홈으로 돌아가기

북한 해커, 285억 원 훔친 사기 전략

북한 해커 그룹 UNC4736은 6개월간 드리프트 프로토콜에 침투해 신뢰를 구축한 후, 악성 코드를 통해 $285백만을 훔쳤다. 이 사건은 기술적 결함보다 인간의 심리적 조작이 사이버 보안의 핵심 위협임을 보여준다.

북한 해커, 6개월간 친구처럼 위장하고 285억 원 훔쳤다
Advertisement 728x90

북한 해커들이 친구처럼 위장하며 285억 달러를 훔친 방법

암호화폐 거래 플랫폼이 $285백만을 잃은 이유는 뚜렷한 보안 결함 때문이 아니라, 도둑들이 6개월 동안 신뢰할 수 있는 이웃처럼 행동하며 조용히 열쇠를 훔쳐간 탓이다. 이는 단순한 강도질이 아니라 정교하게 계획된 사기로, 사이버 범죄가 기술 문제를 넘어서 스파이 소설 같은 양상을 띠고 있음을 보여준다.

회의에서 시작된 장기 사기

지난 가을, 어떤 암호화폐 행사에 참석한 사람들은 마치 정량적 트레이딩 회사처럼 보이는 조직의 대표들로 보였다. 이들은 솔라나 블록체인 기반의 분산형 거래소(DEX)인 드리프트 프로토콜(Drift Protocol)의 개발자들과 만나 일반적인 사업 파트너처럼 대화를 나누었다. 연락처를 교환하고 텔레그램 그룹에 참여하며, 실제로 100만 달러를 드리프트 생태계에 예치해 진정성 있는 자금 운용자임을 입증하기까지 했다.

하지만 모든 것이 위조였다. 드리프트의 조사 결과, 이들은 북한과 관련된 해킹 그룹 UNC4736의 일원이었으며, 단순히 돈을 훔치는 것을 넘어서, 감지되지 않도록 완전히 녹아들어가는 것이 목적이었다.

Google AdInline article slot

해킹의 실제 작동 방식

공격자들은 비밀번호를 깨거나 코드를 추측하지 않았다. 대신 세 가지 은밀한 전략을 사용했다:

  • 위조 개발자 도구: VSCode나 커서(Cursor)와 같은 인기 있는 개발 소프트웨어의 악성 버전을 제작해, 보통처럼 보이지만 백그라운드에서 악성 코드를 실행시켰다.
  • 위조 모바일 앱: 애플의 사전 출시 소프트웨어 테스트 시스템인 테스트플라이(TestFlight)를 가장한 가짜 앱을 배포해 사용자가 악성코드를 설치하도록 유도했다.
  • 위조 코드 저장소: 개발자들이 무심코 가져온 유사한 소스 코드에는 숨겨진 후문(backdoor)이 포함되어 있었다.

이렇게 내부에 침투한 후, 해커들은 ‘에코시스템 밸트(Ecosystem Vault)’라는 특수 계정을 만들었고, 이를 통해 대규모 탈취를 실행했다. $285백만을 빼낸 직후, 모든 흔적을 지우기 위해 텔레그램 대화는 사라졌고, 악성코드는 자가 삭제되었으며, 온라인 신분도 완전히 사라졌다.

한 플랫폼을 넘어서는 위협

이 공격은 점점 확산되는 패턴에 부합한다. 같은 그룹(또는 애플제우스/시트린 스리트로도 알려짐)은 2024년 레디언트 캐피탈(Radiant Capital)의 해킹 사건에도 관여한 것으로 의심된다. 보안 전문가들은 북한과 연결된 행위자들이 종종 비북한인 중개자를 활용해 직접 만남을 갖는다는 점에서 탐지가 더욱 어려워진다고 지적한다.

Google AdInline article slot

더 큰 문제는 이 기법이 기존 보안 체계를 우회한다는 점이다. 다중 서명 지갑(Multisignature wallet)이라도, 서명자가 보기엔 무해해 보이는 요청에 속아 넘어가면 실패한다. 한 전문가는 이렇게 말했다. "문제는 몇 명이 서명했는가가 아니라, 그들이 무엇을 서명하는지 이해했는가에 달려 있다."

일반인에게 어떤 의미인가?

암호화폐 앱을 사용하는 사람—거래소나 지갑을 통해间접적으로 이용하더라도—이런 위협의 영향을 받는다. 개발자들이 의존하는 도구가 해킹되면, 그 하류에 있는 모든 사용자가 위험에 노출된다. 마치 요리사가 모르는 사이에 독성 재료를 사용하는 것과 같다. 음식은 보기에 좋지만, 위험하다.

불필요한 공포는 필요 없지만, 디지털 공간에서의 신뢰는 가정이 아닌 검증이 필요하다는 점을 상기해야 한다. 최고의 시스템은 이제 거래 전에 시뮬레이션을 제공해, 블록체인에 실제로 어떤 변화가 일어날지를 명확히 보여준다. 친절한 요청이라도, 반드시 독립적으로 확인해야 한다.

Google AdInline article slot

핵심 요약

  • 북한 해커들은 6개월간 위조 신분과 직접 만남을 통해 드리프트 프로토콜에 침투했다.
  • 신뢰할 수 있는 개발자 도구와 앱을 악용해 은밀히 악성 코드를 삽입했다.
  • $285백만 탈취는 기술적 결함보다 인간의 심리적 조작이 핵심 요인이다.
  • 다중 서명 보안도, 사용자가 무엇을 승인하는지 이해하지 못하면 무력화될 수 있다.
  • 더 넓은 교훈: 암호화폐 세계에서는 눈으로 보는 것만 믿으면 안 된다. 거래는 반드시 독립적으로 검증해야 한다.

— Editorial Team

Advertisement 728x90

다음 읽기

파트너 뉴스