토요일인 4월 18일, Kelp DAO quietly bled 116,500 rsETH를 운영하던 크로스체인 브리지가 공격을 받았다. 월요일이 되자 LayerZero had a name for the attackers. 낯선 이름은 아니었다.
북한의 **라자루스 조직(Lazarus Group)**은 이제 더 이상 크립토에서 단순한 해커 라벨이 아니다. 이들은 국가가 지원하는 사이버 작전이 디지털 자산을 전략적 자금 조달 수단으로 전환했다는 가장 명확한 증거이며, 업계의 최대 규모 침해 사고들이 더 이상 개별 버그가 아니라 장기 작전에서의 패배라는 점을 보여준다.
- 레이어제로는 2026년 4월 18일 발생한 켈프 DAO 익스플로잇(약 2억 9,200만 달러 규모의 이더 (eth) 파생 토큰 탈취)을 북한 라자루스 조직과 그 산하 트레이더트레이터(TraderTraitor) 유닛의 소행으로 규정했다.
- 체이널리시스에 따르면, 2025년 한 해 동안 북한 연계 행위자들은 20억 2,000만 달러 상당의 크립토를 훔쳐 누적 탈취 규모를 67억 5,000만 달러로 끌어올렸다.
- 이 패턴은 업계의 지배적 보안 위협이 개별 스마트컨트랙트 버그가 아니라 국가 지원의 작전형 전쟁이라는 점을 시사한다.
켈프 공격과, 왜 귀속이 중요한가
레이어제로는 4월 20일 게재한 사후 분석에서 켈프 DAO 유출을 국가 행위자의 소행으로 pinned했다. 이 성명은 이를 2026년 디파이 최대 익스플로잇으로 규정하며, “고도로 정교한 국가 행위자, 아마도 북한 라자루스 조직, 보다 구체적으로 트레이더트레이터”라고 지목했다.
이 공격 메커니즘은 스마트컨트랙트 버그가 아니었다. 공격자들은 레이어제로의 분산 검증 네트워크(Decentralized Verifier Network)가 사용하는 두 개의 RPC(원격 프로시저 호출) 노드를 장악한 뒤, 정상 노드에 디도스 공격을 가해 트래픽을 오염된 노드로 강제 전환(failover)시켰다.
그 결과 켈프의 이른바 1-of-1 검증자 구성이 조작된 크로스체인 메시지를 그대로 승인했고, 브리지는 공격자에게 116,500 rsETH를 내줬다.
켈프는 약 46분 후 paused 비상 멀티시그를 통해 핵심 컨트랙트를 중단해, 추가 1억 달러 규모의 후속 탈취 시도 두 건을 차단했다.
켈프는 레이어제로의 프레이밍에 공개적으로 반박하며, 단일 검증자 구성은 레이어제로가 문서에 명시한 디폴트 설정일 뿐, 명시적 권고를 무시한 결과가 아니라고 주장했다.
귀속(attribution)은 이번 일을 “패치하고 넘어갈 사건”에서 전혀 다른 것으로 바꿔 버린다. 버그에는 수정이 뒤따른다. 국가 행위자에는 상시적인 적대자가 뒤따른다.
Also Read: Why Aave Is Trending Again And What The $577M Daily Volume Means For DeFi
라자루스는 실제로 누구인가
FBI는 2025년 2월 26일 바이비트 도난 사건 관련 권고에서 트레이더트레이터 클러스터를 북한 국가 사이버 조직 내부에 placed하며, 15억 달러 규모 가상자산 탈취의 직접 실행 주체로 명시했다.
로이터의 2022년 보도와 미국 재무부의 반복된 제재는 라자루스, 블루노로프, 안다리엘을 평양의 핵심 군사정보 기관인 정찰총국에 tied해왔다.
이 구조 안에서 분석가들은 APT38, 히든 코브라(Hidden Cobra), 다이아몬드 슬리트(Diamond Sleet), 제이드 슬리트(Jade Sleet), 슬로 피시즈(Slow Pisces), 트레이더트레이터 등 회전하는 별칭 세트를 추적하는데, 이들은 종종 인력과 인프라를 공유한다.
크립토 업계에 주는 함의는 단순하다.
