북한 해커들이 구글 독스, 업워크, 링크트인과 같은 일반적인 업무 플랫폼을 활용하여 전 세계의 암호화폐 개발 시장에 대규모로 침투하고 있다는 사실이 밝혀졌다. 블록체인 분석가인 잭엑스비티(ZachXBT)에 의해 공개된 자료에 따르면, 이들 북한 해커들은 5명의 소규모 팀을 구성하고 있으며, 30개 이상의 가짜 신원을 창출하여 활동하고 있다.

북한 해커들은 정부가 발행한 신분증을 비롯해 VPN, AI 소프트웨어 및 컴퓨터 장비를 구매하여 다양한 플랫폼에 등록, 개발자 직무를 확보하는 데 성공했다. 조사에서 나타난 바에 따르면, 이들은 구글 드라이브와 크롬 프로필, 스크린샷 등을 사용하여 일정 관리와 업무 분담, 예산 편성을 하였으며, 주로 영어로 소통해왔다.

특히 주목할 점은 이 조직이 작성한 스프레드시트로, 여기에는 팀원 간 주간 업무 보고서와 회계 자료가 포함되어 있다. 문서 안에는 "업무가 이해되지 않는다"는 솔직한 평가와 함께 "충실히 하자"는 자기 개선 메모도 포함되어 있어 이들이 업무에 적응하기 위해 노력하고 있음을 보여준다. 이 외에도 신분 도용을 통한 사회보장번호, 업워크 및 링크트인 계정, 가상 전화번호와 AI 서비스, 컴퓨터 임대, VPN 등의 구매 내역이 담긴 파일도 발견되었다.

이들은 원격 접속 툴인 애니데스크(AnyDesk)를 사용하여 해외에서 근무하는 것처럼 위장하며, 지급받은 보수는 파이오니어(Payoneer)를 통해 암호화폐로 전환하였다. 이와 연결된 지갑 주소 중 하나는 2025년 6월에 발생한 해킹 사건인 암호화폐 프로젝트 ‘Favrr’와 연관되어 있으며, 해당 사건은 약 68만 달러에 이르는 규모이다. 특히, Favrr의 최고기술책임자(CTO)를 포함한 여러 개발자들이 북한 출신 해커와 관련이 있다는 사실이 밝혀졌다.

더 나아가, 북한 해커가 사용하는 전술은 그들의 정체성을 숨기기 위한 여러 전략을 포함된다. 이들은 자주 구글 번역을 사용하여 한국어 키워드를 러시아 IP 주소로 검색하는 등 그들의 출신 국가를 감추려 했다. 잭엑스비티는 이들이 기술적으로는 정교하지 않지만, 전 세계를 대상으로 한 수많은 취업 지원을 통해 꾸준히 전략적 위협을 가하고 있다고 평가했다. 특히 민간 기업과 서비스 간의 협력이 부족하며, 내부자가 문제를 제보해도 이를 외면하는 태도는 이들을 추적하는 데 있어 추가적인 장벽이 되고 있다.

한편, 북한의 해킹 조직인 라자루스 그룹은 여전히 암호화폐 산업에 심각한 위협을 가하고 있다. 이들은 2025년 2월에 두바이 기반의 거래소 바이빗에서 약 15억 달러를 탈취하는 역대 최대 규모의 해킹을 일으켰으며, 미국 FBI는 이를 북한 주도로 진행된 공격이라고 보고하고 있다. 또한 7월 인도 암호화폐 거래소 코인DCX에서도 라자루스 그룹과의 연계가 확인되며 4,400만 달러 규모의 해킹 사건이 발생했다.

북한의 암호화폐 침투 시도는 단순한 사이버 범죄를 넘어, 글로벌 블록체인 생태계의 신뢰 기반을 흔드는 위협적인 요소로 부각되고 있다. 이에 따라 전 세계 암호화폐 기업과 개발자 커뮤니티는 위장된 북한 인력의 침투에 대해 보다 면밀하고 끈질긴 대응이 요구되고 있다.