⚠️ 면책고지 / Disclaimer
본 포스트는 개인적인 사견이며 투자 권유가 아닙니다. 공개된 자료와 언론 보도(FBI, OFAC, Chainalysis, TRM Labs 등)를 기반으로 작성되었습니다. 모든 투자 판단과 책임은 본인에게 있습니다. 더 많은 코인 분석은 cryptodaq.kr 에서 확인하세요.
2026년 4월 18일 켈프다오(Kelp DAO) $292M 해킹 사건의 가장 유력한 배후는 북한 라자루스 그룹(Lazarus Group)입니다. 그러나 이는 처음이 아닙니다. 라자루스 그룹은 지난 10년간 암호화폐 산업에서 누적 $5B+ (약 7조 원)를 도난한, 인류 역사상 가장 성공적인 사이버 강도단입니다.
이 글은 라자루스 그룹의 2014년 Sony Pictures 해킹부터 2026년 켈프다오 사건까지 12년간의 모든 주요 해킹을 시간순으로 정리합니다. 그들의 정체, 작동 방식, 자금 세탁 패턴, 그리고 한국이 왜 가장 자주 표적이 되는지까지 — 빠짐없이 다룹니다.
라자루스 그룹 — 한눈에 보기
$5B+ 누적 도난액 |
12년 활동 기간 |
60% 전체 해킹 비중 |
15+ 주요 대형 해킹 |
1부. 라자루스 그룹이란 — 정체부터 정리하자
라자루스 그룹(Lazarus Group)은 북한 정찰총국(Reconnaissance General Bureau, RGB) 산하의 사이버 부대로 알려진 해커 집단입니다. 미국 FBI, CISA, 영국 NCSC가 공식적으로 북한 정부 후원 조직으로 지정했습니다.
1-1. 다른 이름들
라자루스 그룹은 여러 이름으로 불립니다:
- Lazarus Group (가장 일반적)
- Hidden Cobra (미국 정부 공식 명칭)
- APT38 (Mandiant 분류, 금융 표적 부서)
- BlueNoroff (암호화폐 전담 하위 조직)
- Andariel (한국 표적 하위 조직)
- Guardians of Peace (Sony 해킹 시 사용한 이름)
1-2. 조직 구조 — 3개 하위 부서
| 부서 | 표적 | 대표 활동 |
|---|---|---|
| BlueNoroff | 암호화폐 거래소·DeFi | Bybit, Ronin, Kelp DAO 등 |
| Andariel | 한국 정부·기업 | 한국 거래소 (야피존, 유빗) |
| APT38 | 전 세계 금융 시스템 | SWIFT 해킹 (방글라데시 중앙은행) |
1-3. 왜 북한이 사이버 공격을 하나
⚠️ 핵심 동기 4가지
- 국제 제재 우회 — UN과 미국의 강력한 제재로 합법적 외화 수입 어려움. 사이버 강도가 핵심 외화벌이 수단
- 핵·미사일 자금 — UN 보고서에 따르면 도난 자금의 50%+가 무기 개발에 사용
- 저비용 고수익 — 사이버 부대 운영 비용은 전통 군사력 대비 극히 낮음, 수익률은 매우 높음
- 추적 어려움 — 북한 영토에서 활동하므로 외국 법 집행 사실상 불가능
1-4. 인력 규모
한국 국정원과 미국 정부 추정에 따르면 라자루스 그룹의 인력은 약 6,000~7,000명입니다. 주요 거점:
- 평양 본부 — 정찰총국 산하 지휘부
- 중국 단둥, 선양 — 해외 작전 거점
- 러시아 블라디보스톡 — 일부 작전
- 동남아시아 — 자금 세탁 거점
2부. 초기 활동 (2009~2016) — 사이버 강도단의 탄생
2-1. Operation Troy (2009~2013)
라자루스 그룹의 활동이 처음 외부에 알려진 건 2009년 7월 미국 독립기념일에 발생한 한국·미국 정부 사이트 DDoS 공격이었습니다. 당시는 단순 사이버 시위로 여겨졌지만, 후에 이는 라자루스의 첫 대규모 작전으로 밝혀졌습니다.
2-2. 다크서울 (DarkSeoul, 2013)
2013년 3월 20일, 한국의 KBS, MBC, 신한은행, 농협 등 6개 주요 기관의 컴퓨터 32,000대가 동시에 마비됐습니다. 이 사건은 "320 사이버 테러"로 불리며, 라자루스 그룹의 본격적 한국 표적화 시작점이었습니다.