어떤 침해 사고가 “라자루스” 소행으로 귀속될 때, 그것은 지하실의 10대 해커가 아니며, 대부분 프리랜서 한 명의 단독 범행도 아니다. 예산과 임무를 부여받고, 시간 기준을 주 단위가 아닌 연 단위로 잡는 국가 유닛이다.
이는 “신뢰할 수 있는 방어”의 기준을 바꾼다. 세탁 체인의 끝단에서 최종적으로 누가 이득을 얻는지도 함께 바꾼다.
Also Read: NSA Runs Anthropic's Mythos AI Despite Pentagon's Supply-Chain Risk Label
소니에서 스마트컨트랙트까지
라자루스는 크립토에서 출발하지 않았다. 2014년 소니 픽처스 와이퍼 공격, 2016년 방글라데시 중앙은행 SWIFT 강탈, 2017년 워너크라이(WannaCry)로 자신을 드러냈다.
그 다음이 크립토였고, 전환은 빨랐다.
한국 국정원은 2022년 12월 AP 통신에, 북한 해커들이 5년 동안 약 12억 달러 상당의 가상 자산을 훔쳤다고 told 전했다.
유엔 전문가 패널 보고서는 2017년에서 2023년 사이 약 30억 달러 규모에 달하는 북한 연루 사이버 공격 58건을 revealed하며, 이 자금이 평양의 대량살상무기 프로그램으로 흘러들어갔다고 밝혔다.
체이널리시스의 최신 수치는 이 누적선을 더 끌어올린다. 지금까지 확인된 북한 연계 크립토 절도는 67억 5,000만 달러, 이 중 2025년 한 해에만 20억 2,000만 달러가 탈취됐다.
궤적 자체가 이야기다. 해마다 사고 건수는 줄지만 규모는 커졌다. 업계는 더 부유해졌고, 표적은 더 커졌으며, 라자루스는 그에 맞춰 함께 스케일했다.
Also Read: Bitcoin ETF Demand Fuels $1.4B Weekly Inflow, Second-Best Since January
라자루스 연계 최대 규모 강탈 사건들
미 재무부는 2022년 3월 로닌 브리지 유출과 관련해 라자루스 제재 리스트를 updated하며, 북한 행위자들에게 약 6억 2,500만 달러 손실을 귀속하는 지갑 주소를 추가했다.
짧은 목록만 봐도 규모를 가늠할 수 있다.
- 2022년 3월 로닌 네트워크: Axie Infinity 사이드체인 브리지에서 약 6억 2,500만 달러가 유출됐고, 몇 주 뒤 미 재무부 OFAC가 이를 라자루스의 소행으로 공식 귀속.
- 2022년 6월 하모니 호라이즌(Harmony Horizon): 약 1억 달러 탈취, 2023년 1월 FBI가 라자루스와 APT38의 소행으로 공식 발표.
- 2024년 7월 WazirX: 인도 거래소 멀티시그가 뚫리며 약 2억 3,500만 달러 탈취, 북한 연계 행위자 소행으로 널리 추정.
그리고 “분기점”이 찾아왔다.
DMM 비트코인은 2024년 5월 4,502.9개의 비트코인 (btc)을 잃었고, 당시 가치로 약 3억 800만 달러였다. FBI, 미 국방부, 일본경찰청은 12월에 발표한 공동 성명에서 이 사건이 트레이더트레이터와 연결된 것이라고 confirmed하며, 지갑 소프트웨어 벤더를 노린 구인 사기형 미끼로 시작해 조작된 출금으로 끝난 시나리오를 묘사했다.
정점은 2025년 2월 바이비트였다.
공격자는 루틴한 콜드월렛 이체 과정에서 서명 인터페이스를 가려, 약 40만 개의 이더(당시 약 15억 달러)를 미지의 주소로 우회시켰다.
체이널리시스는 현재 이 단일 사건이 2025년 업계 전체 탈취액 34억 달러 중 15억 달러를 차지한다고 본다. 2억 9,200만 달러 규모의 켈프 사건은 가장 시끄러운 장이 아니라, 그 이후에 이어진 최신 장에 가깝다. 이는 작전이 성숙해지면서 더 이상 과시적인 연출을 필요로 하지 않게 되었을 때의 모습이다.
