휴머니티 프로토콜 3600만 달러 해킹, 북朝鮮 해커 sospicion… 블록체인 보안업체 Quantstamp 분석

지난주 월요일, 탈중앙화 신원 인증(Decentralized Identity) 플랫폼 휴머니티 프로토콜(Humanity Protocol)은 약 3600만 달러 상당의 H 토큰이 해킹을 통해 유출됐다고 발표했다. 해당 해킹은 단순히 기술적 취약점을 노린 것이 아니라, 정교한 사회공학적 공격과 악성코드payload를 결합한 고도의 사이버 공격이었다. 블록체인 보안 감사 및 인시던트 대응을 전문으로 하는 Quantstamp는 이 공격이 북朝鮮(DPRK) 계열 해커 sospicion을 받고 있다고 밝혔다. 특히 공격에 사용된 악성코드가 한컴( Hancom )의 디지털 인증서를 서명에 사용했다는 점이 주목할 만하다. 한컴은 한국에서 널리 사용되는 한글 워드프로세서인 한컴오피스의 제작사로, 해당 인증서가 악용됐다면 한국 내 일반 사용자들에게도 위협이 될 수 있는 상황이다.

이번 해킹은 단순한 ‘해킹’이 아니라 ‘표적형 공격’이었다는 점이 특징이다. 공격자들은south Korean cryptocurrency exchange 빗썸을 사칭한 이메일을 휴머니티 프로토콜 직원에게 발송했으며, 이메일에는 ‘토큰 락업 일정 업데이트’라는 제목의 첨부파일이 포함됐다. 이 첨부파일은 실제로는 악성코드payload였으며, 이를 다운로드한 직원의 노트북이 원격 제어용 악성코드에 감염됐다. 이후 공격자들은 해당 직원의 MetaMask 지갑 자격증명 및 개인키를 탈취했고, 이를 통해 휴머니티 프로토콜의 H 토큰을 대량으로 이체할 수 있었다. 이 과정에서 공격자들은 내부 시스템에 접근할 수 있는 권한을 확보했으며, 이는 단순히 외부 공격이 아니라 내부자 위협(internal threat)으로까지 이어질 수 있는 심각한 문제였다.

Quantstamp는 이번 공격에 사용된 악성코드가 “북朝鮮 계열 침투 패턴”과 유사하다고 분석했다. 특히 악성코드의 서명에 사용된 한컴 디지털 인증서는 이러한 sospicion을 뒷받침하는 핵심 증거로 꼽힌다. 한컴 인증서는 한국에서 법적·상업적으로 널리 신뢰받는 디지털 서명 도구로, 악용될 경우 일반 사용자들에게도 큰 혼란을 초래할 수 있다. 또한 이번 공격은 최근 북朝鮰 해커 집단들이 ‘정밀성’과 ‘규모’를 동시에 추구하는 경향과도 일치한다. CertiK의 2025년 보고서에 따르면, 북朝鮮 계열 해커들은 2025년 crypto 익스플로잇으로 약 34억 달러 상당의 손실을 야기했으며, 이 중 약 20억 달러가 해당 집단에 의해 발생했다. 또한 2016년부터 2026년까지 북朝鮮 해커들은 총 263건의 crypto 관련 해킹을 통해 약 67억 5000만 달러를 탈취했다고CertiK는 밝혔다.

이번 해킹은 단순히 한 기업의 손실로 끝나지 않을 가능성이 크다. 북朝鮮 해커들은 crypto 시장의 취약점을 끊임없이 노리고 있으며, 특히 ‘정확한 표적 공격’을 통해 단기간에 대규모 자금을 탈취하는 전략을 구사하고 있다. 휴머니티 프로토콜의 경우, 공격자들이 내부 직원의 노트북을 감염시킨 후 메타마스크 지갑의 개인키를 탈취했다는 점에서, 단순히 ‘지갑 보안’을 강화하는 것만으로는 한계가 있음을 보여준다. 또한 악성코드가 한컴 인증서를 서명에 사용했다는 사실은, 한국 내 일반 사용자들에게도 ‘디지털 서명’의 안전성에 대한 의문을 제기할 수밖에 없다. 한컴을 비롯한 국내 디지털 인증 서비스 제공업체들은 이러한 위협에 대응하기 위해 인증서 관리 시스템의 보안을 강화하고, 사용자들에게도 인증서 사용 시 주의가 필요하다는 경고를 강화해야 할 것이다.

한편, 이번 해킹은 crypto 산업 전반에 대한 경각심을 높이는 계기가 됐다. 특히 ‘탈중앙화’라는 개념이 강조되는 crypto 시장에서, 내부자 threat와 사회공학적 공격에 대한 보안 강화는 필수적이다. Quantstamp는 이번 사건을 계기로, crypto 프로젝트들이 ‘피싱 공격’ 및 ‘내부자 threat’에 대한 종합적인 보안 체계를 마련해야 한다고 강조했다. 또한 사용자들에게는 ‘지갑 개인키 관리’, ‘이메일 첨부파일 확인’, ‘디지털 서명 인증’ 등에 대한 교육이 절실히 요구된다. 특히 crypto 거래소와 DeFi 프로젝트들은 ‘직원 보안 교육’을 강화하고, ‘다중 인증(MFA)’ 및 ‘행위 분석(UEBA)’ 같은 고급 보안 기술을 도입해야 할 것이다.

이번 사건을 계기로 crypto 산업은 ‘북朝鮰 해커 sospicion’에 대한 보다 면밀한 감시가 필요하다는 결론을 내릴 수 있다. 북朝鮰 해커들은 단순히 기술적 취약점을 노리는 것이 아니라, ‘사회공학적 공격’과 ‘내부자 threat’를 결합한 ‘정교한 공격’을 구사하고 있다. 또한 이들은 crypto 시장의 급속한 성장과 함께 ‘규모’와 ‘정확성’을 동시에 추구하는 전략을 구사하고 있다. 따라서 crypto 프로젝트들은 ‘보안 감사’를 주기적으로 실시하고, ‘인시던트 대응 계획’을 마련해야 한다. 사용자들도 ‘디지털 서명’, ‘지갑 보안’, ‘이메일 보안’ 등에 대한 기본적인 상식을 갖추고, 의심스러운 이메일이나 첨부파일에는 접근하지 않도록 주의해야 한다.

결론적으로, 휴머니티 프로토콜 해킹은 crypto 산업이 직면한 ‘사이버 위협’의 진화상을 보여주는 사례다. 단순히 기술적 취약점을 보완하는 것만으로는 한계가 있으며, ‘사회공학적 공격’, ‘내부자 threat’, ‘정교한 악성코드’ 등에 대한 종합적인 보안 체계를 마련해야 한다. 또한 사용자들도 ‘디지털 보안’에 대한 인식을 높이고,crypto 시장의 건전한 성장을 위해 노력해야 할 것이다. 이번 사건을 계기로 crypto 프로젝트와 사용자 모두 ‘안전’이라는 기본을 다시 한번 되돌아봐야 할 시점이다.