북한 연계 위협 그룹이 블록체인 기술을 활용해 기존의 방어 체계를 무력화하는 신종 사이버 공격에 나섰다는 조사 결과가 나왔다.
17일 구글 위협 인텔리전스 그룹(GTIG) 리포트에 따르면 북한 연계 해킹 조직 '유엔씨5342(UNC5342)'는 '이더하이딩'이라는 공격 기법으로 암호화폐를 훔치고 민감 정보를 수집해왔다. 이번 조사는 국가 지원 해킹 조직이 탈중앙화된 블록체인을 악성코드 은닉 및 명령 제어에 활용한 첫 공식 관찰 사례다.
이들은 '컨테이저스 인터뷰'로 알려진 사회 공학적 캠페인을 통해 공격 대상을 물색했다. 주로 암호화폐 및 기술 분야 개발자들에게 가짜 채용 제안이나 기술 과제를 미끼로 접근해 악성 파일을 내려받도록 유도했다.
공격은 다단계 감염 절차를 통해 이뤄졌다. 윈도우, 맥OS, 리눅스 등 운영체제를 가리지 않고 침투했으며 초기 침투에 성공하면 '제이드스노우'라는 악성코드를 통해 추가 공격을 감행했다.
UNC5342는 공격 명령이 담긴 악성코드를 이더리움이나 바이낸스 스마트 체인 같은 퍼블릭 블록체인에 저장했다. 공격자는 블록체인의 불변성을 악용해 악성코드를 '읽기 전용'으로 불러와 익명으로 명령을 내렸다. 이를 통해 기존 보안업체나 사법기관의 차단 및 제거 시도를 무력화하고 공격을 지속했다.
또 필요에 따라 블록체인에 저장된 페이로드를 유연하게 변경하며 공격 방식을 바꾸거나 명령제어(C2) 서버를 교체하는 등 진화된 모습을 보였다. 공격자는 특히 스마트 컨트랙트 업데이트에 드는 소액의 가스비(수수료)만으로 전체 공격 캠페인의 구성을 손쉽게 변경했다.
관련기사
- "마이크로세그멘테이션 도입 기업, 랜섬웨어 대응 속도 33% 빨라져"2025.10.16
- 구멍뚫린 민간병원 보안…7만5천개소 중 44곳만 보안관제 서비스 가입2025.10.13
- 코헤시티, 사이버 탄력성 리더십 확대…5단계 프레임워크 적용2025.09.23
- "AI시대 효과적 보안 거버넌스 탐구"...'2025 정보보호교육 워크숍' 성료2025.09.19
최종 단계에서는 '인비저블페럿'이라는 백도어를 설치했다. 이 백도어는 피해자 시스템을 원격으로 제어하며 장기간 정보를 빼돌리거나 네트워크 내부로 추가 이동하는 통로로 활용됐다. 크롬 엣지 등 웹 브라우저에 저장된 비밀번호, 신용카드 정보는 물론 메타마스크 팬텀과 같은 암호화폐 지갑 정보까지 노렸다.
로버트 월레스 구글 클라우드 맨디언트 컨설팅 리더는 "이러한 공격 기술의 발전은 위협 환경이 격화되고 있다는 사실을 보여준다"며 "국가 지원 위협 그룹은 수사당국의 조치에 맞서 새로운 작전에 맞게 손쉽게 변형할 수 있는 악성코드를 배포하는 데 신기술을 활용하고 있다"고 밝혔다.