Also Read: Strategy Buys $2.5B In Bitcoin, Its Biggest Haul In 16 Months
라자루스의 플레이북은 이미 바뀌었다
FBI와 일본 경찰은 DMM 비트코인 공동 권고에서 새로운 라자루스 템플릿을 상세히 detailed했다. “피싱 공장”으로서의 옛 라자루스 이미지는 더 이상 맞지 않는다.
해커는 링크드인 리크루터로 위장했다. 가짜 채용 전 사전 평가 테스트를 통해 지갑 소프트웨어 벤더인 Ginco 엔지니어의 개인 GitHub에 악성 파이썬 스크립트를 심었다. 탈취한 세션 쿠키로 Ginco 내부 채팅에 접근했고, 몇 주 뒤 합법적인 DMM 트랜잭션 요청이 전송되는 도중 조용히 재작성됐다.
바이비트 사고에서 Safe{Wallet}은 악성코드에 감염된 서명 애플리케이션이 겉으로는 올바른 목적지를 표시하면서, 실제로는 스마트컨트랙트 로직을 하단에서 교체했다고 confirmed했다. 켈프 건에서 레이어제로는 공격자가 검증자가 신뢰하던 RPC 노드의 바이너리를 바꿔치기하고, 사용 후 스스로 파괴돼 로컬 로그를 지우도록 설계했다고 말한다.
공통점은 코드 자체가 취약점인 경우는 드물다는 것이다. 취약한 것은 사람, 벤더, 빌드 파이프라인, 인프라 호스트다.
체이널리시스는 또 다른 병렬 채널도 지적한다. 북한 공작원들이 가짜 신분으로 원격 IT 직원 형태로 크립토 기업 내부에 잠입하고, 때로는 업워크·프리랜서 플랫폼을 통해 모집한 협력자를 활용해 이를 스케일링한다는 것이다.
Also Read: Bitget Unveils Project Ulysses, Offers $3M Interest-Free Credit To 50 Institutional Clients
왜 라자루스는 계속 크립토로 돌아오는가
북한의 동기는 이데올로기가 아니라 경제적 생존이다.
AP와 유엔 보고는 일관되게 크립토 절도를 제재 경제를 대신하는 수입원이며, 탄도 미사일·핵 프로그램의 직접 자금줄로 describe한다.
AP가 인용한 미국 관리들은 더 나아가, 사이버 범죄가 현재 북한 외화 수입의 거의 절반을 차지한다고 추정한다.
크립토는 이 임무에 거의 완벽에 가까운 표적이다. 트랜잭션은 며칠이 아니라 몇 분 만에 최종 확정되므로, 이를 되돌릴 코레스폰던트 은행이 없다. 유동성은 깊고, 가명성은 저렴하며, 크로스체인 레일은 어떤 집행 기관보다 더 빠르게 가치를 이동시킨다.
야후 파이낸스는 켈프 사건에서 레이어제로의 타임라인을 인용하며, 공격자가 탈취 후 약 7만 4,000개의 이더를 한 번에 모았고, 공격 10시간 전쯤 토네이도 캐시를 통해 사전 자금을 준비해 두었다고 noted.
국가가 은행 강탈과 브리지 강탈을 저울질한다면, 브리지가 승리한다. every time.
Also Read: One Company Now Owns 4% Of All Ethereum, Bitmine Adds 101,627 ETH In A Week
온체인 조사관들이 실제로 더한 것
Arkham은 2025년 2월 21일 게시한 현상금 글에서, 익명 온체인 수사관 ZachXBT가 테스트 트랜잭션, 연계된 지갑, 타이밍 분석을 통해 Bybit 익스플로잇을 라자루스와 연결하는 "결정적 증거"를 제시했다며 공로를 인정했다.
5일 뒤, FBI의 공공 서비스 발표는 TraderTraitor 태그를 사용하고 지갑 블록리스트를 공개하면서 북한을 공식적으로 지목했다.
