당신이 만날 고액 자산 고객은 아마도 북한 해커의 "용병"일 수 있습니다

원문 저자: Nicky, Foresight News

최근 Drift Protocol은 공격 사건에 대한 최신 조사 결과를 발표하며, 이번 사건이 2024년 10월 Radiant Capital 해킹 사건과 동일한 위협 행위자에 의해 수행되었음을 지적했습니다. 블록체인 상의 자금 흐름과 운영 방식이 매우 유사하다고 합니다. 보안 회사 Mandiant는 Radiant Capital 공격을 UNC4736에 귀속시켰으며, 이는 북한 정부와 관련된 조직입니다.

Drift 공격 사건 발생 후, 해커는 총 130,293 ETH를 보유하고 있으며, 이는 약 2.66억 달러에 해당합니다. 사건은 Prime Numbers Fi, Gauntlet, Elemental DeFi, Project 0 등 20개 프로토콜에 영향을 미쳤습니다. 그 중 Prime Numbers Fi는 1000만 달러 이상의 손실을 추정하고, Gauntlet은 약 640만 달러, Neutral Trade는 약 367만 달러, Elemental DeFi는 약 290만 달러의 손실을 입었습니다. Elemental은 Drift로부터 일부 보상을 받기를 희망한다고 밝혔습니다.

Drift는 성명에서 이번 공격이 6개월 동안 지속적으로 계획된 것이라고 밝혔으며, 2025년 가을에 자칭 양적 거래 회사의 일원들이 대규모 암호화 회의에서 Drift 기여자에게 접근했다고 전했습니다. 필자는 이 시기에 열린 대규모 암호화 회의로는 Korea Blockchain Week 2025(2025년 9월 22일~28일, 서울 개최), TOKEN2049 Singapore(10월 1일~2일, 싱가포르 개최), Binance Blockchain Week Dubai 2025(10월 30일~31일, 두바이 개최), Solana Breakpoint Dubai(11월 20일~21일, 두바이 개최) 등을 정리했습니다.

Drift 공식은 그들이 기술적으로 숙련되어 있으며, 검증 가능한 직업 배경을 가지고 있고 Drift의 운영 방식에 매우 익숙하다고 주장했습니다. 양측은 텔레그램 그룹을 만들었고, 이후 몇 달 동안 거래 전략과 금고 통합에 대한 실질적인 대화를 나누었습니다.

2025년 12월부터 2026년 1월까지 이 그룹은 Drift에 공식적으로 생태 금고를 개설하고 요구에 따라 전략 세부 사항 양식을 작성했습니다. 그들은 여러 기여자와 여러 차례 작업 논의를 진행하며, 상세한 제품 문제를 제기하고 100만 달러 이상의 자금을 입금했습니다. 인내심 있고 질서 있는 작업을 통해 그들은 Drift 생태계 내에 완전한 기능을 갖춘 비즈니스 존재를 구축했습니다.

통합 논의는 올해 3월까지 계속되었습니다. Drift의 여러 기여자들은 여러 국제 회의에서 다시 이들과 대면했습니다. 이 시점에서 양측은 거의 반년의 협력 관계를 구축했으며, 상대방은 더 이상 낯선 사람이 아니라 함께 작업한 파트너가 되었습니다. 이 기간 동안 상대방은 그들이 구축하고 있다고 주장하는 프로젝트, 도구 및 애플리케이션의 링크를 공유했으며, 이는 거래 회사에서 일반적인 관행입니다.

4월 2일 공격 발생 후, 조사관들은 알려진 영향을 받은 장치, 계정 및 통신 기록에 대한 포렌식 검토를 실시했으며, 해당 거래 팀과의 상호작용이 가장 가능성이 높은 침입 경로로 확인되었습니다. 공격이 발생하는 동시에 상대방의 텔레그램 채팅 기록과 악성 소프트웨어는 완전히 삭제되었습니다.

조사 결과, 공격자는 세 가지 방법으로 Drift 기여자의 장치에 침투했을 가능성이 있습니다. 한 기여자는 팀이 공유한 코드 저장소를 클론한 후 침해되었을 가능성이 있으며, 해당 저장소는 그들의 금고를 배포하는 프론트엔드로 위장되었습니다. 다른 기여자는 상대방이 자신의 지갑 제품이라고 주장하는 TestFlight 애플리케이션을 다운로드하도록 유도되었습니다. 코드 저장소에 대한 침투 경로에 대해 보안 커뮤니티는 2025년 12월부터 2026년 2월 사이에 VSCode와 Cursor에 알려진 취약점이 존재한다고 여러 차례 경고했으며, 편집기에서 파일, 폴더 또는 저장소를 열기만 해도 사용자 클릭이나 어떤 알림 없이 임의의 코드를 조용히 실행할 수 있습니다. 영향을 받은 하드웨어에 대한 완전한 포렌식 분석은 여전히 진행 중입니다.

