블록체인 조사관 ZachXBT는 2026년 4월 8일, 북한 IT 요원들이 사용하는 내부 결제 서버에서 유출된 데이터를 공개하는 11부작 게시글을 올렸으며, 이를 통해 2025년 11월 말 이후 처리된 결제 금액이 350만 달러가 넘는 것으로 드러났습니다. 주요 내용:
ZachXBT, 월 100만 달러 규모의 암호화폐-법정화폐 환전 경로를 보여주는 북한 결제 데이터 유출 내용을 공개
작성자
공유
- ZachXBT의 4월 8일 조사 결과, 2025년 11월 말 이후 350만 달러 이상을 처리한 북한 IT 요원 결제 서버가 드러났다.
- luckyguys.site에서 유출된 사용자 목록에는 OFAC(미국 재무부 해외자산통제국) 제재 대상인 소백수(Sobaeksu), 사날(Saenal), 송광(Songkwang) 등 3개 기관이 포함되어 있었습니다.
- 이 북한 내부 사이트는 2026년 4월 9일 접속이 차단되었으나, ZachXBT는 11부작 게시물을 공개하기 전 모든 데이터를 아카이브로 저장해 두었다.
북한 해커들, 내부 암호화폐 결제 서버에 기본 비밀번호 '123456' 사용
유출된 데이터는 정보 탈취 악성코드에 감염된 북한 IT 담당자의 기기에서 나온 것이다. 익명의 소식통이 ZachXBT에게 파일을 공유했으며, ZachXBT는 해당 자료가 공개된 적이 없음을 확인했다. 추출된 기록에는 약 390개의 계정, IPMsg 채팅 로그, 위조된 신원 정보, 브라우저 기록, 암호화폐 거래 내역이 포함되어 있었다.
수사의 중심에 있는 내부 플랫폼은 luckyguys.site였으며, 내부적으로는 WebMsg라고도 불렸다. 이 플랫폼은 디스코드(Discord) 스타일의 메신저로 기능하며, 북한 IT 요원들이 담당자에게 지급 내역을 보고할 수 있게 했다. 최소 10명의 사용자가 "123456"으로 설정된 기본 비밀번호를 한 번도 변경하지 않은 것으로 나타났다.
사용자 목록에는 역할, 한국식 이름, 도시, 그리고 알려진 북한 IT 요원들의 활동 양식과 일치하는 암호화된 그룹 이름이 포함되어 있었다. 목록에 등장하는 소백수, 사날, 송광 등 3개 기업은 현재 미국 재무부 해외자산통제국(OFAC)의 제재를 받고 있다.
지급 내역은 'PC-1234'로 확인된 중앙 관리자 계정을 통해 확인되었다. ZachXBT는 'Rascal'이라는 닉네임을 가진 사용자의 다이렉트 메시지 예시를 공유했는데, 여기에는 2025년 12월부터 2026년 4월까지 사기성 신원과 연계된 송금 내역이 상세히 기록되어 있었다. 일부 메시지에는 청구서 및 물품과 관련된 홍콩 주소가 언급되었으나, 그 진위 여부는 확인되지 않았다.
해당 기간 동안 관련 결제 지갑 주소들은 350만 달러 이상을 수령했으며, 이는 월평균 약 100만 달러에 해당한다. 근로자들은 위조된 법적 문서와 가짜 신분을 사용하여 고용을 얻었다. 암호화폐는 거래소에서 직접 이체되거나 Payoneer와 같은 플랫폼을 통해 중국 은행 계좌로 환전되었다. 이후 관리자 계정 PC-1234는 수령을 확인하고 다양한 암호화폐 및 핀테크 플랫폼의 접속 정보를 배포했다.
온체인 분석 결과, 내부 결제 주소들이 알려진 북한 IT 근로자 집단과 연결된 것으로 드러났다. 특히 이더리움 주소와 트론 주소 등 두 개의 특정 주소가 확인되었으며, 테더(Tether)는 2025년 12월 이 트론 주소를 동결했다.
