북한 해커, 하루 만에 1900억원 넘게 털었다
Web3(탈중앙화 웹)·암호화폐 기업과 개인 집요하게 노려
댓글 0
기사입력
: 2025.04.24 09:10
[시큐리티팩트=최석윤 기자] 북한과 연계된 해킹 조직들이 Web3(탈중앙화 웹)와 암호화폐 업계의 기업과 개인들을 집요하게 노리고 있다고 23일(현지시각) 해커뉴스가 경고 기사를 보도했다. 구글의 사이버 보안 전문 자회사인 맨디언트는 최근 발표한 보고서에서 "북한에 대한 강력한 국제 제재 때문에, 이들의 Web3와 암호화폐에 대한 관심은 주로 돈을 벌기 위한 것"이라고 분석했다. 즉, 핵무기 개발과 같은 북한의 주요 전략 목표를 달성하기 위한 자금 마련이 주된 목적이라는 것이다.
맨디언트는 북한과 관련된 해커들이 Go, C++, Rust 등 다양한 프로그래밍 언어로 직접 만든 악성 도구를 사용해 윈도우, 리눅스, macOS 등 다양한 운영체제를 감염시킬 수 있다고 밝혔다. 특히 UNC1069, UNC4899, UNC5342라는 이름으로 추적되는 최소 3개의 해킹 조직은 암호화폐 및 블록체인 기술 개발자 커뮤니티를 집중적으로 노리고 있다. 이들은 암호화폐 지갑에 불법적으로 접근하거나, Web3 관련 프로젝트에 참여하는 개발자들을 속여 내부 시스템에 침투하는 방식을 사용한다.
가짜 투자자로 접근, 악성 코딩 심어
각 해킹 조직의 주요 활동 방식은 다음과 같다.
UNC1069 (2018년 4월부터 활동): 가짜 회의 초대장을 보내거나, 텔레그램 메신저에서 유명 회사의 투자자로 속여 접근하는 사회 공학적 기법을 사용한다. 이를 통해 피해자의 디지털 자산과 암호화폐 지갑에 접근하여 돈을 빼돌린다.
UNC4899 (2022년부터 활동): 가짜 코딩 과제를 제시하며 악성코드를 심는 채용 사기 캠페인을 벌이는 것으로 알려졌다. 과거에는 기업의 소프트웨어 개발 과정에 몰래 악성코드를 심어넣는 공급망 공격을 통해 돈을 벌기도 했다. (Jade Sleet, PUKCHONG, Slow Pisces, TraderTraitor 등 여러 이름으로도 알려져 있다)
UNC5342 (2024년 1월부터 활동): 개발자들을 속여 악성 소프트웨어가 포함된 프로젝트를 실행하도록 유도하는 직업 관련 미끼를 사용한다. (Contagious Interview, DeceptiveDevelopment, DEV#POPPER, Famous Chollima 등 여러 이름으로도 알려져 있다)
이 외에도 UNC4736이라는 해킹 조직은 암호화폐 거래 소프트웨어를 악성 프로그램으로 위장시켜 블록체인 업계를 공격했으며, 2023년 초에는 유명 소프트웨어 회사인 3CX를 대상으로 한 대규모 공급망 공격의 배후로 지목되기도 했다.
단 하루 만에 1900억 넘게 탈취
맨디언트는 암호화폐 분야를 표적으로 삼아 대규모 피싱 공격을 감행하는 또 다른 북한 해킹 조직인 UNC3782를 새롭게 확인했다고 밝혔다. 이들은 2023년에 트론(TRON)이라는 암호화폐 사용자들을 대상으로 정교한 피싱 공격을 펼쳐 단 하루 만에 1억 3700만 달러(약 1900억원) 이상의 암호화폐를 빼돌린 것으로 드러났다. 또한, 2024년에는 솔라나(Solana)라는 암호화폐 사용자들을 속여 악성 암호화폐 채굴 사이트로 유인하는 공격을 시작하기도 했다.
해외 취업 사기로 돈줄 확보
암호화폐 절도는 북한이 국제 사회의 경제 제재를 피하기 위해 사용하는 여러 가지 방법 중 하나이다. 최소 2022년부터 UNC5267이라는 활발한 해킹 조직은 수천 명의 북한 주민들을 미국, 유럽, 아시아 기업의 원격 근무 일자리에 파견했다. 이들은 주로 중국과 러시아에 거주하며 IT 관련 업무를 수행하는 것으로 알려졌다.
놀라운 점은 이들 IT 인력 중 상당수가 북한의 핵 개발 프로그램을 담당하는 군수공업부 313총국 소속이라는 것이다. 이들은 단순히 다른 사람의 신분을 도용하는 것을 넘어, 완전히 조작된 가짜 신분을 만들어 활동하기도 한다. 심지어 면접 과정에서 실시간 딥페이크 기술을 활용하여 감쪽같은 가짜 얼굴과 목소리를 연출하기도 한다.
팔로알토 네트웍스의 위협 분석 부서인 Unit 42의 연구원 에반 고든커는 "이는 두 가지 중요한 이점을 제공한다. 첫째, 한 명의 담당자가 여러 개의 가짜 신분을 사용하여 동일한 직책에 대해 여러 번 면접을 볼 수 있다. 둘째, 이들은 신분이 노출되어 보안 게시판이나 수배 목록에 오르는 것을 방지하는 데 도움이 된다. 이 모든 것이 결합되어 북한 IT 요원들은 향상된 보안 속에서 발각될 위험을 줄이며 활동할 수 있다"라고 설명했다.
고용주 협박, 내부자 위협.. 갈수록 대담
구글 위협 분석 그룹(GTIG)의 전문가들은 지난달 보고서에서 "북한 IT 인력들이 고용주를 대상으로 협박 캠페인을 강화하고 있으며, 기업의 가상 데스크톱, 네트워크, 서버에서 직접 작업을 수행하고 있다"고 밝혔다. 이들은 이제 획득한 관리자 권한을 이용하여 데이터를 훔치고, 사이버 공격을 감행하며, 북한의 수익을 창출하는 데 적극적으로 활용하고 있다는 것이다.
2024년 맨디언트는 미국과 유럽에서 취업을 시도하는 최소 12개의 가짜 신분을 사용하는 북한 IT 근로자로 의심되는 사람들을 확인했다. 이는 거짓된 신분으로 조직에 침투하는 북한의 수법이 얼마나 효과적인지를 보여주는 사례이다
심지어 한 미국 회사의 채용 과정에서는 두 명의 가짜 신분이 최종 후보로 올랐고, 그중 한 명의 북한 IT 근로자가 다른 가짜 신분을 제치고 채용되기도 했다. 또 다른 사례에서는 한 조직에서 12개월 동안 네 명의 북한 IT 근로자로 의심되는 사람들이 고용되기도 했다.
이처럼 북한은 사이버 공격과 IT 인력 위장 취업 등 다양한 방법을 동원하여 국제 사회의 제재를 회피하고 불법적인 수익을 얻으려 하고 있다. 특히 암호화폐 시장은 익명성과 탈중앙성이라는 특징 때문에 북한 해커들의 주요 표적이 되고 있으며, 앞으로도 더욱 정교하고 대담한 공격이 이어질 것으로 예상된다.