이번 작전은 2024년 10월 Radiant Capital 해킹 사건의 위협 행위자와 동일합니다. Mandiant는 Radiant 공격을 UNC4736에 귀속시키며, 이는 북한 국가 지원 조직으로, AppleJeus 또는 Citrine Sleet로도 알려져 있습니다. 귀속 근거는 두 가지 측면에서 나옵니다: 블록체인 상의 자금 흐름은 이번 작전을 계획하고 테스트하는 데 사용된 자금이 Radiant 공격자에게로 거슬러 올라간다는 것을 보여줍니다; 운영 측면에서 이번 작전에서 사용된 위장 신원은 알려진 북한 관련 활동과 식별 가능한 중복성을 가지고 있습니다.

Drift는 실제 오프라인 회의에 나타난 개인이 북한 국적이 아님을 지적했습니다. 이러한 고위급 북한 위협 행위자는 일반적으로 제3자 중개인을 통해 대면 관계를 구축합니다.

UNC4736은 Mandiant가 추적하는 위협 행위자 집단으로, 높은 신뢰도로 북한 정찰총국에 소속된 것으로 평가됩니다. 이 조직은 2018년부터 암호화폐 및 핀테크 산업을 대상으로 지속적으로 공격을 감행하며, 공급망 공격, 사회 공학, 악성 소프트웨어 배포 등을 통해 디지털 자산을 탈취하고 있습니다.

그들이 저지른 주요 공격 사건으로는 2023년 3CX 공급망 공격, 2024년 Radiant Capital에서 약 5000만 달러 도난, 그리고 이번 Drift에서 약 2.85억 달러 도난이 포함됩니다. 통계적으로 이 조직이 총 탈취한 자금은 약 3.35억 달러에 달합니다.

이 집단은 재정적 동기를 가진 사이버 범죄에 집중하는 Lazarus Group의 하위 집단으로 널리 알려져 있습니다. Lazarus Group은 2025년 2월 Bybit에서 약 15억 달러의 자산을 탈취하여 암호화폐 역사상 최대 단일 도난 사건을 기록했습니다.

사진 출처: SotaMedia

Lazarus Group은 북한 정부가 지원하는 사이버 위협 행위자 집단으로, 정찰총국에 소속되어 있으며 UNC4736(즉, AppleJeus/Citrine Sleet), TraderTraitor 등 여러 하위 집단을 포함합니다. Chainalysis에 따르면, 북한 해커들은 Lazarus 등 집단을 통해 총 67.5억 달러의 암호화폐를 탈취했으며, 2025년에는 20억 달러를 초과했습니다.

이 조직은 여러 차례 전 세계적으로 큰 충격을 준 공격 사건을 일으켰습니다: 2014년 소니 픽처스가 파괴되었고, 2016년 방글라데시 중앙은행에서 8100만 달러가 도난당했으며, 2017년 WannaCry 랜섬웨어가 전 세계적으로 확산되었고, 2022년 Ronin Bridge와 Harmony Horizon Bridge에서 각각 6.2억 달러와 1억 달러가 도난당했습니다. 2023년 Atomic Wallet과 Stake가 연이어 공격을 받았으며, 2024년 10월 UNC4736이 Radiant Capital을 공격하여 5000만 달러를 탈취했습니다. 2025년 2월 TraderTraitor가 Bybit에서 기록적인 15억 달러를 탈취했으며, 2026년 4월 Drift Protocol에 대한 2.85억 달러 공격을 완료했습니다.

Lazarus는 북한의 암호화 탈취 금액을 67.5억 달러로 증가시켰습니다. 공격 방식은 초기 파괴에서 장기 침투, 사회 공학, 공급망 공격, 악성 스마트 계약/다중 서명 침투 등으로 변화했습니다.

Drift 성명서는 조사 결과 제3자 지향 작전에서 사용된 신원이 완전한 개인 및 직업 이력을 보유하고 있으며, 경력, 공개 자격 및 전문 네트워크를 포함한다고 밝혔습니다. Drift 기여자들이 오프라인에서 만난 사람들은 수개월 동안 상업적 협력 배경 검토를 견딜 수 있는 신원 프로필을 구축하는 데 시간을 투자했습니다.

보안 연구원 Taylor Monahan은 이전에 북한 IT 근로자들이 최소 7년 동안 암호화폐 회사와 DeFi 프로젝트에 침투해 왔으며, 40개 이상의 DeFi 플랫폼에서 다양한 단계에서 북한 IT 근로자가 참여했다고 밝혔습니다. Drift 사건은 공격자가 원격 구직 침투에서 오프라인 대면, 수개월에 걸친 지향 정보 작전으로 발전했음을 추가로 보여줍니다.

Drift는 법 집행 기관, 포렌식 파트너 및 생태 팀과 계속 협력할 것이며, 조사 완료 후 더 많은 세부 사항을 발표할 예정입니다. 모든 남은 프로토콜 기능은 동결되었으며, 도난당한 지갑은 다중 서명에서 제거되었고, 공격자 주소는 각 거래소 및 크로스 체인 브리지 운영자에게 표시되었습니다.