북한 해커, 가짜 줌 회의로 3억 달러 암호화폐 탈취
- 북한의 가짜 회의가 어떻게 암호화폐 지갑을 비우는가
- 북한 해커들의 작동 방식
- 가짜 회의 사기로부터 자신을 보호하는 방법
- 현대 암호화폐 사기에서 AI의 역할
- 북한 사이버 범죄의 역사적 맥락
- 현재 상황에 대한 전문가 의견
- 북한 해커의 가짜 줌 회의 사기에 대한 FAQ
북한 해커 집단이 가짜 줌(Zoom) 화상 회의를 통해 암호화폐 지갑을 해킹해 약 3억 달러(약 4000억 원) 상당의 자금을 탈취한 것으로 확인됐다. 이들은 피해자의 텔레그램 계정까지 장악해 지인들을 추가로 공격하는 등 정교한 사기 방식을 사용한 것으로 알려졌다. 암호화폐 보안 전문가들은 최근 몇 달간 이와 유사한 사례가 급증하고 있다며 각별한 주의를 당부하고 있다.
북한의 가짜 회의가 어떻게 암호화폐 지갑을 비우는가
보고서에 따르면, 북한 해커들은 합법적인 기업이나 투자 기관을 사칭해 피해자들에게 화상 회의 초대 링크를 보낸다. 이 링크는 정상적인 줌 또는 마이크로소프트 팀즈(Teams) 회의처럼 보이지만, 실제로는 악성 소프트웨어가 포함된 함정이다. 피해자가 링크를 클릭하면 RAT(원격 접근 트로이 목마)가 설치되며, 이를 통해 해커들은 메타마스크(MetaMask) 같은 암호화폐 지갑 정보를 탈취한다.
특히 이들은 피해자의 텔레그램 계정까지 장악한 후, 지인들에게 추가로 가짜 회의 초대를 보내는 2차 피해를 발생시키고 있다. 암호화폐 분석가 Tayvano는 자신의 트위터를 통해 "이미 3억 달러 이상이 이 방법으로 도난당했다"며 경고했다.
북한 해커들의 작동 방식
북한 해커 집단인 라자루스(LazARus)로 추정되는 이들은 다음과 같은 정교한 방식을 사용한다:
- 1. 칼렌들리(Calendly) 같은 합법적인 예약 시스템을 사칭해 미팅 예약
- 2. 피싱 이메일 또는 텔레그램 메시지로 가짜 화상 회의 링크 전송
- 3. 악성 SDK가 포함된 가짜 회의 애플리케이션 설치 유도
- 4. 설치 즉시 RAT 활성화 및 시스템 전체 접근 권한 획득
- 5. 암호화폐 지갑 자격 증명 및 텔레그램 세션 탈취
- 6. 피해자의 연락처를 대상으로 추가 공격 수행
btcc 연구팀은 "2025년 들어 이와 같은 공격이 20건 이상 보고되었으며, 피해 규모가 빠르게 증가하고 있다"고 밝혔다.
가짜 회의 사기로부터 자신을 보호하는 방법
암호화폐 사용자들은 다음과 같은 방법으로 자신을 보호할 수 있다:
- • 예상치 못한 회의 초대는 반드시 공식 채널을 통해 확인
- • 링크 클릭 전 URL을 주의 깊게 검사 (정상적인 zoom.us 대신 zoom-join.com 같은 가짜 도메인 주의)
- • 화상 회의 애플리케이션은 공식 스토어에서만 다운로드
- • 암호화폐 지갑 사용 시 하드웨어 지갑 또는 멀티시그 방식을 활용
- • 텔레그램에서는 항상 2단계 인증(2FA)을 활성화
코인마켓캡(CoinMarketCap) 데이터에 따르면, 2025년 암호화폐 관련 사기로 인한 피해액은 이미 10억 달러를 넘어섰으며, 이 중 상당 부분이 북한 해커 집단과 연관된 것으로 추정된다.
현대 암호화폐 사기에서 AI의 역할
최근 북한 해커들은 인공지능(AI) 기술을 활용해 공격의 정교함을 한층 높이고 있다. 이들은 딥페이크(DEEPfake) 기술로 가짜 프로필 영상을 생성하고, 자연어 처리(NLP)를 통해 더 설득력 있는 메시지를 작성한다. 특히, 피해자의 지인을 사칭할 때는 과거 대화 기록을 학습해 말투와 스타일까지 흉내내는 경우가 많다.