2-3. Sony Pictures 해킹 (2014)
⚠️ Sony Pictures 사건 (2014.11)
라자루스 그룹이 국제적으로 유명해진 결정적 사건. 김정은 풍자 영화 "The Interview" 제작에 대한 보복으로 Sony Pictures의 모든 시스템을 마비시키고 100TB의 내부 데이터를 유출했습니다.
- Sony 직원 4,000명의 개인정보 유출
- 미공개 영화 5편 유출
- 경영진 이메일 공개 → 다수 임원 사임
- 피해액 약 $35M + 평판 손상 막대
- FBI 공식 북한 소행 판정 → 첫 미국 공식 비난
2-4. 방글라데시 중앙은행 SWIFT 해킹 (2016)
2016년 2월, 라자루스 그룹은 방글라데시 중앙은행의 SWIFT 시스템을 해킹해 $951M 송금 시도를 했고, 그 중 $81M을 필리핀의 한 은행으로 빼돌리는 데 성공했습니다. 이는 역사상 가장 큰 은행 강도 사건 중 하나입니다.
송금 명령 중 일부 단어 철자 오타("foundation"을 "fandation"으로 적음)가 발견되어 추가 송금이 차단됐습니다. 이 작은 실수가 없었다면 $1B을 빼돌릴 뻔했습니다.
2-5. WannaCry 랜섬웨어 (2017)
2017년 5월, WannaCry 랜섬웨어가 전 세계 150개국, 23만 대 이상의 컴퓨터를 감염시켰습니다. 영국 NHS(국민건강서비스)가 마비되고 병원 운영이 중단됐습니다. 미국 정부는 이 공격의 배후가 라자루스 그룹이라고 공식 발표했습니다.
- 전 세계 피해 규모: 약 $4B+ (예상)
- 실제 라자루스 수익은 적었음 (BTC $140K 정도)
- 의도가 단순 강도였는지, 혼란 조성이었는지 논쟁 중
- 이후 마커스 허친스라는 보안 연구자가 "킬 스위치"를 발견해 확산 차단
3부. 한국 거래소 침투 (2017~2018) — 야피존과 유빗
2017년부터 라자루스 그룹은 본격적으로 암호화폐로 표적을 전환했습니다. 첫 표적은 한국의 거래소들이었습니다.
3-1. 야피존 해킹 (2017.04)
| 항목 | 내용 |
|---|---|
| 시점 | 2017년 4월 22일 |
| 피해액 | 약 5,500만 원 (당시 BTC 기준) |
| 공격 방식 | 스피어피싱으로 직원 이메일 침투 → 핫월렛 키 탈취 |
| 결과 | 사용자 자산 37% 소각으로 손실 분담 |
3-2. 유빗 해킹 (2017.12)
⚠️ 유빗 사건 — 한국 첫 거래소 파산
야피존이 이름을 바꾼 거래소 유빗이 2017년 12월 19일 두 번째 해킹을 당했습니다. 이번에는 약 $35M 도난. 거래소는 즉시 파산을 선언했고, 한국 첫 암호화폐 거래소 파산 사례가 됐습니다.
- 전체 자산의 17% 도난
- 사용자 손실 분담 75%
- 대표 이종우 자살 시도
- 한국 정부 거래소 보안 규정 강화 계기
3-3. 빗썸 해킹 시도 (2018.06)
2018년 6월 빗썸이 약 $30M (350억 원)을 도난당했습니다. 이 또한 라자루스 그룹의 소행으로 확인됐습니다. 다행히 빗썸은 자체 자본으로 100% 보전했지만, 한국 거래소 보안의 취약성이 다시 드러난 사건이었습니다.
4부. 코인체크 $534M 해킹 (2018.01) — 첫 대형 암호화폐 해킹
2018년 1월 26일, 일본 거래소 코인체크(Coincheck)가 $534M (약 7,500억 원) 상당의 NEM을 도난당했습니다. 당시 단일 사건 기준 역대 최대 암호화폐 해킹이었습니다.
4-1. 사건 개요
| 항목 | 내용 |
|---|---|
| 시점 | 2018년 1월 26일 |
| 피해액 | $534M (5억 NEM) |
| 공격 방식 | 스피어피싱 + 멀웨어 → 핫월렛 키 탈취 |
| 핵심 결함 | 콜드월렛이 아닌 핫월렛에 거액 보관 |
| 회수율 | ~5% (NEM 재단 추적 후 일부 동결) |
4-2. 자금 추적과 세탁
도난당한 5억 NEM은 즉시 30개 이상의 지갑으로 분산됐고, 다음 단계로 진행됐습니다:
- NEM 재단이 모든 도난 NEM에 "stolen" 태그를 붙임
- 주요 거래소들이 태그된 NEM 거래 차단
- 라자루스가 다크웹에서 30~50% 할인 가격으로 판매 시도
- 일부는 익명 ZCash 등으로 변환 시도
- 최종 회수율 5% 미만
4-3. 코인체크의 운명
코인체크는 도산 직전까지 갔지만 일본 증권 회사 마넥스 그룹이 인수하여 살아남았습니다. 이후 일본 FSA(금융청)는 거래소 보안 규제를 대폭 강화했고, 이는 전 세계 거래소 규제의 모델이 됐습니다.