ZachXBT는 전체 데이터셋을 활용해 사용자 및 그룹별 지급 총액을 포함한 네트워크의 완전한 조직 구조를 도식화했다. 그는 2025년 12월부터 2026년 2월까지의 기간을 다루는 대화형 조직도를 investigation.io/dprk-itw-breach에 게시했으며, 비밀번호 "123456"으로 접속할 수 있다.
해킹된 기기와 채팅 로그를 통해 추가적인 세부 정보가 드러났다. 직원들은 Astrill VPN과 가짜 신분을 사용하여 채용에 지원했다. 내부 Slack 대화에는 "Nami"라는 사용자가 북한 직원 딥페이크 지원자에 관한 블로그 글을 공유한 게시물이 포함되어 있었다. 또한 관리자는 2025년 11월부터 2026년 2월 사이에 직원들에게 디스어셈블리, 디컴파일, 디버깅을 다루는 43개의 Hex-Rays 및 IDA Pro 교육 모듈을 전송했다. 공유된 링크 중 하나는 특히 악성 PE 실행 파일의 압축 해제 방법을 다루고 있었다. 33명의 북한 IT 작업자가 동일한 IPMsg 네트워크를 통해 소통하는 것이 확인되었다. 별도의 로그 기록에는 나이지리아 프록시를 이용해 GalaChain 게임인 Arcano에서 정보를 탈취하려는 계획이 언급되었으나, 데이터상으로는 해당 시도의 결과는 명확하지 않았다.
ZachXBT는 이 클러스터를 Applejeus나 Tradertraitor와 같은 상위급 북한 그룹에 비해 운영 면에서 덜 정교하다고 평가했다. 그는 이전에 북한 IT 요원들이 매달 총 수백만 달러를 벌어들이는 것으로 추산한 바 있다. 그는 이와 같은 하위급 그룹이 위험이 낮고 경쟁이 거의 없기 때문에 위협 행위자들의 관심을 끌고 있다고 지적했다.
암호화폐 ATM 업계의 거대 기업, 사이버 공격으로 인한 370만 달러 상당의 비트코인 도난 사실 공개
비트코인 디포(Bitcoin Depot)가 366만 5천 달러 규모의 사이버 공격을 당했다. 해당 기업은 이번 침해 사고로 인해 고객 정보나 ATM 운영에 차질이 발생하지 않았다고 밝혔다. read more.
지금 읽기
암호화폐 ATM 업계의 거대 기업, 사이버 공격으로 인한 370만 달러 상당의 비트코인 도난 사실 공개
비트코인 디포(Bitcoin Depot)가 366만 5천 달러 규모의 사이버 공격을 당했다. 해당 기업은 이번 침해 사고로 인해 고객 정보나 ATM 운영에 차질이 발생하지 않았다고 밝혔다. read more.
지금 읽기암호화폐 ATM 업계의 거대 기업, 사이버 공격으로 인한 370만 달러 상당의 비트코인 도난 사실 공개
지금 읽기비트코인 디포(Bitcoin Depot)가 366만 5천 달러 규모의 사이버 공격을 당했다. 해당 기업은 이번 침해 사고로 인해 고객 정보나 ATM 운영에 차질이 발생하지 않았다고 밝혔다. read more.
luckyguys.site 도메인은 ZachXBT가 조사 결과를 발표한 다음 날인 목요일에 접속이 차단되었다. 그는 사이트가 폐쇄되기 전에 전체 데이터 세트를 백업해 두었다고 확인했다. 이번 조사는 북한 IT 요원 조직들이 어떻게 대금을 수령하고, 가짜 신분을 유지하며, 암호화폐 및 법정화폐 시스템을 통해 자금을 이동시키는지에 대한 직접적인 통찰을 제공하며, 이 조직들이 활동을 지속하기 위해 의존하는 규모와 운영상의 허점을 보여주는 증거를 제시한다.
