DeFi에서 Defcon까지: TRM, 국가 주도의 사이버 공격 경고

손실의 70%를 차지하는 북한 그룹

2025년 상반기에 최소 75건의 해킹과 공격을 통해 21억 달러 이상의 암호화폐가 도난당했으며, 이는 2024년 전체의 도난 금액과 거의 같습니다. 최신 TRM 크립토 범죄 보고서에 따르면, 2025년 상반기의 손실은 2022년 상반기의 기록을 약 10% 초과합니다. 하지만 이 보고서는 2월에 발생한 15억 달러 규모의 Bybit 해킹이 전체 손실의 거의 70%를 차지한다고 보여줍니다.

2월의 엄청난 손실 외에도 TRM 데이터는 1월, 4월, 5월, 6월이 각각 1억 달러 이상의 손실을 기록한 유일한 달이라고 보여줍니다. 3월만이 손실이 1억 달러 이하였습니다.

여러 미디어 보도에 따르면, 북한 관련 해커들이 Bybit 침해의 배후로 지목됩니다. 복잡한 공격에 대한 커뮤니티의 대응으로 사이버 범죄자들이 어려움을 겪은 상황에서도, 미디어 보도는 상당량의 자산이 영원히 사라졌다고 전합니다. 한편, 이 보고서는 국가 지원 암호화폐 공격의 지속적이고 경고하는 역할을 강조하며 평양을 주범으로 지목하고 있습니다.

“2025년 상반기에 도난된 전체 금액 중 약 16억 달러가 북한 관련 그룹에 책임이 있는 것으로 추정되며, 이는 전체 도난 금액의 약 70%를 차지하고 있으며, 암호화폐 분야에서 가장 prolific한 국가 위협 행위자로 자리 잡았습니다,” 라고 보고서는 결론짓습니다.

북한이 디지털 자산 거래소에서 훔친 자금을 무기 프로그램에 사용하는 것으로 믿어지는 동안, 보고서는 다른 국가 행위자들이 암호화폐 해킹을 지리적 정치적 목적으로 사용한다고 인정합니다. 이 보고서는 2025년 6월 18일 이스라엘 관련 그룹 Gonjeshke Darande에 의해 이란 최대 암호화폐 거래소 Nobitex가 9천만 달러 이상 해킹된 사건을 인용합니다.

다른 그룹과 달리, Gonjeshke Darande는 훔친 자금을 사용 불가능한 가상 주소로 전송하였습니다. 이 행동은 “디지털 자산 절도가 지리적 정치적 갈등과 국가 정책에서 은밀한 도구로 발전하고 있음을 강조한다”고 보고서는 주장합니다.

한편, TRM 팀은 개인 키와 시드 구문 절도 또는 프론트엔드 손상과 같은 인프라 공격이 2025년 상반기에 도난당한 자금의 80% 이상을 차지한다는 점을 발견했습니다. 반면, 프로토콜 악용은 12%를 차지하며, 탈중앙화 금융(DeFi) 스마트 계약의 지속적인 취약성을 강조합니다.

국가 지원 공격자가 제기하는 위협에 대응하기 위해 TRM 보고서는 암호화폐 산업이 근본적인 보안을 강화할 것을 촉구합니다 — 다중 요소 인증(MFA), 콜드 스토리지 및 정기 감사. 내부 위협 탐지 개선과 고급 사회 공학 전술에 대한 방어 강화를 최우선 과제로 삼아야 합니다.