5부. KuCoin $281M 해킹 (2020.09)
2020년 9월 26일, 싱가포르 기반 거래소 KuCoin이 $281M을 도난당했습니다. 라자루스 그룹의 거래소 해킹 능력이 한 단계 진화했음을 보여준 사건입니다.
5-1. 사건 특징
- 다양한 자산 동시 도난: BTC, ETH, ERC-20 토큰 200+ 종
- 핫월렛 개인키 직접 탈취: 어떻게 탈취했는지는 미공개
- 자금 즉시 분산: 1주일 내 수백 개 지갑으로 분산
5-2. KuCoin의 대응
✅ 84% 회수 — 거래소 협력의 모범
KuCoin은 다른 거래소들과 적극 협력하여 약 $238M (84%)을 회수했습니다. 이는 거래소 해킹 회수율의 역대 최고 기록입니다.
- 주요 토큰 발행사들이 도난 토큰의 컨트랙트 주소 변경
- 다른 거래소들이 도난 자금 입금 차단
- 탈취된 NFT는 OpenSea 등에서 판매 차단
- 나머지 16%는 자체 자본으로 보전
6부. Ronin Bridge $625M (2022.03) — 역대 최대 DeFi 해킹
2022년 3월 23일, 액시 인피니티의 Ronin Bridge가 $625M을 도난당했습니다. 단일 DeFi 사건으로는 역대 최대 규모이자, 라자루스 그룹의 가장 성공적인 작전 중 하나입니다.
6-1. 사건 개요
| 항목 | 내용 |
|---|---|
| 시점 | 2022년 3월 23일 (발견은 3월 29일) |
| 피해액 | 173,600 ETH + 25.5M USDC ≈ $625M |
| 공격 방식 | 검증자 9개 중 5개의 키 탈취 → 위조 출금 명령 |
| 회수율 | ~5% (FBI가 일부 추적) |
6-2. 공격 메커니즘 — LinkedIn 가짜 채용
⚠️ 라자루스의 정교한 사회공학 공격
- 라자루스가 가짜 회사를 만들고 LinkedIn에서 Sky Mavis(Ronin 운영사) 직원에게 가짜 채용 제안
- 인터뷰 통과 후 "오퍼 레터" PDF 전송 → 실제로는 멀웨어
- 직원이 PDF 열자 컴퓨터에 백도어 설치
- 백도어로 검증자 4개의 키 탈취
- 나머지 1개 키는 Axie DAO가 임시로 위임한 키 (위임 후 해제 안 함)
- 5/9 키 확보 → 위조 출금 명령 → $625M 인출
6-3. 발견까지 6일 — 가장 늦은 발견
충격적이게도 이 거대한 해킹은 사건 발생 6일 후에야 발견됐습니다. Ronin은 사용자가 출금이 안 된다고 신고할 때까지 도난 사실을 몰랐습니다. 이는 모니터링 시스템의 부재를 보여준 사례입니다.
7부. Harmony Bridge $100M (2022.06)
Ronin 해킹 3개월 후, 라자루스는 또 다른 브리지를 표적으로 삼았습니다. Harmony 블록체인의 Horizon Bridge에서 $100M을 도난당했습니다.
7-1. 사건 개요
| 항목 | 내용 |
|---|---|
| 시점 | 2022년 6월 23일 |
| 피해액 | $100M (다양한 자산) |
| 공격 방식 | 멀티시그 5개 중 2개 키 탈취 (Ronin과 유사) |
| 회수율 | ~3% |
7-2. 약한 멀티시그 구조의 교훈
Harmony Bridge는 멀티시그가 5개 중 2개만 있으면 거래가 가능한 매우 약한 구조였습니다. 이는 검증자 수와 임계값(threshold)이 보안에 결정적임을 보여준 사례입니다.
8부. Atomic Wallet $100M (2023.06) — 사용자 지갑 직접 침투
2023년 6월, 라자루스는 거래소나 브리지가 아닌 개인 지갑 자체를 표적으로 삼는 새로운 패턴을 보여줬습니다. 비수탁(non-custodial) 지갑인 Atomic Wallet의 사용자 5,500명 이상의 자산 약 $100M이 도난당했습니다.
