북한 해커들이 신뢰할 수 있는 화상 회의를 이용해 암호화폐 지갑과 개인 데이터에 접근하는 방법

북한의 사이버 범죄자들은 무차별 대입 해킹이나 화려한 딥페이크에 의존하지 않고 암호화폐 지갑에 침입하는 방법을 찾아냈습니다.

그 대신 익숙한 얼굴, 일상적인 잡담, 간단한 기술 문제 해결 요청 등 평범한 업무 통화처럼 보이는 함정을 파고듭니다.

피해자가 뭔가 잘못되었다는 것을 깨달았을 때는 이미 자금이 사라진 경우가 많습니다.

신뢰를 공격의 진입점으로 삼는 가짜 화상 회의

보안 연합(SEAL)은 북한의 위협 행위자들이 가짜 줌과 마이크로소프트 팀 회의를 사용하여 멀웨어를 전달하는 시도를 매일 여러 건 추적하고 있다고 밝혔습니다.

이 캠페인은 암호화폐 창업자, 개발자, 투자자 및 디지털 자산이나 내부 시스템에 액세스할 수 있는 모든 사람을 대상으로 합니다.

온라인에서 Tayvano로 알려진 메타마스크 보안 연구원 Taylor Monahan은 이 사기의 작동 방식과 그 효과를 최초로 밝혀냈습니다.

그는 X에 글을 올렸습니다."그들은 이미 이 방법을 통해 3억 달러 이상을 훔쳤습니다."

블록쿼트>"그들은 이미 이 방법으로 3억 달러 이상을 훔쳤습니다. 북한의 위협 행위자들은 여전히 가짜 줌/가짜 팀즈 회의를 통해 너무 많은 사람들을 괴롭히고 있습니다."

탈취한 텔레그램 계정으로 합법적으로 보이는 접근

공격은 보통 텔레그램에서 시작됩니다.

해커는 먼저 피해자가 이미 아는 사람, 즉 이전 연락처, 컨퍼런스에서 만난 투자자, 이전 프로젝트 동료가 소유한 실제 계정을 탈취합니다.

모나한은 다음과 같이 말합니다."공격자는 이전 대화 기록이 있는 모든 사람에게 메시지를 보냅니다."

"공격자는 이러한 기존 채팅을 사용하여 신뢰도를 쌓은 후 캐치업 콜을 제안합니다.

캘린더 링크가 공유되어 표준 Zoom 또는 Teams 회의처럼 보이도록 유도합니다."

.

녹화된 얼굴, 실제 압력

통화가 시작되면 피해자는 알려진 사람, 때로는 다른 팀원으로 추정되는 사람의 설득력 있는 비디오 피드를 보게 됩니다.

영상은 AI가 생성한 것이 아닙니다.

대신 팟캐스트, 인터뷰 또는 공개 출연에서 찍은 영상을 반복하는 경우가 많기 때문에 이상한 점을 발견하기 더 어렵습니다.

공격자가 기술적 문제(보통 오디오 품질 저하)가 있다고 주장할 때 전환점이 됩니다.

패치 다운로드, SDK 업데이트, 미팅 채팅을 통해 전송된 작은 스크립트 실행 등 빠른 수정 방법이 제공됩니다.

이 파일은 멀웨어를 운반합니다.

한 번의 클릭으로 전체 기기 제어

설치되면, 페이로드는 일반적으로 원격 액세스 트로이 목마입니다.

공격자가 조용히 기기를 제어하여 비밀번호, 개인 키, 내부 보안 문서 및 텔레그램 세션 토큰을 빼낼 수 있게 해줍니다.

암호화폐 지갑은 일반적으로 완전히 탈취됩니다.

탈취한 텔레그램 접근 권한을 재사용하여 다음 피해자에게 접근하여 신뢰할 수 있는 네트워크를 통해 사기가 빠르게 확산될 수 있습니다.

모나한은 이 수법이 기술적 약점보다는 직업적 습관을 악용한다고 경고했습니다.

비즈니스 전화의 긴급함과 문제 해결을 돕고자 하는 정중함을 이용해 피해자가 기본적인 확인을 건너뛰도록 유도합니다.

딥페이크에서 롱콘 사회 공학으로의 전환

사이버 보안 연구자들은 이를 전략적 변화로 보고 있습니다.

북한 그룹은 딥페이크 동영상이나 대량 피싱에 의존하는 대신 실제 관계를 기반으로 한 느리고 표적화된 작업에 집중하고 있습니다.

라자루스 그룹과 다른 북한과 연계된 단체들은 이미 암호화폐 기업을 겨냥한 가짜 면접과 채용 활동에 연루된 바 있습니다.

지난 달, 같은 그룹이 한국 최대 거래소인 업비트에서 발생한 3천 6백만 달러 규모의 침해 사건에 연루된 바 있습니다.

SEAL과 다른 전문가들은 가짜 회의 전술이 이제 그 플레이북에서 가장 효과적인 도구 중 하나라고 말합니다.

암호화폐 사용자가 특히 노출되는 이유

암호화폐 거래는 되돌릴 수 없으며, 개인 키를 보유한 단일 디바이스에 액세스하는 경우가 많습니다.

멀웨어가 설치되면 대응할 시간이 거의 없습니다.

글로벌 암호화폐 절도 금액이 미화 20억 달러에 달합니다.업계 추산에 따르면 2025년 중반까지 도난당한 자산은 170억 달러에 달하며, 북한 공격자들이 상당 부분을 차지하고 있습니다.

전문가들은 이제 영상 통화 중 소프트웨어 다운로드 요청은 누가 요청했는지 여부와 관계없이 적극적인 위협으로 간주해야 한다고 경고합니다.

즉각적인 조치가 피해를 줄일 수 있습니다

보안 업체들은 노출이 의심되는 경우 즉시 WiFi를 차단하고 디바이스의 전원을 꺼서 멀웨어를 중단해야 한다고 조언합니다.

자금도 깨끗한 디바이스에서 새 지갑으로 옮기고 관련 비밀번호를 모두 교체해야 합니다.

침해된 기기를 다시 사용하기 전에 시스템을 완전히 삭제하는 것이 좋습니다.

영상 통화와 메시징 앱이 암호화폐 업계에서 일상적인 도구가 되면서 공격자들은 익숙함이 방어력을 계속 낮출 것이라고 믿고 있습니다.

현재 가장 안전한 가정은 일상적인 회의는 아무것도 아닐 수 있다는 단순한 가정입니다.