이 순서가 중요하다. ZachXBT 같은 온체인 수사관들은 대형 침해 사고를 라자루스 연계 지갑·세탁 패턴과 처음으로 공개적으로 연결하는 경우가 많았고, 때로는 공식 확인보다 앞섰다.
이들이 진실의 핵심 소스는 아니다. 이들은 연방 기관이 더 느린, 증거 중심의 절차를 진행하는 동안, 거래소 차원의 대응 속도를 높여주는 초기 공개 귀속 레이어다.
이 역할 분담은 새롭게 등장한 것이다. 동시에, 도난 자금이 체인 간을 튀기기 시작하면 남는 질문은 주소들이 얼마나 빨리 표시되느냐뿐이기 때문에, 이 구조는 전체 시스템을 떠받치는 요소이기도 하다.
Also Read: RaveDAO Jumps 62% In A Day, But Volume Now Exceeds Its Entire Market Cap
왜 업계는 여전히 이 싸움에서 밀리는가
대부분의 암호화폐 보안 논쟁은 여전히 코드 감사에 집중되어 있다. 라자루스는 감사에 관심이 없다.
실제로 중요한 공격 면은 운영(operational) 영역이다. 여기에는 서드파티 서명 도구, 지갑 벤더, 노드 인프라, 리크루터 파이프라인, 빌드 시스템, 그리고 특권 접근 권한을 가진 소수의 인력이 포함된다. 이 모든 요소가 지난 2년간 최소 한 번 이상 라자루스 연계 침해에 관여했다.
Chainalysis는 세탁 주기가 믹서, 크로스체인 브리지, 중국어 OTC 네트워크를 거치는 대략 45일, 3단계 패턴으로 정교화되었다고 보고한다. 이들은 모니터링에 걸리지 않기 위해, 보통 50만 달러 미만의 덩어리로 나누어 이동시킨다.
업계 대응은 여전히 분절되어 있다. 거래소마다 블랙리스트 반영 속도가 다르고, 중단(일시 정지)을 거는 디파이 프로토콜도 있는 반면, 그렇지 않은 곳도 있다.
사고 이후 진행된 한 Dune 분석은, 활성 LayerZero OApp의 47%가 여전히 1-of-1 DVN 구성을 사용 중이었다는 사실을 밝혔다.
수비 측은 매주 이겨야 한다. 라자루스는 분기마다 한 번만 이기면 된다.
Also Read: LayerZero, Aave, Monad All Sliding: What's Driving The DeFi Pullback Tonight
Kelp가 다음 단계를 시사하는 것
Kelp가 던지는 불편한 결론은 Bybit 사건 이후에도 코드 보안과 운영 보안 사이의 격차가 여전히 크다는 점이다.
Bybit는 2,000억 달러 규모의 대차대조표가 뒤에 있는 서명 인터페이스가 침해된 사례였다. Kelp는 중형 규모의 리퀴드 리스태이킹 프로토콜을 노린 인프라 계층 침해였다.
같은 행위자 클러스터가, Bybit보다 18일 앞서 있었던 약 2억 8,500만 달러 규모의 Drift Protocol 유출과는 다른 공격 벡터로 움직인 것이다. 이 사건 또한 북한 연계 운영자들과 연결되어 있다.
이 리듬 자체가 요점이다. 라자루스는 디파이 팀이 의존성을 강화하는 속도보다 더 빠르게 자신들의 플레이북을 반복 개선하고 있고, 각 성공 사례는 다음 차수의 리크루팅, 툴링, 인내심을 위한 자금이 된다.
The Hacker News는 북한 연계 행위자들이 2025년 전 세계에서 도난당한 암호화폐의 59%를 차지했다고 보도했다. 이는 이 공격자가 업계 손실의 중심축이 되었음을 잘 보여준다.
단일 검증자 구성, 미감사 노드 운영자, 공유 지갑 소프트웨어 같은 설정 선택은 더 이상 사소한 리스크 항목이 아니다. 상대가 국가일 때, 이것들이 바로 핵심 전장이 된다.
Also Read: C1 Fund Books 150% Return On Ripple Investment In Less Than Four Months
결론
라자루스는 암호화폐 보안의 가장 큰 실패가 이제 지정학·금융·인프라 문제를 동시에 내포하고 있다는 증거다.
