북한이 2026년 1월부터 4월까지 단 4개월 만에 전체 암호화폐 해킹 피해액의 76%를 가져갔다. TRM Labs 보고서에 따르면, 같은 기간 전체 피해액 6억 5,100만 달러 중 5억 7,700만 달러가 북한 연계 해킹 조직에 의해 탈취됐다. Drift Protocol과 Kelp DAO, 두 건의 대형 공격이 이 수치를 만들어냈다.
핵심 데이터
- 북한(DPRK) 탈취액 2026년 1~4월 $577,000,000
- 2026년 4월까지 전체 해킹 피해액 $651,000,000
- 전체 대비 북한 비중 76%
- Drift Protocol (4월 1일, TraderTraitor) $285,000,000
- Kelp DAO (4월 18일, TraderTraitor) $292,000,000
- 2026년 4월, 2025년 2월 이후 최악의 달 $651M 합계
출처: TRM Labs, Chainalysis, Elliptic · 2026년 5월
출처: TRM Labs, Chainalysis, Elliptic · 2026년 5월
두 건의 공격, 완전히 다른 두 프로토콜, 그러나 동일한 공격자, 동일한 달. Elliptic과 TRM Labs에 따르면. 4월 1일 Solana 기반 Drift Protocol에서 2억 8,500만 달러가 탈취됐으며. 이 공격은 라자루스 그룹(Lazarus Group) 산하 하위 조직 TraderTraitor의 소행으로 귀속됐다. 4월 18일 Kelp DAO에서는 동일 조직이 LayerZero 브리지를 벡터로 활용해 2억 9,200만 달러를 추가로 빼냈다. Solana 소셜 엔지니어링 방식과는 전혀 다른 수법이었다. 북한은 즉흥적으로 움직이지 않았다 그리고 여러 전선에서 동시에 작전을 수행하고 있었다.
보안 사고 보고서
- 프로토콜 Drift Protocol (Solana)
- 탈취 금액 $285,000,000
- 날짜 2026년 4월 1일
- 공격 벡터 장기 침투: 3월 11일 CarbonVote Token(CVT) 생성 후 조직적인 워시 트레이딩 실행, 이후 12분 만에 Drift 볼트 익스플로잇. 미국 근무 시간대에 6시간에 걸쳐 Circle CCTP를 통해 Solana에서 Ethereum으로 자금 브리지.
- 귀속 라자루스 그룹 / TraderTraitor (Elliptic, TRM Labs). 타임스탬프 평양 시간대와 일치. Tornado Cash에서 10 ETH 사전 자금 조달.
출처: Elliptic, TRM Labs, ZachXBT · 2026년 4월
출처: Elliptic, TRM Labs, ZachXBT · 2026년 4월
보안 사고 보고서
- 프로토콜 Kelp DAO (rsETH/LayerZero)
- 탈취 금액 $292,000,000
- 날짜 2026년 4월 18~19일
- 공격 벡터 LayerZero DVN RPC 침해 및 미침해 노드 DDoS. rsETH 116,500개 탈취. 담보로 사용된 rsETH로 인해 Aave V3에 부실 채무 발생.
- 귀속 라자루스 그룹 / TraderTraitor (LayerZero 공식 사후 분석, 2026년 4월 20일). 약 1억 7,500만 달러가 36시간 내 THORChain을 통해 세탁됨.
출처: LayerZero Labs, Chainalysis, ZachXBT · 2026년 4월
출처: LayerZero Labs, Chainalysis, ZachXBT · 2026년 4월
Kelp DAO 익스플로잇 전체 분석과 Drift Protocol 사례, 그리고 익스플로잇 이후 Aave 위기가 어떻게 수습됐는지 확인하려면, Kelp DAO 익스플로잇 상세 분석과 Drift Protocol 사건 보고서, 그리고 Aave의 rsETH 95% 회수 과정을 참조하라.
북한은 어떻게 암호화폐를 훔치나?
