2026년 현재, 북한 IT 인력들이 신분을 위조해 개발자로 위장 취업하며 암호화폐 해킹을 시도, 수백만 달러를 벌어들인 사실이 드러나 업계에 충격을 주고 있습니다.
2026년, 북한 IT 인력의 위장 취업 실태 폭로
2026년 현재, 전 세계를 놀라게 할 북한 IT 인력들의 충격적인 실태가 공개되었습니다. 익명의 해커가 북한 IT 인력의 장치를 해킹하여 확보한 자료를 바탕으로, 블록체인 탐정 ZachXBT가 X(구 트위터)에 폭로했습니다. 이들은 신분을 위장하여 개발자로 취업하는 동시에 암호화폐 프로젝트 해킹을 시도하며 막대한 수익을 올린 것으로 드러났습니다. 국제 사회의 제재 속에서도 북한 정권의 외화벌이 수단으로 악용되는 사이버 범죄의 심각성을 여실히 보여주는 사례입니다.
월 100만 달러 규모의 위장 개발팀 운영
유출된 데이터에 따르면, ‘Jerry’라는 가명을 사용하는 북한 IT 인력과 그가 이끄는 140명의 팀은 불과 몇 달 만에 350만 달러 이상의 암호화폐 수익을 올렸습니다. 이는 2025년 11월 말부터 꾸준히 월 약 100만 달러에 달하는 금액을 벌어들인 것으로 추정됩니다. 이들은 주로 풀스택 개발자나 소프트웨어 엔지니어 직책에 지원하여 원격으로 근무하며, 그 과정에서 자신들의 신분을 철저히 위조했습니다. 이처럼 조직적이고 대규모로 운영되는 위장 취업 방식은 전례 없는 수준입니다.
허술한 보안 시스템, Luckyguys.site의 비밀
북한 IT 인력들은 ‘luckyguys.site’라는 웹사이트를 통해 암호화폐 지급을 조율했으며, 놀랍게도 이들은 ‘123456’이라는 매우 쉽고 유추하기 쉬운 비밀번호를 공유 서버에 사용했습니다. ZachXBT는 이 플랫폼의 일부 사용자가 미국 해외자산통제국(OFAC)의 제재 대상인 소백수(Sobaeksu), 새날(Saenal), 송광(Songkwang)과 연관되어 있다고 지적했습니다. 이는 북한 정권과 직접적인 연관성을 시사하며, 허술한 보안 인식에도 불구하고 조직적인 범죄가 이뤄지고 있음을 보여줍니다.
암호화폐 자금 세탁의 전말
벌어들인 암호화폐는 즉시 법정화폐로 전환되었고, 페이오니어(Payoneer)와 같은 온라인 결제 플랫폼을 통해 중국 내 은행 계좌로 송금되었습니다. 이러한 자금 세탁 과정은 북한 정권의 자금 조달 통로를 명확히 보여줍니다. ZachXBT는 해당 지갑 주소들을 추적한 결과, 2025년 12월 테더(Tether)에 의해 블랙리스트에 오른 다른 북한 관련 지갑들과의 연관성을 밝혀냈습니다. 이는 국제 금융 시스템에 북한의 불법 자금이 얼마나 깊숙이 침투해 있는지를 드러내는 증거입니다.
고도화되는 북한의 사이버 위협
북한 및 다른 국가의 불법 행위자들은 갈수록 정교해지는 수법으로 암호화폐 산업을 위협하고 있습니다. 2009년 이후 북한의 국가 지원을 받는 해커들은 총 70억 달러가 넘는 자금을 탈취했으며, 이 중 상당 부분이 암호화폐 프로젝트에서 비롯되었습니다. 특히 2026년에 들어서도 이러한 위협은 계속되고 있으며, 새로운 공격 기법들이 끊임없이 등장하여 암호화폐 생태계의 안정성을 저해하고 있습니다.
2026년 주요 암호화폐 해킹 사건 연루
북한 해커들은 과거 바이비트(Bybit)의 14억 달러 해킹, 로닌 브릿지(Ronin bridge)의 6억 2,500만 달러 해킹 등 주요 사건에 연루된 것으로 악명이 높습니다. 그리고 2026년 4월 1일, 드리프트 프로토콜(Drift Protocol)에서 발생한 2억 8천만 달러 해킹 사건의 배후에도 북한 해커들이 지목되었습니다. 이는 단순한 위장 취업을 넘어, 직접적인 사이버 공격을 통해 천문학적인 금액을 탈취하는 대담한 행보를 2026년에도 이어가고 있음을 의미합니다.
내부 리더보드와 신분 위장 전략
유출된 자료에는 각 IT 인력이 2025년 12월 8일 이후 조직을 위해 얼마나 많은 암호화폐를 벌어들였는지 보여주는 리더보드가 포함되어 있었습니다. 이는 내부 경쟁을 통해 더 많은 수익을 창출하도록 독려하는 시스템을 보여줍니다. ‘Jerry’는 애스트릴 VPN(Astrill VPN)을 사용하여 Gmail에 접속, Indeed를 통해 여러 풀스택 개발자 및 소프트웨어 엔지니어 직책에 지원했습니다. 또한, 텍사스에 위치한 티셔츠 회사의 워드프레스 콘텐츠 및 SEO 전문가 포지션에 시간당 30달러, 주당 15-20시간 근무를 제안하는 미전송 이메일도 발견되었습니다.
가짜 신분증과 위조 여권 사용의 흔적
‘Rascal’이라는 또 다른 북한 IT 인력은 홍콩의 가짜 이름과 가짜 주소가 기재된 청구서 사진을 공유했습니다. 또한, 아일랜드 여권 사진도 공유되었으나, 실제로 사용되었는지 여부는 명확하지 않습니다. 이러한 위조 신분증과 여권은 이들이 국제적인 채용 시장에 침투하여 정상적인 개발자로 위장하는 데 얼마나 공을 들였는지를 보여줍니다. 국경을 넘어 활동하는 이들의 치밀한 준비성이 드러나는 대목입니다.
전문가 진단: 정교함 속의 허점
ZachXBT는 이번에 노출된 IT 인력들이 애플쥬스(AppleJeus)나 트레이더트레이터(TraderTraitor)와 같은 다른 북한 해킹 그룹에 비해 덜 정교하다고 평가했습니다. 이들 그룹은 훨씬 더 효율적으로 운영되며 암호화폐 산업에 가장 큰 위험을 초래한다고 덧붙였습니다. 그럼에도 불구하고, ‘123456’과 같은 취약한 비밀번호를 사용하는 등의 허술한 점이 있었음에도 불구하고 수백만 달러를 벌어들였다는 사실은, 기본적인 보안 수칙조차 지키지 않는 기업들에게 여전히 큰 위협이 될 수 있음을 시사합니다.
2026년 암호화폐 보안, 무엇을 대비해야 하는가
2026년 현재에도 북한의 사이버 위협은 지속되고 있으며, 그 수법은 더욱 다양하고 교묘해지고 있습니다. 암호화폐 프로젝트와 기업들은 채용 과정에서 신원 확인을 강화하고, 시스템 보안을 더욱 철저히 해야 합니다. 또한, 국제 사회는 북한의 불법 자금 조달을 막기 위한 공조를 더욱 강화해야 합니다. 개인 사용자들도 피싱이나 신원 위조에 의한 사기 시도에 항상 경각심을 가지고, 기본적인 보안 수칙을 철저히 지켜야만 소중한 자산을 보호할 수 있을 것입니다.