Ronin, Harmony, WazirX, DMM Bitcoin, Bybit, 그리고 이제 Kelp까지는 서로 무관한 사고 목록이 아니다. 제재를 받은 한 정부가, 여전히 집요한 국가급 적이 어떤 모습인지를 과소평가하는 업계를 상대로 수행하는 일종의 캠페인이다.
다음 Kelp는 이미 계획되고 있다. 업계가 이를 버그 리포트로 볼지, 최전선으로 볼지가 문제다.
Read Next: Crypto Futures Wipeout: $197M Liquidated As BTC Climbs Above $76K
FAQ
Kelp DAO 해킹에서는 무슨 일이 벌어졌나?
2026년 4월 18일, 공격자들은 Kelp DAO가 운영하던 크로스체인 브리지에서 rsETH 116,500개(약 2억 9,200만 달러 상당)를 탈취했다. 이 익스플로잇은 스마트 컨트랙트 버그를 노리지 않았다. 대신 공격자들은 LayerZero의 Decentralized Verifier Network에서 사용되던 두 개의 원격 프로시저 호출(RPC) 노드를 탈취한 뒤, 장애 조치를 강제로 유도해, 오염된 노드가 허위 크로스체인 메시지에 도장을 찍게 만들었다. Kelp의 비상 멀티시그는 46분 뒤 핵심 컨트랙트를 일시 중단해, 추가 1억 달러 상당의 두 차례 후속 유출 시도를 막았다.
라자루스 그룹은 누구인가?
라자루스는 북한 국가 연계 사이버 행위자들을 가리키는 포괄적 레이블로, 미국 재무부와 FBI는 이를 평양의 핵심 군사·정보 기관인 정찰총국과 연결 짓는다. 분석가들은 TraderTraitor, APT38, Bluenoroff, Andariel, Hidden Cobra, Diamond Sleet, Jade Sleet, Slow Pisces 등 여러 하위 클러스터와 별칭을 같은 우산 아래에서 추적한다. 이들 클러스터는 인프라와 인력을 자주 공유한다.
LayerZero는 왜 Kelp 익스플로잇을 라자루스로 귀속했나?
LayerZero의 사후 분석은 공격자의 작전 기법과 지갑 행동을 국가 행위자, 특히 라자루스의 TraderTraitor 하위 유닛의 전형적인 특징으로 지목했다. 공격 약 10시간 전 Tornape Cash를 통한 사전 자금 조달, 탈취된 인프라에서 사용된 자폭형 바이너리, 유출 후 약 7만 4,000 ETH를 한데 모으는 패턴 모두가 기존 북한 연계 익스플로잇에서 문서화된 패턴과 일치한다.
북한이 훔친 암호화폐 총액은 얼마인가?
Chainalysis는 현재까지 북한 연계 암호화폐 도난 규모를 67억 5,000만 달러로 추산한다. 이 중 20억 2,000만 달러가 2025년 한 해에 도난당했으며, 이는 같은 해 전 세계 암호화폐 도난액의 약 59%에 해당한다. 이전에 한국 국가정보원은 2018~2022년 5년간 총액을 약 12억 달러로 추정했고, 유엔 전문가 패널은 2017~2023년 사이 58건의 북한 추정 사이버 공격을 조사하면서 약 30억 달러 규모로 집계했다.
TraderTraitor란 무엇인가?
TraderTraitor는 암호화폐 업계 타깃에 특화된 라자루스 하위 클러스터다. 이들의 시그니처 수법은 기술 인력을 겨냥한 사회공학 공격으로, 링크드인에서의 가짜 리크루터 제안, 악성코드가 심긴 사전 입사 테스트, 지갑 소프트웨어 벤더나 서명 인프라 침해 등이 흔하다. FBI, 미 국방부, 일본 경찰청은 3억 800만 달러 규모의 DMM Bitcoin 도난 사건에서 TraderTraitor를 공식 지목했으며, FBI는 이후 15억 달러 규모의 Bybit 탈취 작전의 주체로도 다시 이들을 명명했다.
라자루스 연계 암호화폐 해킹 중 가장 큰 사건은 무엇인가?
