"북한 해킹그룹, 가상자산 탈취 위해 화상회의·AI 악용" 작성일 04-16 14 목록 <div id="layerTranslateNotice" style="display:none;"></div> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="zWi24OfzTF"> <figure class="figure_frm origin_fig" contents-hash="9499d9d2170dbb7825a26d80329d8598e821998c7c027385933e681006413bee" dmcf-pid="qYnV8I4qWt" dmcf-ptype="figure"> <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202604/16/552796-pzfp7fF/20260416142616282ynxk.png" data-org-width="640" dmcf-mid="72IgjFNdT3" dmcf-mtype="image" height="auto" src="https://img3.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202604/16/552796-pzfp7fF/20260416142616282ynxk.png" width="658"></p> </figure> <p contents-hash="60f2e0ccc011744c3dfad2b943f6efd6e6fb268fb87567839d1fc311dfb8871e" dmcf-pid="BGLf6C8Bl1" dmcf-ptype="general">[디지털데일리 김보민기자] 북한 해킹그룹이 가상자산을 탈취하기 위해 화상회의 등 다양한 도구를 활용해 수법을 고도화했다는 분석이 나왔다.</p> <p contents-hash="8959df71425a5f9f3519d83dceed26ee16acfbc318920bde3769af555055c970" dmcf-pid="bHo4Ph6bC5" dmcf-ptype="general">카스퍼스키는 북한 해킹그룹 '블루노로프'가 가상자산 탈취 공격 기법을 담은 보고서를 16일 발표했다.</p> <p contents-hash="abc98e16bf0260c2fcc1b794d267476942fd9d3765f9437ee96519856bbbf0b5" dmcf-pid="KXg8QlPKyZ" dmcf-ptype="general">분석에 따르면 블루노로프는 암호화폐 지갑만 노리는 것이 아니었다. 공격 범위를 넓혀 화상회의, 채용 과정, 클라우드, 인공지능(AI) 계정까지 포함한 디지털 업무 환경 전체를 장악하려 한다는 특징이 있는 것으로 나타났다.</p> <p contents-hash="46d0cb26cdb9e0f1ab26b607cc1fc8c9f2fb73e7b1260ad1f0544e6fff5fc583" dmcf-pid="9Za6xSQ9hX" dmcf-ptype="general">특히 웹3(Web3)와 블록체인 업계 핵심 인사를 목표물로 삼고 있다. 공격자는 신뢰를 이용해 피해자 경계를 무너뜨리고 이메일과 메신저, 클라우드 설정 등 모든 자산에 접근할 수 있는 권한을 빼앗았다. 동시에 맥OS(macOS) 핵심 보안 기능까지 우회하는 기술을 사용했다.</p> <p contents-hash="dd36ee24db3dbf0fb6ceb2df9ce32477c381657fe67148e1624cf488170fa28d" dmcf-pid="25NPMvx2TH" dmcf-ptype="general">카스퍼스키는 블루노프가 '스내치크립토' 작전 일환으로 '고스트콜'과 '고스트하이어' 기법을 활용했다고 설명했다. '고스트콜' 캠페인은 화상회의를 악용한 공격이다. 공격자는 텔레그램 등으로 먼저 접근한 뒤 위조한 줌(Zoom) 또는 팀즈(Teams) 링크를 전달한다. 피해자가 링크에 접속하면 실제 회의처럼 보이도록 과거 피해자의 녹화 영상이 재생된다.</p> <p contents-hash="2a3f5d4dce0f1c09310c37274a02658168ef4f5920b727daa2ba12fd94f8d009" dmcf-pid="V1jQRTMVyG" dmcf-ptype="general">영상이 끝나면 '줌 업데이트' 안내가 나타나고 이를 통해 악성코드 설치를 유도한다. 이후 공격자는 macOS 보안 체계(TCC)를 무력화해 카메라와 마이크, 개인 파일 접근 권한을 확보한다. 이 과정에서 피해자 클릭과 행동은 실시간으로 추적된다. 최근에는 공격 플랫폼을 줌에서 팀즈로 확대하는 등 방식도 계속 진화하고 있다.</p> <p contents-hash="39e8c0120c2014acfec7570a23f177c748471354155af4a7fa9a5bedc0e370a7" dmcf-pid="fbCaA3jJSY" dmcf-ptype="general">'고스트하이어' 캠페인은 채용 과정을 이용한다. 공격자는 가짜 채용 담당자로 위장해 텔레그램과 깃허브를 통해 개발자에게 접근한다. 이후 짧은 시간 안에 코딩 테스트를 수행하라고 압박하면서 악성코드 실행을 유도한다. 특히 고(Go) 패키지나 넥스트(Next).js 프로젝트 안에 악성 의존성을 숨겨 보안 탐지를 피한다.</p> <p contents-hash="b89afb25d3e4fc1ca68156ff182dce478ae426e9ba6d055841e88fdb746112e7" dmcf-pid="4KhNc0AiWW" dmcf-ptype="general">공격이 시작되면 다단계 악성코드 체인이 작동한다. 공격자는 여러 모듈을 나눠 실행하면서 탐지를 어렵게 만든다. 그 결과 키로거와 정보 탈취 프로그램이 작동해 비밀번호, 브라우저 데이터, 클라우드 계정, 암호화폐 지갑, 깃허브·아마존웹서비스(AWS)·오픈AI 앱프로그래밍인터페이스(API) 키 등 정보를 빼낸다. 특히 챗GPT 계정까지 탈취해 무단으로 사용하는 기능도 확인됐다.</p> <p contents-hash="9586aca9a18f61c6227367cf835f3c79e66dc85bfd14c0aade0db0a79d2628a7" dmcf-pid="89ljkpcnSy" dmcf-ptype="general">공격자는 생성형 AI도 활용한 것으로 나타났다. 프로필 이미지를 만들거나 악성 스크립트를 작성하는 데 AI를 사용해 공격 효율을 높인다. 이로 인해 공격 속도는 빨라지고 보안 제품이 탐지하기 어려워진다.</p> <p contents-hash="c59b6823bc0379c987c53acce704229c77f43fdfde592cce94df80d1d354a2cb" dmcf-pid="62SAEUkLvT" dmcf-ptype="general">현재까지 피해는 일본, 프랑스, 싱가포르 등 9개국에서 확인됐다. 피해자는 주로 아시아태평양(APAC) 지역 웹3 기업 관계자와 투자자들이다. 카스퍼스키는 여러 정황을 종합해 블루노로프가 이번 공격의 배후라고 중간 이상 수준의 신뢰도로 판단했다.</p> <p contents-hash="ff4d1ea1fd38d72e620eeabcd938591dabd03909fafa8cc624a394ea07c87cc0" dmcf-pid="PVvcDuEohv" dmcf-ptype="general">카스퍼스키는 텔레그램을 통해 갑작스럽게 들어오는 투자 제안이나 채용 제안을 주의해야 한다고 강조했다. 또한 짧은 시간 안에 코드 실행을 요구하는 상황에서는 각별한 경계가 필요하다고 밝혔다.</p> </section> </div> <p class="" data-translation="true">Copyright © 디지털데일리. All rights reserved. 무단 전재 및 재배포 금지.</p> 관련자료 이전 '도깨비 처녀귀신' 박경혜, 곰팡이에도 긍정 에너지..독립 4개월 6평 원룸 공개 [나혼산] 04-16 다음 아이돌급 외모 초3 금쪽이, 충동 제어 못해 민원 폭주…오은영 '충격 진단' (금쪽같은) 04-16 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
