은 그들이 구축 중이라고 주장하는 프로젝트, 도구 및 애플리케이션의 링크를 공유했는데, 이는 거래 회사에서는 일반적인 관행입니다.

4월 2일 공격 발생 후, 조사관들은 알려진 영향을 받은 장치, 계정 및 통신 기록에 대한 포괄적인 포렌식 검토를 수행했으며, 해당 거래 팀과의 상호작용이 가장 가능성 높은 침입 경로로 나타났습니다. 공격이 발생하는 동시에, 상대방의 Telegram 채팅 기록과 악성 소프트웨어는 철저히 삭제되었습니다.

조사에 따르면, 공격자는 세 가지 방법으로 Drift 기여자의 장치를 침투했을 가능성이 있습니다. 한 기여자는 해당 팀이 공유한 코드 저장소를 복제한 후 침해당했을 수 있으며, 이 저장소는 그들의 금고를 배포하는 프론트엔드로 위장되어 있었습니다. 다른 한 기여자는 TestFlight 애플리케이션을 다운로드하도록 유도받았는데, 상대방은 그것이 그들의 지갑 제품이라고 주장했습니다. 코드 저장소 침투 경로에 대해, 보안 커뮤니티는 2025년 12월부터 2026년 2월까지 VSCode와 Cursor에 알려진 취약점이 존재한다고 여러 차례 경고한 바 있습니다. 사용자가 클릭하거나 어떤 프롬프트도 없이, 단지 편집기에서 파일, 폴더 또는 저장소를 열기만 하면 임의의 코드를 조용히 실행할 수 있습니다. 영향을 받은 하드웨어에 대한 완전한 포렌식 분석은 여전히 진행 중입니다.

이번 행동은 2024년 10월 Radiant Capital 해킹 사건의 위협 행위자와 동일합니다. Mandiant는 Radiant 공격을 UNC4736에 귀속시켰으며, 이는 북한 국가 지원 조직으로 AppleJeus 또는 Citrine Sleet으로도 알려져 있습니다. 귀속 근거는 두 가지 측면에서 나왔습니다: 체인 상 자금 흐름은 이번 작전을 계획하고 테스트하는 데 사용된 자금이 Radiant 공격자에게 소급될 수 있음을 보여줍니다; 작전 측면에서, 이번 작전에서 사용된 위장 신원은 알려진 북한 연계 활동과 식별 가능한 중복이 존재합니다.

Drift는 실제로 오프라인 회의에 나타난 개인들은 북한 국적이 아니었다고 지적했습니다. 이러한 고위험 북한 위협 행위자들은 일반적으로 제3자 중개인을 통해 대면 관계 구축을 진행합니다.

UNC4736은 Mandiant가 추적하는 위협 행위자 클러스터로, 북한 정찰총국 소속으로 높은 신뢰도로 평가됩니다. 이 조직은 2018년부터 암호화폐 및 핀테크 산업을 지속적으로 표적으로 삼아, 공급망 공격, 사회 공학, 악성 소프트웨어 배포 등을 통해 디지털 자산을 탈취해 왔습니다.

그들의 알려진 대규모 공격 사건으로는 2023년 3CX 공급망 공격, 2024년 Radiant Capital 약 5000만 달러 탈취, 그리고 이번 Drift 약 2.85억 달러 탈취가 있으며, 통계 가능한 데이터에 따르면 이 조직이 총 약 3.35억 달러의 자금을 훔친 것으로 계산됩니다.

이 클러스터는 재정적 동기를 가진 사이버 범죄에 집중하는 Lazarus Group의 하위 클러스터로 널리 인식되고 있습니다. Lazarus Group은 2025년 2월 Bybit에서 약 150억 달러 상당의 자산을 훔친 바 있으며, 이는 암호화폐 역사상 최대 규모의 단일 절도 사건입니다.

이미지 출처: SotaMedia

Lazarus Group은 북한 정부 지원 네트워크 위협 행위자 클러스터로, 정찰총국에 소속되어 있으며 UNC4736(즉 AppleJeus/Citrine Sleet), TraderTraitor 등 여러 하위 클러스터를 포함합니다. Chainalysis 통계에 따르면, 북한 해커들은 Lazarus 등의 클러스터를 통해 누적으로 약 675억 달러 상당의 암호화폐를 훔쳤으며, 2025년 한 해만 200억 달러를 초과했습니다.

이 조직은 전 세계를 떠들썩하게 만든 여러 공격 사건을 일으켰습니다: 2014년 소니 픽처스 엔터테인먼트 파괴, 2016년 방글라데시 중앙은행 8100만 달러 절도, 2017년 WannaCry 랜섬웨어 전 세계 확산, 2022년 Ronin Bridge와 Harmony Horizon Bridge 각각 6.2억 달러 및 1억 달러 절도, 2023년 Atomic Wallet과 Stake 연속 공격. 2024년 10월, UNC4736이 Radiant Capital을 공격해 5000만 달러를 훔쳤습니다; 2025년 2월, TraderTraitor가 Bybit에서 기록적인 150억 달러를 훔쳤습니다; 2026년 4월, Drift Protocol에 대한 2.85억 달러 공격을 완수했습니다.

Lazarus는 북한의 암호화폐 탈취 금액을 누적 675억 달러로 끌어올렸습니다. 공격 기법은 초기의 파괴에서 장기 침투, 사회 공학, 공급망 공격, 악성 스마트 계약/다중 서명 침투 등으로 진화했습니다.

Drift 성명에는 조사 결과 제3자 표적 작전에서 사용된 신원이 완전한 개인 및 직업 이력을 보유하고 있으며, 이에는 업무 경험, 공개 자격 및 전문 네트워크가 포함된다고 기록되어 있습니다. Drift 기여자들이 오프라인에서 만난 그 사람들은 수개월에 걸쳐 비즈니스 협력 배경 심사를 견딜 수 있는 신원 프로필을 구축했습니다.

보안 연구원 Taylor Monahan은 이전에 북한 IT 근로자들이 최소 7년 동안 암호화폐 회사와 DeFi 프로젝트에 침투해 왔으며, 40개 이상의 DeFi 플랫폼이 다양한 단계에서 북한 IT 근로자의 참여를 경험했다고 밝힌 바 있습니다. Drift 사건은 공격자가 원격 구직 침투에서 오프라인 대면, 수개월에 걸친 표적 정보 작전으로 진화했음을 더욱 보여줍니다.

Drift는 법 집행 기관, 포렌식 파트너 및 생태계 팀과 계속 협력할 것이며, 더 많은 세부 사항은 조사 완료 후 공개될 것이라고 밝혔습니다. 모든 남은 프로토콜 기능은 동결되었으며, 도난당한 지갑은 다중 서명에서 제거되었고, 공격자 주소는 각 거래소 및 크로스체인 브리지 운영자에게 표시되었습니다.