아르비트럼(Arbitrum)이 켈프DAO(KelpDAO) 해킹 사건으로 인한 7,100만 달러를 동결한 후, 라자루스 그룹이 1억 7,500만 달러 상당의 이더리움을 이동시킨 것으로 의심받고 있다

• 라자루스 그룹은 4월 18일 켈프DAO에서 116,500 rsETH를 탈취했습니다.
• 아비트럼(Arbitrum) 보안 위원회는 4월 20일, 켈프DAO 공격자와 연관된 약 30,766 ETH(7,100만 달러 상당)를 동결했습니다.
• 라자루스는 아비트럼의 자산 동결 조치 이후 1억 7,500만 달러 상당의 자금을 새로운 이더리움 주소로 이동시켰으며, 아캄 인텔리전스(Arkham Intelligence)가 해당 지갑들을 적극적으로 추적하고 있다.

북한 해킹 조직, 도난당한 켈프DAO ETH 수백만 달러를 토어체인(Thorchain)과 움브라 캐시(Umbra Cash)를 통해 세탁

어떤 프로토콜 개발자에게 묻느냐에 따라 이야기가 다를 수 있지만, 보고서에 따르면 공격자들은 두 개의 RPC 노드를 해킹하고 악성코드를 배포하여 다른 관찰자들에게는 정상적인 피드를 유지하면서 레이어제로(Layerzero)의 탈중앙화 검증자 네트워크에만 허위 거래 데이터를 전송했다. 켈프DAO, 레이어제로, 라마리스크(Llamarisk) 및 Aave 서비스 제공업체들이 관련 보고서를 발표했다.

이어 남은 정상 노드들을 대상으로 분산 서비스 거부(DDoS) 공격을 가해, 켈프DAO의 브리지가 해킹된 인프라로 강제 전환되도록 유도했다. 검증 레이어를 장악한 공격자들은 켈프DAO의 총 rsETH 공급량의 약 18%에 해당하는 116,500 rsETH의 인출을 승인하는 크로스체인 메시지를 위조했다.

KelpDAO 해킹 사건은 3주 만에 라자루스(Lazarus)의 소행으로 지목된 두 번째 주요 공격이다. 지난 4월 1일, 수사관들이 역시 북한의 라자루스와 연관 지은 작전을 통해 드리프트 프로토콜(Drift Protocol)에서 약 2억 8,500만 달러가 탈취되었다. 이 두 사건으로 인한 피해액은 총 6억 달러에 육박한다.

보도에 따르면 북한 해커들은 2025년 한 해 동안 총 약 20억 2천만 달러 상당의 암호화폐를 탈취했으며, 이는 전년 대비 51% 증가한 수치로 북한과 연계된 해킹 사건 중 사상 최대 규모를 기록했습니다. 체인애널리시스(Chainalysis)와 한국 언론이 발표한 이 수치는, 해당 그룹이 전년도보다 개별 사건 발생 건수가 74% 감소했음에도 불구하고 전 세계 서비스 수준 암호화폐 도난 사건의 약 60%에서 76%를 차지했습니다. 2025년 말까지의 누적 하한 추정치는 약 67억 5천만 달러에 달했다.

암호화폐 역사상 최대 규모의 단일 탈취 사건 역시 라자루스 그룹의 소행이다. 2025년 초, 이 그룹은 세이프 월렛(Safe Wallet)의 소프트웨어 공급업체를 해킹하고 개발자 환경을 조작해 콜드 월렛에서 핫 월렛으로의 이체를 우회함으로써 두바이 기반 거래소 바이빗(Bybit)에서 약 15억 달러를 탈취했다. FBI는 이 공격을 북한 라자루스 그룹의 소행으로 공식 규명했다.

바이빗 사건 이전에 확인된 주요 탈취 사례로는 2022년 로닌 네트워크(Ronin Network) 브리지에서 약 6억 2천만 달러, 2024년 DMM 비트코인에서 3억 800만 달러, 2024년 인도 거래소 와지르엑스(WazirX)에서 2억 3,490만 달러가 있다. 북한과 연계된 이 그룹은 소규모 플랫폼, 개인 지갑, 암호화폐 관련 소프트웨어 공급망도 표적으로 삼아왔다.

라자루스는 일반적으로 수개월간 준비 기간을 거친 후 절도 행위를 실행한다. 공격자들은 가짜 채용 공고, GitHub에 호스팅된 악성코드, 스피어 피싱을 이용해 초기 접근 권한을 획득한다. 개발자나 검증자 환경에 침투한 후에는 개인 키를 탈취하거나 핫 월렛을 해킹하거나 브리지 인프라를 조작한다.

자금을 유출한 후, 이 조직은 체인 호핑, 탈중앙화 거래소(DEX) 스왑, 수천 개의 주소로 분산하는 방식을 통해 자산을 세탁한다. 일부 수익금은 Huione Pay와 같은 서비스를 거쳐 최종적으로 비트코인이나 북한 정권을 지원할 수 있는 다른 자산으로 전환되는 것으로 알려졌다.

미국 법무부는 라자루스의 이전 작전과 관련하여 북한 국적의 박진혁을 기소했다. 재무부 산하 해외자산통제국(OFAC)은 수십 개의 주소를 제재했으며, FBI는 거래소와 검증자가 차단해야 할 온체인 식별자를 포함한 공개 경보를 발령했다.

이러한 조치에도 불구하고 라자루스는 계속해서 적응해 왔습니다. 켈프DAO(KelpDAO) 공격에 사용된 RPC 노드 침해 등 이 그룹의 인프라 오염 기법은, 프런트엔드 인터페이스나 개별 사용자 인증 정보보다는 탈중앙화 금융(DeFi) 프로토콜의 기반 인프라를 표적으로 삼는 방향으로의 전환을 반영합니다.

암호화폐 브리지 보안은 여전히 핵심적인 취약점으로 남아 있다. 로닌(Ronin), 하모니 호라이즌(Harmony Horizon), 그리고 최근의 켈프DAO(KelpDAO) 침해 사건은 모두 크로스체인 검증 시스템의 조작과 관련이 있었다. 보안 연구원들은 다중 서명 요구 사항, 독립적인 RPC 노드 감사, 실시간 행동 모니터링을 가장 직접적인 대응책으로 제시했다.

국제 제재로 인해 경제가 제약을 받는 북한은 이러한 활동을 통해 외화 수입의 상당 부분을 확보하는 것으로 추정되며, 일부 분석에 따르면 암호화폐 탈취 수익이 GDP의 약 13%에 달하는 것으로 나타납니다. 탈취된 자금은 다른 국가 기능과 더불어 북한의 핵 및 탄도 미사일 프로그램을 지원하는 데 사용되는 것으로 여겨집니다.