현재까지 공개적으로 귀속된 최대 사건으로는 2022년 3월 Ronin Network 사건(약 6억 2,500만 달러), 2022년 6월 Harmony Horizon(약 1억 달러), 2024년 7월 WazirX(약 2억 3,500만 달러), 2024년 5월 DMM Bitcoin(약 3억 800만 달러), 2025년 2월 Bybit(약 15억 달러), 2026년 4월 Kelp DAO(약 2억 9,200만 달러) 등이 있다.
라자루스는 탈취한 암호화폐를 어떻게 세탁하나?
Chainalysis는 대략 45일, 3단계로 정교화된 세탁 주기를 설명한다. 도난 자금은 믹서, 크로스체인 브리지, 중국어 OTC 네트워크를 거치면서 이동하며, 일반적으로 50만 달러 미만의 트랜치로 쪼개 모니터링 임계값을 피한다. 목표는 자금이 현금화 지점에 도달하기 전, 거래소 블록리스트와 온체인 분석을 앞지르는 것이다.
북한은 왜 암호화폐를 노리나?
암호화폐 도난은 고립된 북한 경제에 대한 제재 회피 수익원이자, 탄도미사일 및 핵 프로그램에 대한 직접적인 자금줄 역할을 한다고 유엔 전문가 패널과 AP가 인용한 미국 당국자들은 말한다. 미국의 추정치에 따르면, 사이버 범죄는 이제 북한 외화 수입의 거의 절반을 차지하는 것으로 보인다. 암호화폐 레일은 몇 분 안에 최종 결제가 이뤄지고, 코레스 은행에 의해 취소될 수 없다는 점에서 이 임무에 적합하다.
ZachXBT는 누구이며, 어떤 역할을 했나?
ZachXBT는 익명 온체인 조사관으로, 그의 공개 귀속 작업은 반복적으로 정부의 공식 확인보다 앞서 이뤄져 왔다. Bybit 사건에서 Arkham은 2025년 2월 21일 게시한 현상금 글에서, 익스플로잇을 라자루스와 연결한 트랜잭션 분석의 공로를 그에게 돌렸으며, 이는 FBI가 북한을 공식 지목하기 5일 전이었다. ZachXBT 같은 온체인 수사관들은 초기 공개 귀속 레이어를 형성하며, 연방 수사관을 대체하지는 않지만 거래소가 더 빠르게 대응하도록 돕는다.
암호화폐 업계는 라자루스를 막을 수 있는가?
코드 감사만으로는 불가능하다. 실제로 중요한 공격 면은 서드파티 서명 도구, 지갑 벤더, 노드 인프라, 리크루터 파이프라인, 빌드 시스템 등 운영 영역이다. Kelp 사건 이후 Dune 분석에 따르면, 활성 LayerZero OApp의 47%가 여전히 1-of-1 검증자 구성을 사용하고 있었는데, 이는 Kelp 익스플로잇을 가능하게 한 바로 그 구성이다. 이제 방어력 향상이 집중되어야 할 곳은, 벤더·인프라 호스트·인적 접근 전반에 걸친 이 운영 레이어의 강화다.
지금 Kelp DAO는 사용하기에 안전한가?
Kelp는 비상 응급체계를 통해 핵심 컨트랙트를 일시 중단했으며, 이후 multisig within 46 minutes of detection, which blocked two additional drain attempts. 사용자는 활동을 재개하기 전에 현재 컨트랙트 상태, 복구 또는 보상 프로그램 여부, 그리고 업데이트된 검증기 구성에 대해 Kelp와 LayerZero의 공식 사고 관련 채널을 확인해야 합니다.
Lazarus와 TraderTraitor의 차이점은 무엇인가요?
Lazarus는 상위 개념(우산 조직)입니다. TraderTraitor는 그 우산 안에 있는 특화된 하위 클러스터로, 암호화폐 업계 타깃에 집중하며 엔지니어와 지갑 소프트웨어 벤더를 대상으로 한 사회공학 공격으로 알려져 있습니다. FBI가 공격을 TraderTraitor에 특정해서 귀속할 때는, 단순히 더 넓은 국가 연계 생태계가 아니라 실제 작전 단위를 지목하는 것입니다.