북한 해커가 지난 6개월간 1천만 달러(약 140억5천500만원)넘는 암호화폐를 탈취한 정황이 드러났다.
마이크로소프트는 24일 북한 해킹 그룹 '사파이어 슬리트'가 가짜 링크드인 프로필로 채용 담당자나 구직자로 위장해 불법 수익을 올렸다는 사실을 포착했다고 발표했다. 이들은 최소 2020년부터 활동해 왔으며, APT38과 블루노로프로 추정되는 다른 북한 해킹 그룹과도 관련 있는 것으로 전해졌다.
발표 내용에 따르면 사파이어 슬리트 구성원은 벤처 캐피털리스트로 가장해 타깃 기업에 관심 있는 척 접근해 온라인 회의를 제안하는 방식을 사용했다. 회의 연결 시 오류 메시지를 띄우며 지원팀에 연락하도록 유도했다.
피해자가 연락하면 악성코드가 포함된 애플스크립트(Applescript)나 비주얼 베이직 스크립트(Visual Basic script) 파일을 제공했다. 이 악성코드는 윈도와 맥 시스템을 감염시켜 인증 정보를 탈취하고 암호화폐 지갑에 접근할 수 있는 권한을 공격자에게 제공했다.
앞서 북한 IT 노동자들이 깃허브와 링크드인 같은 플랫폼에서 가짜 프로필과 포트폴리오를 생성하고 채용에 지원한 정황이 포착된 바 있다.
관련기사
- 5년 전 업비트 이더리움 해킹 사건...범인은 북한 해커 조직2024.11.21
- "원격 근무하던 美 개발자…알고보니 북한인"2024.09.29
- "AI 예수님 등장"…스위스 고해소서 디지털 신앙 실험 개시2024.11.24
- 포티넷, 생성형 AI로 보안 자동화 업그레이드2024.11.22
이들은 인공지능(AI) 도구로 프로필 사진이나 문서, 음성을 변조해 북미 IT 기업에 비대면 업무 공고에 지원했다. 직원으로 일하면서 IT 기업 내 기밀정보을 탈취해 스캠이나 해킹에 활용했다. 해당 방식으로 수익 약 37만 달러(약 5억2천만원)를 벌어들인 것으로 추정된다.
마이크로소프트는 "북한의 조직적 활동은 단순 암호화폐 탈취를 넘어 전반적인 IT 인프라 악용으로 확장되고 있다"며 "글로벌 IT 생태계 전반에 걸쳐 악영향을 미칠 가능성이 있다는 점에서 각국의 철저한 대비가 요구된다"고 당부했다.