8-1. 사건 개요
| 항목 | 내용 |
|---|---|
| 시점 | 2023년 6월 3일~ |
| 피해자 수 | 5,500+ 명 |
| 피해액 | $100M+ |
| 공격 방식 | 앱 자체의 시드 생성 결함 + 사용자 기기 침투 추정 |
8-2. 충격적인 점
⚠️ "내 지갑이 안전하다"는 신화 깨짐
비수탁 지갑은 사용자가 개인키를 직접 관리하므로 거래소보다 안전하다고 여겨졌습니다. 그러나 Atomic Wallet 사건은 다음을 보여줬습니다:
- 지갑 앱 자체의 결함이 있으면 모든 사용자가 동시에 위험
- 피싱 사이트, 가짜 앱 등으로 시드가 유출될 수 있음
- 5,500명이 동시에 당했다 = 단순 사용자 부주의가 아니라 시스템적 결함
- Atomic Wallet은 책임 부인, 보상 안 함 → 사용자 완전 손실
9부. WazirX $235M (2024.07) — 인도 거래소 무너뜨림
2024년 7월 18일, 인도 최대 암호화폐 거래소 WazirX가 $235M을 도난당했습니다. 이는 인도 암호화폐 산업에 큰 타격을 입혔습니다.
9-1. 사건 개요
| 항목 | 내용 |
|---|---|
| 시점 | 2024년 7월 18일 |
| 피해액 | $235M (전체 자산의 45%) |
| 공격 방식 | 멀티시그 우회 (Liminal Custody 협력 위장) |
| 현재 상황 | 파산 신청, 사용자 자금 동결 중 |
9-2. 한국 사용자 시사점
WazirX 사건은 거래소 자체보다 거래소가 사용하는 외부 커스터디 서비스의 위험성을 보여줬습니다. 한국 거래소들도 일부 자산을 외부 커스터디(BitGo, Fireblocks 등)에 맡기는데, 이런 외부 서비스가 표적이 될 수 있습니다.
10부. Bybit $1.4B (2025.02) — 사상 최대 해킹
2025년 2월 21일, 두바이 기반 거래소 Bybit이 $1.4B (약 2조 원)을 도난당했습니다. 역사상 가장 큰 단일 해킹이며, 라자루스 그룹의 가장 큰 작전입니다.
10-1. 사건 개요
| 항목 | 내용 |
|---|---|
| 시점 | 2025년 2월 21일 |
| 피해액 | $1.4B (401,346 ETH) |
| 공격 방식 | 콜드월렛 인터페이스 위조 → 합법적 송금처럼 위장 |
| 회수율 | ~5% 추적 중, 대부분 손실 확정 |
10-2. 공격 메커니즘 — 콜드월렛도 안전하지 않다
⚠️ Bybit 해킹의 충격적인 방식
Bybit는 보안의 표준인 콜드월렛(인터넷 분리 보관)을 사용하고 있었습니다. 그러나 라자루스는 다른 방식으로 침투했습니다:
- Bybit 직원의 컴퓨터에 멀웨어 설치 (수개월간 잠복)
- 콜드월렛 송금 시 사용하는 Safe(멀티시그 지갑) UI 위조
- 직원이 정상 송금이라 생각하고 서명 → 실제로는 라자루스 지갑으로 송금
- 401,346 ETH가 한 번에 라자루스 지갑으로 이동
이는 콜드월렛도 사용자가 속으면 무용지물이라는 것을 보여준 사례입니다.
10-3. Bybit의 대응
✅ Bybit의 모범적 대응
- 즉시 공개 — 사건 후 1시간 내 트위터 공지
- 인출 보장 — 사용자 인출 100% 보장 발표
- 비상 자금 확보 — 다른 거래소들로부터 $1B+ 긴급 차입
- 현상금 — 도난 자금 추적자에게 $140M 현상금 (역대 최대)
- 운영 정상화 — 사건 후 10일 내 정상 운영 복귀
그러나 자금 회수는 거의 실패했고, Bybit은 자체 자본으로 $1.4B을 떠안게 됐습니다.
11부. Drift Protocol $285M (2026.04.01) — 솔라나 Perp DEX 첫 대형 해킹
2026년 4월 1일 만우절, 솔라나 기반 무기한 선물 거래소 Drift Protocol이 $285M을 도난당했습니다. 그동안 안전하다고 여겨졌던 Perp DEX 카테고리의 첫 대형 해킹입니다.
