AI로 보안의 가치를 더하는 기업, 누리랩

누리랩은 AI 기술 기반으로 보안 솔루션 연구 개발 및 서비스를 제공하는 AI 보안 전문 기업입니다.

세상에 도움이 되는 기술로 인류에게 가치를 제공한다! 자세히보기

파트너 제품소개

CrowdStrike 2026 금융 서비스 위협 보고서: 북한 해킹 그룹의 디지털 자산 탈취 위협

누리알리 2026. 5. 27. 16:34

 

CrowdStrike는 2026 금융 서비스 위협 환경 보고서를 통해,

2025년 금융 서비스 분야에서 북한 해킹 그룹이 대규모 디지털 자산 탈취를 주도했다고 밝혔습니다.

 

금융 서비스 산업은 사이버 공격자들이 가장 집요하게 노리는 분야 중 하나입니다. 고객 정보, 결제 시스템, 디지털 자산, 클라우드 인프라처럼 공격자가 노릴 수 있는 가치 있는 자산이 집중되어 있기 때문입니다. 최근에는 여기에 AI 기반 기만 전술, 정상 계정 탈취, SaaS 애플리케이션 악용, 공급망 공격까지 더해지면서 금융권 보안 환경은 더욱 복잡해지고 있습니다.


CrowdStrike 보고서에 따르면 북한 해킹 그룹에 의한 디지털 자산 탈취 규모는 전년 대비 51% 증가했으며, 보고된 피해 규모는 20억 2천만 달러에 달했습니다.


 

⊙ 세분화되는 북한 해킹 그룹, 목적별로 정교해지는 공격

이번 보고서에서 주목할 부분은 북한 해킹 그룹의 활동이 점점 더 세분화되고 있다는 점입니다. 단일 조직처럼 움직이는 것이 아니라, 표적과 목적에 따라 역할을 나누고 더 전문화된 방식으로 공격을 수행하는 모습이 나타나고 있습니다.

​예를 들어 라비린스 천리마(LABYRINTH CHOLLIMA)는 군사, 국방, 제조 분야를 대상으로 한 정보 수집 활동에 집중하는 것으로 알려져 있습니다. 반면 골든 천리마(GOLDEN CHOLLIMA)는 핀테크 기업과 암호화폐 관련 조직을 겨냥한 수익 창출 활동에 관여하고 있으며, 프레셔 천리마(PRESSURE CHOLLIMA)는 중앙집중형 암호화폐 거래소와 대형 기술 기업을 표적으로 한 대규모 탈취 활동에서 두드러집니다.

​이러한 역할 분화는 북한 해킹 그룹의 공격이 더 조직적이고 효율적인 방식으로 진화하고 있음을 보여줍니다. 정보 수집, 클라우드 접근, 암호화폐 탈취, 공급망 침해가 각각 분리된 활동처럼 보이지만, 실제로는 금융권과 디지털 자산 생태계를 겨냥한 하나의 큰 공격 흐름으로 연결됩니다.

구분
주요 표적
주요 목적
라비린스 천리마 (LABYRINTH CHOLLIMA) 군사, 국방, 제조 기관
정보 수집 및 사이버 스파이 활동
골든 천리마 (GOLDEN CHOLLIMA) 핀테크 기업, 암호화폐 관련 조직
수익 창출 및 클라우드 접근
프레셔 천리마 (PRESSURE CHOLLIMA) 암호화폐 거래소, 대형 기술 기업
대규모 디지털 자산 탈취

 


 

⊙ 프레셔 천리마(PRESSURE CHOLLIMA), 역대 최대 규모 암호화폐 탈취 수행

CrowdStrike 보고서에서 가장 눈에 띄는 그룹은 프레셔 천리마입니다.

​보고서에 따르면 프레셔 천리마는 공급망 침해를 통해 트로이목마화된 소프트웨어를 배포했고, 이를 기반으로 14억 6천만 달러 규모의 암호화폐를 탈취했습니다. CrowdStrike는 이를 지금까지 보고된 금융 탈취 사례 중 최대 규모로 언급했습니다.

​이 사례는 디지털 자산 탈취가 단순한 암호화폐 지갑 해킹 수준을 넘어섰다는 점을 보여줍니다. 공격자는 소프트웨어 공급망, 업데이트 경로, 개발 환경, 협력사 접근 권한까지 노리며 정상적인 배포 체계를 공격 통로로 악용하고 있습니다.

​특히 금융기관과 암호화폐 거래소, 핀테크 기업은 외부 솔루션과 오픈소스, 협력사 시스템에 대한 의존도가 높습니다. 공격자가 이 중 하나의 연결 지점을 장악하면, 보안팀이 신뢰하던 경로를 통해 악성 코드나 탈취 도구가 내부로 유입될 수 있습니다.

 


 

⊙ 골든 천리마(GOLDEN CHOLLIMA), 채용 사칭과 클라우드 접근을 활용하다

프레셔 천리마가 대규모 암호화폐 탈취에 초점을 맞춘다면, 골든 천리마는 핀테크 기업과 암호화폐 관련 조직을 대상으로 보다 지속적인 수익 창출 활동을 수행하는 모습입니다.

​CrowdStrike에 따르면 골든 천리마는 채용을 가장한 미끼를 활용해 암호화폐 자금을 빼돌리고, 동남아시아와 캐나다의 핀테크 기업 클라우드 환경에 접근한 것으로 나타났습니다.