수법이 진화했다. 방 한 칸에 앉아 스마트 컨트랙트 취약점을 찾는 해커의 이야기가 아니다. Chainalysis, TRM Labs, FBI 연구팀이 TraderTraitor로 지목한 북한 조직은 하나의 기업처럼 운영된다. Cisco Talos가 문서화한 GhostHire 작전처럼, 가짜 채용 공고를 통해 개발자를 모집한다. 이들을 암호화폐 기업에 계약직 직원으로 침투시켜 수개월간 일반 직원처럼 근무하게 한다. 그리고 정해진 순간, 내부 접근 권한을 이용해 키를 탈취하고, 설정을 변경하거나, 지갑을 비운다.
#PeckShieldAlert @THORChain has been exploited for ~$10M worth of crypto, including 36.75 $BTC ($3M) and ~$7M worth of assets from #BNBChain, #Ethereum, and #Base.
, PeckShieldAlert (@PeckShieldAlert) May 15, 2026
The stolen funds mainly sit in:
bc1ql4u94klk265lnfur2ujk9p6uh52f2a8jhf6f37… pic.twitter.com/mhWIWueVPK
Drift 사건은 가장 상세히 기록된 케이스다. 공격자들은 공격 3주 전인 3월 23일 Solana 개발자 계정을 생성했다. CarbonVote Token을 신뢰할 수 있게 보이도록 워시 트레이딩을 반복했다. 그리고 기다렸다 한편 4월 1일, 12분 만에 볼트를 비웠다. 이어 Circle의 크로스체인 프로토콜 CCTP를 이용해 미국 근무 시간대인 6시간 동안 2억 3,200만 달러를 Solana에서 Ethereum으로 이전했다. Circle은 개입하지 않았다. Kelp 익스플로잇에서의 라자루스 그룹 역할 역시 동일한 장기 계획 논리를 따랐다.
AI가 공격 과정에 합류하고 있다. Cisco Talos가 문서화한 GhostCall 및 GhostHire 캠페인은 복제된 목소리와 딥페이크를 사용해 Web3 채용 화상 면접에서 임원을 사칭한다. 침투 성공률이 올라가고 있다. EVMbench 벤치마크가 상정하는 “AI가 스마트 컨트랙트를 직접 공격”하는 단계는 아직 아니다. 그러나 이미 AI는 익스플로잇 전 준비와 위장 수단으로 활용되고 있다.
THORChain 공격과 향후 전망
결과적으로, TRM Labs는 5월 15일 THORChain 익스플로잇을 아직 북한 소행으로 공식 귀속하지 않았다. 그러나 PeckShieldAlert가 X에 게시한 분석에 따르면. 해당 공격으로 약 1,080만 달러 상당의 암호화폐가 탈취됐으며 36.75 BTC(약 300만 달러)와 BNB 체인. Ethereum, Base 기반 자산이 포함됐다. 만약 TraderTraitor의 관여가 확인된다면, 2026년 북한의 암호화폐 피해액은 연중 반환점도 되기 전에 5억 8,800만 달러를 넘어서게 된다.
규제 대응과 한국 투자자가 주목해야 할 사항
국제 제재 당국의 대응은 충분하지 않다. OFAC는 2026년 3월을 포함해 여러 차례 북한 자금 조달 촉진자를 제재했지만, 실제 탈취를 막지 못했다. 유럽연합의 규제 논의는 러시아 관련 암호화폐 제한에 집중된 반면. 북한 문제는 업계에서 가장 현실적이고 가장 덜 해결된 보안 과제로 남아 있다.
한국 투자자 관점에서 이 문제는 더 직접적이다. 금융감독원(FSS)과 DAXA 소속 거래소인 Upbit, Bithumb은 가상자산이용자보호법(2024년 시행)에 따라 이상 거래 탐지 의무를 이미 부담한다. 그러나 크로스체인 브리지와 DeFi 프로토콜에 대한 온체인 트랜잭션 스크리닝 체계는 국내외를 막론하고 99%의 브리지와 크로스체인 프로토콜에 아직 존재하지 않는다. THORChain 커뮤니티는 5월 22~23일까지 자체 조치 투표를 진행한다. 만약 귀속이 바뀐다면, 업계 전반에 트랜잭션 스크리닝 메커니즘 도입 압력이 높아질 것이다. SpazioCrypto 해킹 섹션에서 모든 후속 업데이트를 확인하라.