11-1. 사건 개요
| 항목 | 내용 |
|---|---|
| 시점 | 2026년 4월 1일 |
| 피해액 | $285M |
| 공격 방식 | 오라클 가격 조작 → 청산 메커니즘 악용 |
| 북한 연계 | Chainalysis, TRM Labs 공식 확인 |
11-2. 공격 패턴의 진화
Drift 사건은 라자루스가 단순 거래소·브리지 해킹을 넘어 DeFi 프로토콜의 복잡한 메커니즘 자체를 공격할 능력을 가졌음을 보여줬습니다. 오라클 가격 조작과 청산 메커니즘 악용은 매우 정교한 디파이 지식을 요구합니다.
12부. Kelp DAO $292M (2026.04.18) — 라자루스 의심 사건
Drift 해킹 17일 후 발생한 켈프다오 사건. 공식 확인은 안 됐지만 패턴 일치율 70%로 라자루스의 소행으로 강하게 의심됩니다.
12-1. 라자루스 패턴 일치 분석
| 패턴 | 일치 여부 |
|---|---|
| 크로스체인 브리지 표적 | ✅ 일치 |
| 즉시 다중 체인 분산 (20개) | ✅ 일치 |
| 주말/이른 새벽 공격 | ✅ 일치 (토요일 17:35 UTC) |
| 국가급 정교함 | ✅ 일치 |
| 알려진 라자루스 지갑 연결 | ⏳ 미확정 (조사 중) |
12-2. 17일 간격 — 라자루스의 활동 가속화
Drift($285M) 이후 17일 만에 Kelp($292M)가 발생한 패턴은 라자루스의 활동 빈도가 높아지고 있음을 시사합니다. 2025년 Bybit($1.4B) 이후 1년 만에 다시 대형 작전이 연이어 발생하고 있습니다.
13부. 자금 세탁 5단계 패턴 상세
라자루스 그룹은 도난 자금을 세탁하는 데 정형화된 5단계 패턴을 사용합니다. 이 패턴은 12년간 거의 변하지 않았습니다.
⚙️ 라자루스 자금 세탁 5단계
1단계 — 즉시 분산 (0~30분)
훔친 자금을 수십~수백 개의 지갑으로 즉시 분산. 단일 지점 동결 방지가 목적. 자동화된 봇 사용으로 매우 빠름.
2단계 — 크로스체인 스왑 (1~24시간)
THORChain, ChangeNow, FixedFloat 등 익명성이 높은 크로스체인 스왑을 통해 1차 세탁. ETH → BTC 등으로 변환.
3단계 — 믹서 통과 (1~7일)
Tornado Cash, Sinbad, Railgun 등 믹서 서비스 사용. 자금의 출처를 완전히 차단. 미국 OFAC 제재 후에도 새로운 믹서 계속 등장.
4단계 — BTC 변환 (7~30일)
최종적으로 비트코인으로 변환. BTC는 추적 가능하지만 유동성이 가장 풍부하고 OTC 시장이 활발.
5단계 — OTC 환전 (30일~수년)
중국, 러시아, 동남아의 OTC(Over-The-Counter) 데스크에서 USDT 또는 현금으로 환전. 일부는 실제 상품 구매(원자재, 컴퓨터 부품 등)에 사용.
13-1. 평균 세탁 기간
| 사건 | 총 세탁 기간 | 최종 회수율 |
|---|---|---|
| Sony Pictures (2014) | N/A | N/A (자금 아님) |
| 코인체크 (2018) | ~6개월 | 5% |
| Ronin (2022) | ~1년 | 5% |
| Bybit (2025) | 진행 중 (1년+) | 5% (예상) |
14부. OFAC 제재와 추적 노력
14-1. 미국의 대응
미국 정부(특히 Treasury Department의 OFAC)는 라자루스 그룹을 적극 추적하고 있습니다:
- 2019년 — 라자루스 그룹 + 산하 부서 BlueNoroff, Andariel 공식 제재 대상 지정
- 2022년 — Tornado Cash 믹서 제재 (라자루스 사용 이유)
- 2023년 — Sinbad 믹서 제재
- 2024년 — 다수의 라자루스 지갑 주소 OFAC 제재 목록 추가
14-2. Chainalysis와 TRM Labs의 추적
주요 블록체인 분석 회사들이 라자루스 자금 추적에 협력하고 있습니다:
- Chainalysis — 미국 정부와 협력, 자동 클러스터링으로 라자루스 지갑 식별
- TRM Labs — 거래소들에게 라자루스 자금 입금 차단 알림 서비스
- Elliptic — 영국 기반, 유럽 거래소들에게 정보 제공
14-3. 회수의 한계
Chainalysis 등은 라자루스 자금의 위치를 90%+ 정확도로 추적할 수 있습니다. 그러나 자금이 OFAC 제재 거래소가 아닌 곳(중국, 러시아, 일부 OTC 데스크)에 도달하면 사실상 회수 불가능합니다. 평균 회수율 10% 미만의 한계가 여기서 옵니다.