​이러한 공격은 기술적 침투와 사회공학 기법이 결합된 형태입니다. 공격자는 채용 제안, 프로젝트 협업, 기술 인터뷰, 메신저 파일 공유처럼 자연스러워 보이는 절차를 이용해 접근합니다. 특히 개발자, 클라우드 관리자, 지갑 운영자처럼 중요한 시스템에 접근할 수 있는 인력이 표적이 될 가능성이 큽니다.

​따라서 금융기관과 핀테크 기업은 보안 점검 범위를 시스템 내부에만 한정해서는 안 됩니다. 채용 프로세스, 외부 커뮤니케이션 채널, 협력사 온보딩, 클라우드 접근 권한까지 함께 살펴봐야 합니다.


 

AI를 활용해 더 정교해지는 금융권 기만 전술

CrowdStrike는 북한 해킹 그룹이 AI를 활용해 금융권 대상 작전을 확장하고 있다고 분석했습니다. 공격자는 AI를 이용해 그럴듯한 신원, 채용 담당자 페르소나, 합성 화상회의 환경을 만들고, 이를 통해 금융기관과 핀테크 기업을 속이는 방식으로 접근하고 있습니다.

​보고서에 따르면 페이머스 천리마(FAMOUS CHOLLIMA)는 AI로 생성한 신원을 활용해 암호화폐 거래소, 핀테크 플랫폼, 소비자 은행에 침투하는 작전을 두 배로 늘렸습니다. 스타더스트 천리마(STARDUST CHOLLIMA)는 AI 기반 채용 담당자 페르소나와 합성 화상회의 환경을 활용해 북미, 유럽, 아시아의 핀테크 기업을 대상으로 작전 속도를 세 배로 높였습니다.

​이제 금융권 공격은 단순한 피싱 메일 수준에 머물지 않습니다. 실제 사람처럼 보이는 프로필, 자연스러운 대화, 영상 회의 환경까지 갖춘 기만 전술이 사용되고 있습니다. 금융기관 입장에서는 “이 사람이 실제 내부 직원인지”, “이 채용 제안이나 협업 요청이 정상적인 절차인지”, “화상회의나 메신저에서 오간 파일이 안전한지”까지 확인해야 하는 상황이 되었습니다.


 

금융권 위협은 디지털 자산 탈취에만 그치지 않는다

이번 보고서는 북한 해킹 그룹의 디지털 자산 탈취 외에도 금융 서비스를 둘러싼 다양한 위협을 함께 제시했습니다.

​중국 관련 해킹 조직은 금융 서비스 산업에서 중요한 정보 수집 위협으로 부상하고 있습니다. 예를 들어 HOLLOW PANDA는 필리핀, 인도네시아, 브라질의 금융기관을 대상으로 침입 활동을 수행했습니다. MURKY PANDA는 36개국 150개 이상의 엔드포인트에 운영 릴레이 박스 네트워크를 구축했으며, 30개 이상 산업의 340개 조직을 표적으로 삼았습니다. 이 중 금융 서비스는 가장 자주 표적이 된 산업 중 하나였습니다.

​랜섬웨어와 사이버 범죄 압박도 커지고 있습니다. CrowdStrike에 따르면 2025년 금융 서비스 조직 423곳이 전용 유출 사이트에 게시됐으며, 이는 전년 대비 27% 증가한 수치입니다. 특히 MUTANT SPIDER는 보이스피싱 캠페인을 통해 확보한 접근 권한을 랜섬웨어 그룹에 판매했고, SCATTERED SPIDER는 보험사를 대상으로 랜섬웨어 작전을 재개한 것으로 나타났습니다.

​즉, 금융권 위협은 암호화폐 탈취 하나로만 설명하기 어렵습니다. 정보 수집, 계정 탈취, 랜섬웨어, 공급망 공격, 클라우드 침입이 서로 연결되며 더 복합적인 형태로 확대되고 있습니다.


 

금융 보안팀이 주목해야 할 시사점

CrowdStrike의 2026 금융 서비스 위협 보고서가 보여주는 핵심은 금융권 사이버 위협이 더 세분화되고 정교해지고 있다는 점입니다. 특히 북한 해킹 그룹은 라비린스 천리마, 골든 천리마, 프레셔 천리마처럼 목적별로 분화하면서 정보 수집, 핀테크 침투, 대규모 암호화폐 탈취를 각각 전문화하고 있습니다. 여기에 AI 기반 신원 위장, 채용 사칭, 공급망 침해, 클라우드 접근까지 결합되면서 공격의 속도와 성공 가능성은 더 높아지고 있습니다.

​따라서 금융 보안팀은 디지털 자산 보호를 지갑이나 거래 시스템에만 한정해서는 안 됩니다. 개발 환경, 클라우드 계정, SaaS 권한, 외부 소프트웨어 공급망, 채용 프로세스까지 하나의 공격 표면으로 보고 관리해야 합니다. 특히 디지털 자산을 보유하거나 핀테크, 암호화폐, 클라우드 기반 서비스를 운영하는 조직이라면 정상처럼 보이는 계정과 접근도 지속적으로 검증해야 하며, 채용 사칭과 AI 기반 기만 전술에 대응할 수 있는 탐지 체계도 갖춰야 합니다.

​앞으로 금융기관은 “공격자가 외부에서 침입하는가”만 볼 것이 아니라, “정상처럼 보이는 접근이 실제로 안전한가”를 계속 확인해야 합니다. 공격자가 AI로 속도와 정교함을 높이고 있다면, 방어자 역시 AI 기반 탐지, 위협 인텔리전스, 계정 및 권한 가시성을 결합해 더 빠르게 대응해야 합니다.


 

※ [원문보기] CrowdStrike 2026 Financial Services Threat Landscape Report

<크라우드스트라이크 무료체험하기>