북한 IT 인력이 지난 7년 동안 디파이(DeFi)와 크립토 기업에 침투해온 정황이 드러나 보안 전문가들이 경고하고 있다. 메타마스크 개발자이자 보안 연구원인 테일러 모나한은 이들이 디파이 여름 시기부터 이미 주요 인프라를 구축해왔다는 주장이다. 그는 “많은 북한 IT 노동자들이 우리가 잘 알고 있는 프로토콜의 초창기 개발에 기여했다”면서, 40개 이상의 디파이 플랫폼에서 북한 인력이 프로토콜 개발에 포함된 증거가 있다고 밝혀 업계에 경각심을 불러일으켰다. 또한, 이력서에 기술된 '블록체인 개발 경력 7년' 역시 사실이라고 덧붙였다.

이와 같은 배경에는 북한의 정찰총국 산하 해킹 조직인 라자루스 그룹이 자리하고 있다. 전문가들은 이 그룹이 2017년 이후 암호화폐 약 70억 달러를 탈취한 것으로 추정하고 있다. 라자루스는 2022년 로닌 브리지 해킹, 2024년 와지르엑스($WAZIRX) 해킹, 2025년 비트겟($BTC) 기반 대규모 탈취 사건 등 업계에 큰 충격을 주는 공격과 관련이 있다.

모나한의 발언은 최근 드리프트 프로토콜이 2억 8000만 달러 해킹 사건의 배후에 북한 정부 관련 그룹이 있다는 '중간 이상의 확신'을 밝혔다고 전하자마자 나왔다. 드리프트는 사고보고서에서 실제 접촉이 북한 국적자에게서 오지 않았고 '제3자 중개인'을 거쳤다고 설명했다. 이들은 완벽한 이력과 경력을 갖춘 '신원'을 통해 신뢰를 쌓고 접근한 것이라고 밝혔다.

또한, 실제 사례로는 솔라나 기반의 탈중앙화 거래소 애그리게이터인 타이탄 익스체인지의 설립자 팀 아흘이 라자루스 조직원으로 추정되는 지원자를 면접한 경험을 들었다. 그는 영상 면접에서는 매우 뛰어난 능력을 보였지만 대면 면접 요청은 거부했으며, 훗날 해당 인물의 이름이 라자루스 관련 정보 유출 자료에서 확인되었다고 말했다.

미국 재무부 해외자산통제국(OFAC)은 기업들이 제재 명단을 확인하고 IT 인력의 사기 및 유사한 패턴을 점검할 수 있도록 돕는 페이지를 운영하고 있다. 채용 과정이 공격 경로가 될 수 있다는 점에서, 단순한 계정 해킹을 넘어 '인력 침투'가 새로운 위협으로 떠오르고 있는 것이다.

온체인 수사 전문가 잭엑스비티는 이러한 공격 방법이 과거에 비해 정교하지는 않지만, 기본적인 수준의 구인 공고와 소셜 미디어, 이메일, 화상 면접 등을 통해 접근하는 데 집중하고 있다고 언급했다. 그는 "2026년에도 이런 방식으로 속아 넘어진다면, 기업은 매우 부주의한 것"이라고 꼬집었다.

북한 IT 인력과 라자루스 그룹의 침투 의혹은 디파이 및 크립토 업계가 보안만큼이나 '사람 검증'에 상대적으로 취약하다는 점을 부각시켰다. 대형 해킹 사건이 계속 발생하는 가운데, 채용과 협업 과정까지 공격 표면으로 인식하는 시각이 더욱 중요해지고 있다.