샘에 따르면, 사건은 바이빗 콜드월렛에서 10억 달러 상당 토큰이 새 주소로 이체되며 시작됐다. 곧이어 약 2억 달러 규모의 LST가 청산됐고, 이를 확인한 SEAL 911 커뮤니티는 즉각 각 거래소에 경고를 발송했다. 바이빗 측과 분석가들은 다중서명 계약이 검증되지 않은 새 버전으로 교체됐다는 점을 확인했다. 이는 단순한 유지보수가 아닌 해킹이었다. 이후 파악된 사실은 충격적이었다. 북한 해커가 다중서명 지갑 서비스 ‘세이프월렛(Safe{Wallet})’의 인프라를 직접 침투해, 바이빗을 겨냥한 악성 코드를 배포했던 것이다.

북한 사이버 조직의 정체

북한의 사이버 공격은 정규 군 조직 아래 체계적으로 이뤄진다. 샘은 이를 이해하려면 북한의 조직도를 알아야 한다고 설명했다. 핵심은 △정찰총국(RGB) △군수공업부(MID)다. 정찰총국은 라자루스 그룹(Lazarus Group) 등 대부분의 사이버 공격 조직을 지휘하며, 암호화폐 해킹의 중심이다. MID는 핵무기 개발과 IT 인력 수출을 담당한다.

라자루스 그룹은 2014년 소니 픽처스 해킹을 시작으로 세계적 규모의 사이버 공격을 이어왔다. 2016년 방글라데시 중앙은행에서 거의 10억 달러를 탈취하려 시도했고, 2017년 워너크라이(WannaCry) 랜섬웨어로 수십억 달러 피해를 유발했다. 이후 암호화폐로 눈을 돌려, 자금을 탈취하고 북한 정권에 재정을 공급하고 있다.

이들은 단일 조직이 아니라, 목적에 따라 갈라진 여러 하위 그룹으로 나뉜다. APT38은 금융기관을 주 타깃으로 삼고, 애플제우스(AppleJeus)는 악성코드를 소프트웨어에 심는 공급망 공격에 주력한다. 트레이더트레이터(TraderTraitor)는 고도로 정밀한 피싱 기법으로 거래소 콜드월렛을 탈취하는 데 능숙하다. 라디언트 캐피털이나 와지르X 해킹이 대표 사례다.

북한 IT 인력 침투 전략

샘은 북한이 사이버 공격뿐 아니라, 정상적인 IT 인력으로 위장해 글로벌 기업 내부로 침투하는 전략도 강화하고 있다고 분석했다. 이른바 ‘웨이지몰(Wagemole)’과 ‘컨테이저스 인터뷰(Contagious Interview)’다.

웨이지몰은 가짜 신분으로 외국 기업에 취업해 장기간 잠복하며 기회를 엿본다. 먼처블스(Munchables) 해킹처럼 내부 접근 권한을 활용해 스마트 계약을 조작하는 방식이다. 반면 컨테이저스 인터뷰는 구직자를 가장해 백도어가 담긴 과제를 전달하는 방식으로 외부 개발자의 기기를 감염시킨다.

“기본 보안 수칙만으로는 부족”

샘은 “북한 해커들이 아직 암호화폐 분야에서 전문가들도 모르는 보안 문제를 이용하진 않았지만, 해킹 방식이 너무 치밀해서 기본적인 보안만으로는 막기 어렵다”고 말했다. 특히 트레이더트레이터의 공격은 기존 보안 시스템을 우회하며 콜드월렛 자체를 탈취하는 방식이기 때문에, 조직 차원의 복수 서명 구조와 검증 프로세스가 필요하다고 강조했다.

끝으로 그는 “FBI가 북한 사이버 활동 전담 부서를 운영 중이며, 피해 기업에 통보를 진행하고 있다”며, “업계 관계자들은 SEAL 911 같은 커뮤니티나 보안 담당자들과의 네트워크를 갖춰야 한다”고 조언했다.