15부. 라자루스 누적 피해 — $5B+ 분석
15-1. 12년 누적 피해 통계
| 시점 | 표적 | 피해액 | 유형 |
|---|---|---|---|
| 2014.11 | Sony Pictures | $35M | 기업 데이터 |
| 2016.02 | 방글라데시 중앙은행 | $81M | SWIFT |
| 2017.04 | 야피존 | $5M | 한국 거래소 |
| 2017.05 | WannaCry | $140K | 랜섬웨어 |
| 2017.12 | 유빗 | $35M | 한국 거래소 |
| 2018.01 | 코인체크 | $534M | 일본 거래소 |
| 2018.06 | 빗썸 | $30M | 한국 거래소 |
| 2020.09 | KuCoin | $281M | 거래소 |
| 2022.03 | Ronin Bridge | $625M | DeFi 브리지 |
| 2022.06 | Harmony Bridge | $100M | DeFi 브리지 |
| 2023.06 | Atomic Wallet | $100M | 개인 지갑 |
| 2024.07 | WazirX | $235M | 인도 거래소 |
| 2025.02 | Bybit | $1,400M | 거래소 (사상 최대) |
| 2026.04.01 | Drift Protocol | $285M | Perp DEX |
| 2026.04.18 ⚠ | Kelp DAO (의심) | $292M | DeFi 브리지 |
📊 누적 통계 (2014~2026.04)
총 도난액: 약 $4.04B (한국 시점 환율로 약 5조 6,000억 원)
평균 회수율: 약 8% (대부분 영구 손실)
주요 사건 수: 15+ 건 (수십 건의 소형 사건 제외)
한국 표적 비중: 약 30% (직접 표적 + 간접 영향)
15-2. 자금의 사용처
UN 안보리 보고서와 한국 국정원 추정에 따르면, 라자루스가 도난한 자금은 다음과 같이 사용됩니다:
- 핵·미사일 개발: 50~60% — 주된 사용처
- 사이버 부대 운영: 15~20% — 인력 유지, 장비 구매
- 김정은 일가 사치품: 10~15% — 명품, 고급 차량
- 제재 우회 무역: 10~15% — 원자재 구매
- 대외 공작 자금: 5~10%
16부. 한국이 자주 표적이 되는 이유
16-1. 한국 표적화의 5가지 이유
⚠️ 왜 한국인가
- 지리·문화적 친밀도 — 같은 한국어 사용. 사회공학 공격 매우 용이
- 높은 암호화폐 보급률 — 한국은 전 세계 상위권. 표적 풍부
- 거래소 보안 약점 — 초기 한국 거래소들이 보안에 충분히 투자 안 함
- 정치적 동기 — 적국이라는 이유로 우선 표적
- 법 집행 한계 — 한국이 북한을 직접 추적·제재할 수단 제한적
16-2. 한국 거래소 보안 발전
야피존(2017), 유빗(2017), 빗썸(2018) 사건 후 한국 거래소들은 보안에 대대적 투자를 했습니다:
- 2017년 이전 — 핫월렛 90%+ 비중, 콜드월렛 보안 약함
- 2018~2020년 — 콜드월렛 80%+ 의무화, 보험 가입
- 2021년 이후 — 외부 커스터디(Fireblocks 등) 도입, MPC 멀티시그
- 2024년 이후 — 가상자산이용자보호법 시행, 보안 인증 의무화
16-3. 그러나 여전히 위협
한국 거래소들의 보안이 강화됐지만, 라자루스도 진화합니다. 2025년 Bybit 해킹은 콜드월렛도 사회공학 공격에는 무력함을 보여줬습니다. 한국 거래소들도 비슷한 위험에 노출되어 있습니다.
