북한 해커, 크립토 앱 ‘켈프 DAO’에서 2930억원 상당 탈취…LayerZero로 돈세탁까지

북한 해커, 20일 만에 5790억원 탈취…켈프 DAO 공격으로 산업 신뢰 흔들려

암호화폐 산업이 북한 해커들의 대규모 공격으로 큰 타격을 입었다. 해커들은 단 20일 만에 온체인(블록체인 기반) 앱에서 총 5790억원(5억 7900만 달러) 상당의 가치를 탈취했으며, 이 중 2930억원(2억 9300만 달러)은 ‘켈프 DAO(Kelp DAO)’라는 크립토 앱을 겨냥한 것이었다.

이번 공격은 단순히 금전적 손실을 넘어 산업 전반의 신뢰 crisis를 초래하며, 암호화폐 시장의 안정성을 위협하고 있다. 특히 해커들은 LayerZero라는 크로스체인 통신 프로토콜을 악용해 공격과 동시에 자금 세탁까지 시도했다는 점에서 그 수법이 한층 교묘해졌다.

LayerZero를 악용한 공격 및 돈세탁 과정

해커들은 LayerZero의 메시지 전달 기능을 조작해 켈프 DAO에 가짜 명령을 전송, 자금을 빼돌렸다. 이후几天 만에 다시 LayerZero를 활용해 탈취한 자금을 여러 블록체인으로 분산시켰다. 온체인 분석에 따르면, 해커들은 현재까지 최소 5억원(50만 달러) 상당의 자금을 LayerZero를 통해 이동시킨 것으로 확인됐다.

이번 사건은 공격 수단과 돈세탁 수단을 동일하게 활용한 첫 사례로 기록되며, 보안 업계에 큰 경각심을 불러일으키고 있다. LayerZero 측은 관련 요청에 대해 즉각적인 답변을 내놓지 않았다.

북한 해커, ‘표준화된 비즈니스’로 진화한 공격 패턴

북한의 국가 지원 해커들은 지난 10년간 암호화폐 산업을 끊임없이 공격해왔다. 그러나 최근 들어 그 수법이 조직화·고도화되면서 피해 규모가 급증하고 있다.

지난해에는 ‘바이비트(Bybit)’에서 1조 5000억원(15억 달러) 상당의 암호화폐가 탈취됐는데, 이는 ‘세이프(Safe)’라는 지갑 제공업체의 직원들을 해킹해 이뤄졌다. ‘엘립틱( Elliptic )’의 조사 담당자인 매트 프라이스(Matt Price) 부사장은 “이들은 ‘표준화된 비즈니스 운영’처럼 공격 계획을 세우며, 인프라 재사용과 글로벌 기업 수준의 효율성을 보인다”고 지적했다.

보안 전문가들 “운영 보안이 코드 보안만큼 중요”

블록체인 보안 기업 ‘블록섹(BlockSec)’의 공동설립자인 야진 저우(Yajin Zhou)는 “이제는 프로토콜 코드의 무결성뿐만 아니라 운영 보안이 똑같이 중요하다”며 “운영 체계가 취약하면 코드의 보안도 무용지물이 된다”고 강조했다.

‘SVRN’의 최고운영책임자이자 사이버보안 전문가인 데이비드 슈웨드(David Schwed)는 “프로젝트들은 경험 많은 CISO(최고정보보호책임자)를 채용하고, 전문가 팀을 구성해 견고한 보안 시스템을 구축해야 한다”고 조언했다. 또한 암호화폐 보안 기업 ‘할본(Halborn)’은 ‘단일 장애점’을 만들지 말 것을 경고하며, 공격자가 이를 악용할 경우 치명적인 결과를 초래할 수 있다고 지적했다.

복잡해진 돈세탁 수법,LayerZero가 주요 수단으로 활용

해커들은 탈취한 자금을 한꺼번에 거래소로 보내면 쉽게 적발되기 때문에, 복잡한 돈세탁 루트를 구축한다. 자금을 작은 단위로 나누어 여러 지갑과 블록체인으로 이체하며, 원천을 숨기는 것이다.

이 과정에서 LayerZero가 주요 수단으로 활용됐다. 해커들은 탈취 자금을 아비트럼(Arbitrum, 레이어2 블록체인)에서 트론(Tron)으로 이동시키며, 자금의 흔적을 지우려 했다. 보안 연구자들은 해킹 예방뿐만 아니라 자금 세탁 방지에도 개발자들의 노력이 필요하다고 강조하고 있다.

개발자들에게 요구되는 ‘운영 보안’ 강화

암호화폐 프로젝트들은 이제 단순히 코드 보안뿐만 아니라 운영 체계 전반의 보안 강화가 시급하다. 특히 LayerZero와 같은 크로스체인 프로토콜을 사용하는 경우, 메시지 조작 가능성에 대한 철저한 검증이 필요하다. 보안 전문가들은 “프로젝트 운영의 모든 단계에서 보안을 고려해야 한다”고 경고한다.