북한 연계 해킹 조직이 인공지능(AI)을 활용한 정교한 속임수로 암호화폐 지갑 서비스 기업 직원들로부터 약 10만 달러를 탈취했으며, 이 같은 수법이 암호화폐 업계 전반으로 빠르게 확산되고 있다고 보안 전문 그룹이 경고했습니다.
미국의 암호화폐 지갑 서비스 및 분석 제공 기업인 제리온(Zerion)은 15일 공개한 보고서를 통해 북한 연계 해킹 조직이 AI 기반 사회공학적 공격을 통해 자사 일부 팀원의 로그인 세션과 접속 정보, 암호화폐 지갑에 보관된 개인 키에 접근해 약 10만 달러를 탈취했다고 밝혔습니다.
다만 이용자들의 자금이나 앱, 인프라는 침해되지 않았다고 제리온은 설명했습니다.
그러면서 이번 공격이 최근 구글 산하 보안 기업 ‘맨디언트’ 등이 조사해온 북한 연계 해킹 조직의 공격 수법과 매우 유사하다고 지적했습니다.
앞서 맨디언트 등은 최근 올해 2월부터 4월까지 두 달 동안 북한 연계 해킹 조직 'UNC1069'와 연계된 164개 도메인을 추적하고 차단했으며, 이 조직이 텔레그램, 링크드인 등 일상적인 업무 협업 플랫폼에서 수주에 걸쳐 신뢰를 쌓아가는 장기 캠페인을 통해 사회공학적 해킹을 벌이고 있다고 밝힌 바 있습니다.
이번 공격에서 주목할 점은 해킹 방식의 변화입니다.
제리온은 과거 북한 해킹 조직이 소프트웨어 취약점이나 스마트 계약의 허점을 파고드는 방식에 집중했다면, 이번 공격은 시스템이 아닌 '사람'을 직접 표적으로 삼았다고 지적했습니다.
특히 공격자들은 AI 도구를 활용해 피싱 메시지와 사칭 내용을 정교하게 다듬고, 가짜 화상회의와 AI로 편집한 이미지·영상을 동원해 신뢰를 쌓은 뒤 접근 권한을 탈취하는 방식을 사용한 것으로 분석된다고 밝혔습니다.
앞서 제이미 콜리어 구글 클라우드 수석 위협 고문도 VOA와의 화상 인터뷰를 통해 북한 해커들이 텔레그램이나 이메일 계정을 탈취해 신뢰감을 형성한 뒤 피해자를 속이는 사회공학적 해킹 수법을 점점 더 광범위하게 활용하고 있다고 우려한 바 있습니다.
[녹취: 콜리어 수석 위협 고문] “Actors will try to hijack a Telegram account or a legitimate email — that creates a sense of trust where people are more susceptible to clicking links or opening things. Critically, in this case we saw the 'ClickFix' — effectively getting victims to execute certain commands on their computers. It's in that behavior — what they're prompting you to do — that's the real telltale sign.
"북한 공격자들은 텔레그램이나 이메일 계정을 탈취해 신뢰감을 만들어냅니다. 그 신뢰를 이용해 피해자가 링크를 클릭하거나 파일을 열게 만들죠. 그 결정적인 사례가 바로 '클릭픽스'입니다. 피해자에게 컴퓨터에 특정 명령어를 직접 실행하도록 유도하는 것이죠. 당신에게 무언가를 하도록 유도하는 그 행동이 바로 진짜 징후입니다."
미국 정부에 따르면 북한은 사이버 공격으로 탈취한 자금을 핵·미사일 개발에 활용하고 있으며, 지난해에는 단 한 번의 공격으로 15억 달러를 탈취해 역대 최대 가상화폐 해킹 기록을 세운 바 있습니다.
VOA 뉴스