17부. 보안 가이드 — 라자루스로부터 자산 보호하기
17-1. 일반 사용자를 위한 5가지 원칙
✅ 자산 보호 5원칙
- 대형 거래소 사용 — 업비트, 빗썸, 코인원 등 보험 가입된 거래소
- 2단계 인증 필수 — Google Authenticator, Yubikey 사용
- 거액은 콜드월렛 — Ledger, Trezor 등 하드웨어 지갑
- 수상한 링크 절대 클릭 금지 — 라자루스의 80%는 피싱으로 시작
- 분산 보관 — 한 거래소·한 지갑에 모든 자산 집중 금지
17-2. 라자루스의 주요 사회공학 패턴 인식
| 패턴 | 사례 | 방어법 |
|---|---|---|
| LinkedIn 가짜 채용 | Ronin (2022) | PDF 첨부 절대 열지 않기, Sandbox 환경 사용 |
| 가짜 거래소 사이트 | 다수 사례 | URL 항상 확인, 북마크 사용 |
| 스피어피싱 이메일 | 코인체크, 빗썸 | 발신자 도메인 확인, 의심스러우면 직접 전화 확인 |
| UI 위조 (콜드월렛) | Bybit (2025) | 송금 주소 매번 시각적 검증, 다중 확인 |
| 가짜 모바일 앱 | Atomic Wallet 등 | 공식 스토어에서만 다운로드 |
18부. FAQ — 가장 많이 묻는 질문 15개
Q1. 라자루스 그룹은 정말 북한 정부 소속인가요?
미국 FBI, CISA, 영국 NCSC가 모두 공식 확인했습니다. 북한 정찰총국 산하의 사이버 부대입니다. 100% 확실합니다.
Q2. 그들은 어떻게 그렇게 정교한 공격을 할 수 있나요?
북한은 어린 시절부터 수학·컴퓨터 영재를 선발하여 사이버 부대로 양성합니다. 그들은 평생 직업으로 해킹만 하며, 약 6,000명 규모입니다. 인력 풀과 집중도가 압도적입니다.
Q3. 도난당한 돈은 진짜로 핵무기에 사용되나요?
UN 안보리 보고서가 공식적으로 확인한 사실입니다. 북한 외화 수입의 50%+가 사이버 강도이며, 대부분이 핵·미사일 개발에 사용됩니다.
Q4. 왜 라자루스를 막을 수 없나요?
북한 영토에서 활동하므로 외국 법 집행이 불가능합니다. 또한 인터넷이 매우 제한된 환경에서 활동하므로 사이버 공격에 대한 보복도 어렵습니다.
Q5. 한국 거래소가 또 해킹당할 가능성은?
높습니다. 한국은 라자루스의 주요 표적 중 하나이며, 보안이 강화됐지만 그들도 진화합니다. 사용자 차원의 보안도 중요합니다.
Q6. 내 비트코인이 도난당하면 보상받을 수 있나요?
거래소가 보험 가입 + 자체 자본이 충분하면 보전 가능합니다. 한국 주요 거래소(업비트, 빗썸)는 보험 가입되어 있습니다. 그러나 개인 지갑(메타마스크 등) 자산은 보상 불가능합니다.
Q7. Bybit이 어떻게 $1.4B을 보전했나요?
Bybit는 다른 거래소들로부터 긴급 차입($1B+)을 받고, 자체 자본을 동원하여 사용자 인출을 100% 보장했습니다. 사실상 회사가 빚을 지고 사용자를 보전한 케이스입니다.
Q8. 라자루스가 다음에 표적으로 삼을 곳은?
최근 패턴을 보면 (1) 대형 LRT/리스테이킹 프로젝트, (2) 중간 규모 거래소(특히 아시아), (3) 새 DeFi 프로토콜 등이 가능성 높습니다. 켈프다오 사건이 LRT 표적화의 시작일 수 있습니다.
Q9. 메타마스크 같은 개인 지갑은 안전한가요?
거래소보다는 안전하지만 100% 안전은 아닙니다. Atomic Wallet 사건이 보여줬듯 개인 지갑도 표적이 됩니다. 거액은 하드웨어 지갑 사용을 권장합니다.
Q10. 라자루스의 자금 세탁을 어떻게 추적하나요?
Chainalysis, TRM Labs 등 블록체인 분석 회사가 자동 클러스터링으로 라자루스 지갑을 식별합니다. 추적은 가능하지만 회수는 어렵습니다.
Q11. OFAC 제재가 효과가 있나요?
부분적으로 효과 있습니다. 미국·유럽·일본 거래소는 제재 자금 입금을 차단합니다. 그러나 중국·러시아 거래소나 OTC 시장은 제재를 따르지 않아 우회 가능합니다.
Q12. 디파이 보험이 라자루스 해킹을 보장하나요?
대부분의 디파이 보험(Nexus Mutual 등)은 스마트컨트랙트 결함만 보장하고 사회공학·키 탈취는 제외합니다. 즉, 라자루스 해킹의 대부분은 보험 청구 대상이 아닙니다.
Q13. 라자루스는 항상 같은 패턴인가요?
