북한 해킹 조직 라자루스의 바이비트 해킹 자금 현금화 가능성 분석:
중앙화·탈중앙화 거래소의 대응을 중심으로
북한 해킹 조직 라자루스 그룹이 2025년 2월 발생한 바이비트 해킹 사건에서 탈취한 14억6000만 달러(약 2조1000억 원) 규모의 이더리움(ETH)을 현금화할 수 있을지에 대한 논란이 글로벌 암호화폐 시장을 뜨겁게 달구고 있습니다. 이번 사건은 역대 최대 규모의 가상자산 해킹으로 기록되며, 해커의 자금 세탁 경로와 중앙화 거래소(CEX), 탈중앙화 거래소(DEX)의 대응 전략이 핵심 쟁점으로 부상했습니다.
1. 바이비트 해킹 사건 개요: 라자루스 그룹의 정교한 공격 전략
2025년 2월 21일, 두바이 기반 암호화폐 거래소 바이비트(Bybit)는 오프라인 콜드월렛에서 401,000 ETH(당시 약 14억6000만 달러)가 탈취당했다고 공식 확인했습니다. 블록체인 보안 기업 클로인트(Kloint)의 분석에 따르면, 라자루스 그룹은 Safe{Wallet} 개발자의 시스템에 악성 코드를 주입하여 다중서명(Multi-Sig) 승인 프로세스를 우회한 것으로 드러났습니다. 공격자는 해킹 3일 전 특정 이더리움 지갑을 사전 조준한 뒤, 거래 승인 인터페이스(UI)를 위조하여 자금을 유출하는 사회공학적 기법을 활용했습니다.
탈취 직후 해커는 자금을 48,900 ETH 단위로 분할하여 토르체인(THORChain)을 통해 비트코인(BTC)으로 전환하기 시작했으며, 현재까지 약 6억2000만 달러가 세탁된 것으로 추정됩니다. 아캄 인텔리전스(Arkham Intelligence)는 이번 공격이 2024년 인도 거래소 와지르X(WazirX)와 라디언트 캐피털(Radiant Capital)을 표적으로 한 기존 라자루스 그룹의 패턴과 유사하다고 지적했습니다.
2. 자금 세탁 메커니즘: 이더리움→비트코인→위안화의 다단계 프로세스
라자루스 그룹의 자금 세탁 전략은 다층적 크로스체인 변환을 통해 추적을 회피하는 것이 핵심입니다. 에릭 월(Eric Wall) 블록체인 분석가에 따르면, 그들은 먼저 탈취한 ERC-20 토큰을 이더리움으로 전환한 후, 토르체인을 활용해 비트코인으로 스왑합니다. 이후 아시아 지역(주로 중국)의 중앙화 거래소를 통해 비트코인을 위안화(CNY)로 현금화하며, 이 과정에서 믹싱 서비스 eXch를 이용해 거래 내역을 난독화합니다.
이러한 방식은 2022년 체이널리시스(Chainalysis) 보고서에서 언급된 북한의 장기 세탁 모델과 일치합니다. 당시 북한은 2016년 해킹 자금 중 5500만 달러를 6년 이상 보유한 뒤 단계적으로 현금화한 사례가 있었습니다. 현재 라자루스 그룹이 보유한 229,395 ETH(약 7조507억 원)도 수년에 걸쳐 시장에 유입될 가능성이 높습니다.
3. 중앙화 거래소(CEX)의 대응: 글로벌 합동 자금 동결
중앙화 거래소들은 블랙리스트 주소 모니터링 시스템을 가동하며 적극적인 대응에 나섰습니다. 바이비트는 테더(Tether), 서클(Circle) 등 스테이블코인 발행사와 협력해 4289만 달러 규모의 자금을 동결했으며, 코인베이스(Coinbase)와 바이낸스(Binance)는 의심 거래 신고 시 24시간 내 검토 프로토콜을 적용 중입니다. 특히 영국 경찰은 2025년 2월 암호화폐 동결 권한을 확대하는 법 개정을 완료하여, 라자루스 계좌 추적 시 즉각적인 자산 압류가 가능해졌습니다.
하지만 현실적인 한계도 존재합니다. 2025년 2월 27일 기준 중앙화 거래소에서 15억1000만 달러 상당의 테더(USDT)가 유출되며6, 해커가 자금을 소규모로 분할하여 DEX로 전환하는 사례가 증가하고 있습니다. 이는 CEX의 KYC(Know Your Customer) 규제 회피 전략으로 해석됩니다.
4. 탈중앙화 거래소(DEX)의 역량 검증: 유동성 vs. 추적 가능성
라자루스 그룹이 DEX로 자금을 이동할 경우, 주요 플랫폼의 유동성 한계가 최대 장애물입니다. 2025년 1월 기준 전체 DEX 거래량은 4541억 달러로, 해킹 자금의 30배 이상이지만 단일 거래에서 10억 달러 이상의 매도를 소화하기엔 역부족입니다. 유니스왑 V3(Uniswap V3)의 이더리움 풀 깊이는 23억 달러 수준으로, 대량 매도 시 12% 이상의 가격 슬리피지 발생이 예상됩니다.
THORChain 같은 크로스체인 DEX는 자산 변환에 특화되어 있으나, 2025년 2월 말 기준 BTC/ETH 유동성 풀 규모가 8억5000만 달러에 불과해 라자루스의 14억 달러 자금을 1개월 내 처리하려면 일일 거래량이 470% 증가해야 합니다. 또한 DEX 거래는 온체인에 기록되어 추적 가능성이 높아, 체이널리시스와 같은 분석 업체가 실시간으로 이상 거래를 감시하고 있습니다.
5. 현금화 전망: 기술적 가능성 vs. 정치적 리스크
라자루스 그룹의 자금 현금화는 기술적으로는 가능하나, 정치·외교적 압력으로 인해 실제 실행에는 상당한 제약이 따를 전망입니다. 미국 재무부 외국자산통제국(OFAC)은 2025년 3월 1일 북한 연계 암호화폐 주소 142개를 새롭게 제재 목록에 추가하며, 관련 거래소에 대한 2차 제재 가능성을 경고했습니다. 또한 국제형사경찰기구(인터폴)는 블록체인 분석 기업 17개사와 '사이버 크라임 연합 태스크포스'를 구성해 실시간 정보 공유 체계를 가동 중입니다.
결론적으로, 라자루스 그룹이 탈취한 이더리움의 완전한 현금화에는 최소 3~5년이 소요될 것으로 예상됩니다. 이 과정에서 자금의 60~70%가 회수되거나 무효화될 가능성이 있으며, 남은 자산도 시장에 미치는 영향을 최소화하기 위해 단계적으로 유입될 것입니다. 중앙화와 탈중앙화 거래소 간의 보안 협업 강화가 이번 사건이 남긴 최대 교훈으로, 향후 가상자산 산업의 규제 프레임워크 재정비 촉발 효과가 예상됩니다.
※ 본 분석은 2025년 3월 1일 기준 공개된 정보를 바탕으로 작성되었으며, 향후 조사 진전에 따라 내용이 수정될 수 있습니다.