북한 해킹이 이제 대상을 가리지 않는다는 분석이다. 최근 아시아 웹3 전문 리서치 기관 타이거리서치가 발표한 보고서에 따르면, 북한 해커들의 암호화폐 해킹 수법이 점점 정교해지고 있으며, 그 범위 또한 광범위하게 확대되고 있다.
보고서 제목은 “북한의 15억 달러 암호화폐 탈취 사건과 교훈, 다음은 당신”으로, 해킹이 더 이상 특정 기업이나 국가에 국한된 문제가 아니라는 점을 강하게 시사하고 있다.
특히 지난 2월 발생한 바이비트(Bybit) 거래소 해킹 사건은 그 심각성을 여실히 드러냈다.
무려 15억 달러 규모의 암호화폐가 탈취당했으며, 그 과정에서 사용된 수법은 사회공학적 접근이었다는 점에서 업계의 경각심이 높아지고 있다.
북한 해킹, 바이비트 어떻게 당했나? 🧨
타이거리서치는 이번 보고서에서 바이비트 해킹 사고의 발생 경위를 상세히 분석했다.
북한 해커들은 단순한 기술 침투가 아닌, 직원 또는 파트너를 가장한 사회공학적 수법을 활용해 내부 시스템에 접근한 것으로 알려졌다.
보고서에 따르면, 이러한 공격은 단발성이 아니라 철저히 계획된 다단계 전략으로 진행됐으며, 공격 이후에도 흔적을 최소화하는 방식으로 이뤄졌다.
이는 기존 보안 체계로는 탐지하기 어렵고, 사람의 심리를 악용하는 점에서 매우 위험한 유형이다.
결국 이러한 방식은 기술적 보완뿐 아니라, 내부 보안 교육과 절차 개선이 함께 이뤄지지 않으면 막기 어렵다는 것을 보여준다.
탈중앙화 프로젝트, 더 위험할 수 있다 🚨
보고서는 특히 탈중앙화된 웹3 프로젝트들이 오히려 중앙화 시스템보다 더 취약할 수 있다고 지적했다.
이유는 명확하다. 명확한 보안 책임 주체가 없고, 코드나 스마트컨트랙트에 의존하는 경우가 많기 때문이다.
타이거리서치는 “보안에 투자하지 않는 탈중앙화 프로젝트는 위험을 키우는 셈”이라며, 단계적인 보안 강화와 전문 인력 확보의 필요성을 강조했다.
특히 초기 단계의 스타트업이나 신생 프로젝트일수록 보안이 뒷전으로 밀리는 경우가 많은데, 이는 곧 치명적인 결과를 초래할 수 있다고 경고했다.
웹3 생태계가 점점 확대되고 있는 지금, 한 번의 해킹이 프로젝트 전체의 존립에 영향을 줄 수 있는 만큼, 보안은 선택이 아닌 필수라는 인식이 필요하다.
사회공학 해킹, 이제 누구도 예외는 없다 🧠
이번 보고서는 단순한 기술 해킹이 아니라, 인간 심리를 노리는 사회공학적 해킹의 위협에 방점을 찍고 있다.
이런 방식은 누구나 피해자가 될 수 있다는 점에서 특히 위험하다.
예를 들어 가짜 회의 초대, 위장된 협업 제안, 또는 링크 클릭 유도 등 일상적인 소통 과정 속에서 보안의 틈을 파고들기 때문에, 방심한 순간 침투당할 가능성이 높다.
즉, ‘나는 작아서 괜찮다’는 생각은 더 이상 통하지 않는다는 것이 업계 전문가들의 의견이다.
보고서는 끝으로 “보안은 제품의 완성 이후가 아니라, 기획 초기부터 고려되어야 한다”며, 개발 단계에서부터의 보안 설계가 중요하다고 강조했다.