핵심 패턴(즉시 분산 → 믹서 → BTC 변환 → OTC)은 12년간 거의 변하지 않았습니다. 그러나 진입 방식(스피어피싱, UI 위조 등)은 계속 진화합니다.
Q14. 한국 정부는 어떻게 대응하나요?
국정원이 주도하여 라자루스 활동을 모니터링합니다. 또한 미국·일본과 정보 공유 협력. 그러나 직접 제재나 보복은 사실상 불가능합니다.
Q15. 라자루스가 사라질 가능성은?
북한 정권이 유지되는 한 사라지지 않을 것입니다. 사이버 강도는 북한의 핵심 외화 수입원이기 때문입니다. 가장 현실적인 시나리오는 (1) 북한 정권 변화, (2) 더 강력한 국제 제재 + 협력, (3) 디파이 보안의 근본적 개선입니다.
19부. 결론 — 라자루스와 함께 살아가는 시대
라자루스 그룹은 단순한 해커 집단이 아니라 국가가 후원하는 사이버 전쟁 부대입니다. 그들의 12년간 활동은 암호화폐 산업을 근본적으로 바꿨습니다 — 보안에 대한 인식, 거래소 운영 방식, 사용자 행동 모두에서.
이번 켈프다오 사건은 라자루스가 LRT/리스테이킹이라는 새로운 표적 카테고리에 진출했음을 보여줍니다. 향후 6개월~1년간 비슷한 패턴의 LRT 해킹이 더 발생할 가능성이 높습니다.
19-1. 핵심 교훈 5가지
📋 라자루스가 우리에게 가르친 5가지
1. 국가급 위협이 일상화됨 — 일반인도 국가급 해커의 표적이 될 수 있음
2. 완벽한 보안은 없음 — 콜드월렛, 멀티시그도 사회공학에 무력
3. 사용자 의식이 핵심 — 라자루스 공격의 80%가 사회공학으로 시작
4. 분산 보관 필수 — 한 곳에 집중하면 한 번에 잃을 수 있음
5. 회수는 거의 불가능 — 평균 회수율 8%, 예방이 유일한 방법
19-2. 마지막 한 마디
라자루스 그룹의 활동은 사라지지 않을 것입니다. 우리는 그들과 함께 살아가는 법을 배워야 합니다. 가장 중요한 건 각자의 자산을 각자가 보호한다는 마음가짐입니다. 거래소도, 정부도, 보안 회사도 우리를 100% 지켜주지 못합니다. 본인의 보안 의식과 행동만이 가장 확실한 방어입니다.
📌 함께 읽으면 좋은 글
- ▶ 크로스체인 브리지 안전성 등급 2026 — 켈프다오 해킹 후 안전한 브리지는?
- ▶ LRT 4대장 완전 비교 2026 — EtherFi · Renzo · Puffer · Kelp 누가 가장 안전한가?
- ▶ 켈프다오(Kelp DAO) 해킹 완전 해부 2026 — $292M, 46분, 무너진 리스테이킹의 신화
- ▶ 비트코인(BTC) 초보자 완벽 가이드 2026
- ▶ 이더리움(ETH) 완벽 가이드 2026
- ▶ 솔라나(SOL) 완벽 가이드 2026
- ▶ 롬바드(Lombard) BARD 코인 분석 2026
- ▶ 알파쿼크(AQT) 코인 정체 폭로 2026
- ▶ 라이트코인(LTC) 완벽 가이드 2026
- ▶ 테라·루나(LUNA) 완전 해부 2026
- ▶ 도지코인(DOGE) 완벽 가이드 2026
- ▶ 이더리움 클래식(ETC) 완전 해부 2026
- ▶ 오브스(ORBS) 코인, 나도 당했다
'코인 정보 가이드' 카테고리의 다른 글
| 리스테이킹 완벽 입문 가이드 2026 — 스테이킹부터 LRT까지 한 권으로 끝내는 한국인 가이드 (0) | 2026.04.20 |
|---|---|
| Aave 악성부채 $200M 사태 — Safety Module 슬래싱 임박, AAVE 보유자가 알아야 할 모든 것 (0) | 2026.04.20 |
| 크로스체인 브리지 안전성 등급 2026 — 켈프다오 해킹 후 안전한 브리지는? (0) | 2026.04.20 |
| LRT 4대장 완전 비교 2026 — EtherFi · Renzo · Puffer · Kelp 누가 가장 안전한가? (1) | 2026.04.20 |
| 켈프다오(Kelp DAO) 해킹 완전 해부 2026 — $292M, 46분, 그리고 무너진 리스테이킹의 신화 (1) | 2026.04.20 |