북한 해커, 가짜 줌 미팅으로 $3억 탈취…암호화폐 업계 충격

북한 해커 집단이 가짜 줌(Zoom) 회의를 통해 암호화폐 거래소 직원을 속여 3억 달러를 탈취했다. 이번 공격은 기존의 피싱 방식을 넘어선 정교한 사회공학 기법을 사용해 업계에 새로운 위협으로 떠올랐다.

사이버 보안 전문가들은 "이번 사건은 단순한 해킹이 아니라 조직적인 정보전의 일환"이라고 지적했다. 북한의 암호화폐 자금 조달 활동이 해마다 정교해지면서 국제사회의 감시망을 우회하는 방법도 진화하고 있다.

거래소들은 즉시 내부 보안 프로토콜을 강화했지만, 이미 유출된 자금의 회수는 어려울 전망이다. 블록체인 분석 업체들은 해당 자금의 이동 경로를 추적 중이지만, 북한 해커들은 믹서 서비스와 다중 지갑을 이용해 흔적을 지우고 있다.

이번 사건으로 암호화폐 업계의 보안 인프라에 대한 근본적인 재검토가 불가피해졌다. 금융당국은 거래소에 더 엄격한 KYC(고객확인제도)와 AML(자금세탁방지) 규정 준수를 요구할 것으로 보인다.

한편 월스트리트의 전통 금융기관들은 여전히 "디지털 자산은 너무 위험하다"는 입장을 고수 중인데, 정작 그들은 작년만 해도 고객 자금을 무단으로 운용해 벌금을 물었다는 게 아이러니하다.

북한 ‘가짜 미팅’, 암호화폐 지갑 탈취

모나한 씨에 따르면, 이번 캠페인은 최근 유행했던 AI 딥페이크를 활용한 공격과는 다릅니다.

이 방법은 더 단순하며, 탈취된 텔레그램 계정과 실제 인터뷰 영상의 반복되는 장면을 기반으로 이루어집니다.

🚨 WARNING (AGAIN)

DPRK threat actors are still rekting way too many of you via their fake Zoom / fake Teams meets.

They're taking over your Telegrams -> using them to rekt all your friends.

They've stolen over $300m via this METHod already.

Read this. Stop the cycle. 🙏 pic.twitter.com/tJTo9lkq0v

이 공격은 해커가 신뢰받는 텔레그램 계정, 주로 벤처 투자자나 회의에서 만난 적 있는 인물의 계정을 탈취한 후 시작됩니다.

이후 공격자는 이전 채팅 기록을 이용해 정상적인 대화처럼 보이게 하여, 피해자를 캘린들리 링크로 위장한 초대를 통해 줌 또는 마이크로소프트 팀즈 영상회의로 유도합니다.

화상회의가 시작되면 피해자는 마치 실제 상대방이 실시간으로 영상을 보낸 것처럼 보게 됩니다. 실제로는 팟캐스트나 공개 석상의 녹화 영상을 재활용한 경우가 많습니다.

결정적인 순간은 조작된 기술적 문제 발생 직후에 찾아옵니다.

공격자는 오디오나 비디오에 문제가 있다고 하면서, 피해자에게 특정 스크립트 파일을 다운로드하거나 SDK(소프트웨어 개발 키트)를 업데이트하라고 재촉합니다. 이때 전달되는 파일에 악성코드가 포함되어 있습니다.

설치가 완료되면 악성 프로그램, 주로 원격접근 트로이목마(RAT)가 공격자에게 시스템 전체 제어권을 넘깁니다.

이후 암호화폐 지갑이 탈취되고, 내부 보안 절차나 텔레그램 세션 토큰과 같은 민감한 정보도 유출되어 네트워크 내 다음 피해자를 노리는 데 사용됩니다.

이와 관련해 모나한 씨는 경고하며 “이번 공격 기법은 업무상 예의라는 심리를 악용하고 있습니다.”라고 언급했습니다.

해커는 “업무 미팅”이라는 심리적 압박을 통해 피해자의 판단력을 흐리게 만들며, 사소한 기술 지원 요청조차 치명적인 보안 위협으로 바꾸고 있습니다.

업계 종사자에게 전화를 통해 소프트웨어 다운로드 요청이 오면 곧바로 공격 신호로 간주해야 합니다.

한편, 이러한 “가짜 미팅” 전략은 조선민주주의인민공화국(DPRK) 공격자의 전방위 공세 중 하나입니다. 이들은 최근 1년 동안 이 분야에서 약 20억 달러를 탈취했으며, 바이빗 해킹도 포함됩니다.

BeinCrypto Korea에서 가장 먼저% %POSTLINK%%