북한 사이버 부대가 전 세계 가상자산 시장을 사실상 ‘국가 전용 현금 인출기’로 운용하고 있다. 2026년 들어 불과 4개월 만에 약 5억 7,700만 달러, 한화 약 8,400억 원을 탈취하며 글로벌 암호화폐 해킹 피해액의 76%를 독식했다.
단순한 사이버 범죄로 보이지만, 이 돈의 최종 목적지는 평양의 핵·미사일 공장이다. 대북 제재로 정상적인 외화 조달 경로가 막힌 북한에게 가상자산 탈취는 사실상 유일한 무기 개발 재원이 됐다.
4개월에 8,400억…라자루스의 치밀한 연속 강타
2026년 4월 초, 솔라나(Solana) 기반 탈중앙화 금융(DeFi) 플랫폼이 약 2억 8,500만 달러 규모의 해킹을 당했다. 같은 달 18일에는 켈프DAO가 약 2억 9,000만 달러를 탈취당하며 두 사건만으로 누적 피해액이 5억 7,700만 달러에 달했다.
블록체인 보안업체 레이어제로는 “매우 정교한 국가 세력의 소행으로 보이며 북한 라자루스 그룹일 가능성이 크다”고 공식 성명을 발표했다. 특히 켈프DAO 사건에서는 12분 간격으로 31차례 연속 출금이 이뤄졌으며, 침투 자체는 최소 6개월 전부터 준비된 것으로 분석됐다.
이로써 라자루스 그룹의 역대 누적 탈취액은 약 67억 5,000만 달러, 우리 돈으로 약 10조 원에 달하는 것으로 집계됐다.
ICBM 20발, SRBM 200발…숫자로 보는 안보 위협
5억 7,700만 달러가 실제 무기로 환산되면 위협의 규모가 명확해진다. 국방부와 국책연구기관의 추산에 따르면 수도권을 직접 타격하는 단거리 탄도미사일(KN-23 등 SRBM) 1발 발사 비용은 약 300만 달러, 미국 본토를 위협하는 대륙간탄도미사일(ICBM) 1회 발사는 2,000만~3,000만 달러 수준이다.
이를 적용하면 이번 탈취액만으로 ICBM을 최소 20발 이상 발사하거나, 한국 방공망을 압박할 SRBM을 약 190~200발 쏟아부을 수 있다. TRM 랩스는 2025년 한 해 북한의 탈취액이 이미 20억 달러에 달했다고 밝힌 바 있어, 핵·미사일 개발 자금의 상당 부분이 이미 사이버 공간에서 충당되고 있음을 보여준다.
‘속도의 비대칭’…쫓는 자와 도망가는 자의 구조적 격차
북한 해커들은 DeFi 브릿지 취약점을 침투한 뒤 믹서(Mixer)로 자금 흔적을 세분화하고, 중국계 장외거래(OTC) 브로커를 통해 순식간에 현금화한다. 반면 한국 당국은 범죄 발생을 인지한 뒤 영장 발부, 해외 거래소 협조 요청 등 수주에서 수개월이 걸리는 법적 절차를 밟아야 한다.
경찰청과 국정원은 실명계좌 의무화, 자금세탁방지(AML), 트래블룰 적용, 미국·일본과의 악성코드 지표 공유 등으로 방어벽을 구축하고 있으나 구조적 한계는 명확하다. 이에 따라 북한 IT 인력의 위장 취업 원천 차단과 해외 해킹 인프라를 직접 무력화하는 능동적 사이버 교란 전략이 필요하다는 목소리가 커지고 있다.
털린 뒤 쫓는 방식으로는 이 싸움에서 이길 수 없다. 북한의 사이버 금융 공격이 핵·미사일 개발과 직결된 안보 문제인 만큼, 대응 전략 역시 금융 규제 차원을 넘어 국가 사이버 방위 전략으로 격상될 필요가 있다.