한 보안 전문가는 "이전에는 문법 오류나 어색한 표현으로 가짜 메시지를 구분할 수 있었지만, 이제는 AI가 생성한 메시지가 진짜보다 더 자연스러울 때가 있다"며 우려를 표했다.
북한 사이버 범죄의 역사적 맥락
북한의 사이버 범죄는 2010년대 초반부터 본격화되기 시작했으며, 주로 다음과 같은 진화 과정을 거쳐왔다:
| 시기 | 주요 공격 방식 | 대표적 사건 |
|---|---|---|
| 2014-2016 | SWIFT 시스템 해킹 | 방글라데시 중앙은행 해킹(8100만 달러) |
| 2017-2019 | 랜섬웨어 공격 | 워너크라이(WannaCry) 사태 |
| 2020-2022 | 디파이(DeFi) 플랫폼 공격 | 로닌 네트워크 해킹(6억 2500만 달러) |
| 2023-현재 | AI 기반 소셜 엔지니어링 | 가짜 화상 회의를 통한 암호화폐 탈취 |
트레이딩뷰(TradingVieW)의 분석에 따르면, 북한의 사이버 범죄로 인한 수입은 국가 전체 수입의 약 40%를 차지할 정도로 중요한 외화 획득 수단이 되었다.
현재 상황에 대한 전문가 의견
암호화폐 보안 컨설턴트인 마이클 핀터(Michael Finter)는 "북한 해커들의 기술력과 조직력은 이제 일개 범죄 집단 수준을 넘어선 지 오래다"며 "국가 차원의 지원 아래 움직이는 사이버 군단과 다름없다"고 경고했다.
한편, BTCC의 수석 애널리스트는 "거래소들은 안전한 자금 관리 솔루션을 제공하기 위해 더 많은 노력을 기울여야 한다"며 "특히 개인 키 관리에 대한 교육이 시급하다"고 조언했다. 이와 함께 "암호화폐 투자자는 반드시 공식적인 거래 채널을 통해 거래해야 하며, 의심스러운 제안은 철저히 검증해야 한다"고 덧붙였다.
이 기사는 투자 조언이 아니며, 암호화폐 투자에는 상당한 위험이 따를 수 있습니다.
북한 해커의 가짜 줌 회의 사기에 대한 FAQ
북한 해커들은 어떻게 가짜 줌 회의를 설정하나요?
해커들은 합법적인 기업이나 조직을 사칭해 피해자들에게 회의 초대 링크를 보냅니다. 이 링크는 정상적인 줌 회의처럼 보이지만, 실제로는 악성 소프트웨어가 포함된 가짜 웹사이트로 연결됩니다.
이 공격으로 인해 얼마나 많은 피해가 발생했나요?
최신 보고서에 따르면, 현재까지 약 3억 달러(4000억 원) 이상의 암호화폐가 이 방법으로 도난당한 것으로 추정됩니다. 피해 규모는 계속 증가하고 있습니다.
일반 사용자는 어떻게 자신을 보호할 수 있나요?
예상치 못한 회의 초대는 반드시 공식 채널을 통해 확인하고, 링크를 클릭하기 전 URL을 주의 깊게 검사해야 합니다. 또한 암호화폐 지갑 사용 시 하드웨어 지갑을 활용하고, 텔레그램에서는 2단계 인증을 필수로 설정하는 것이 좋습니다.
왜 북한 해커들은 암호화폐를 표적으로 삼나요?
암호화폐는 추적이 어렵고 국제적인 자금 이동이 용이하기 때문에 북한과 같은 제재를 받는 국가에 특히 매력적인 표적입니다. 또한 탈중앙화된 특성상 전통적인 금융 시스템보다 보안이 취약한 경우가 많습니다.
이러한 공격이 최근 증가하는 이유는 무엇인가요?
AI 기술의 발전으로 더 정교한 피싱 메시지와 딥페이크 영상을 쉽게 생성할 수 있게 되었고, 암호화폐 사용자의 증가로 표적이 풍부해졌기 때문으로 분석됩니다.
