북한 연계 해커, AI 사회공학으로 제로리온 10만달러 탈취

북한 연계 해커가 ‘AI’를 활용한 장기 사회공학 공격으로 암호화폐 지갑 서비스 제로리온(Zerion)에서 약 10만달러를 빼돌린 것으로 드러났다. 직접적인 스마트컨트랙트 취약점이 아니라 사람을 노린 침투가 반복되면서, 크립토 보안의 중심축이 기술에서 ‘신뢰’ 약점으로 옮겨가고 있다는 분석이 나온다.

제로리온은 지난 9일(현지시간) 사후 보고서를 통해 이번 공격이 특정 직원의 로그인 세션과 자격 증명, 회사 '핫월렛'의 개인키까지 노린 형태였다고 밝혔다. 회사는 사용자 자금과 앱, 인프라에는 영향이 없었고, 예방 차원에서 웹앱을 선제적으로 비활성화했다고 설명했다.

스마트컨트랙트보다 ‘사람’이 먼저 노린다

이번 피해 규모는 크립토 해킹 사건들 가운데선 비교적 작지만, 공격 방식은 가볍지 않다. 제로리온은 이번 사건을 ‘북한 위협 행위자와 연결된 AI 지원 사회공학 공격’으로 규정했다. 지난달 드리프트 프로토콜(Drift Protocol)이 북한 연계 해커의 조직적 침투로 2억8000만달러 피해를 본 데 이어, 이달만 벌써 두 번째 유사 사례다.

보안 업계는 북한 배후 해커들의 주요 진입점이 스마트컨트랙트 결함이 아니라 인간 관계를 악용한 침투로 바뀌고 있다고 본다. 제로리온에 따르면 공격자는 팀원들의 이미 로그인된 계정과 인증 정보를 확보했고, 이를 바탕으로 내부 접근을 넓혀갔다.

보안연합(SEAL)은 지난 2개월 동안 북한 연계 조직 UNC1069와 연결된 도메인 164개를 추적·차단했다고 밝혔다. 이 조직은 텔레그램, 링크드인, 슬랙 등에서 수주에 걸친 저강도 사회공학 캠페인을 벌이며, 익숙한 연락처나 신뢰할 만한 브랜드를 사칭하는 방식으로 접근하는 것으로 알려졌다.

AI 결합한 북한 외곽 공격, 크립토 업계 전반으로 확산

구글 보안조직 맨디언트는 지난 2월 북한 연계 세력이 가짜 줌 회의와 이미지·영상 편집용 ‘AI 도구’를 공격 단계에 활용한 사례를 공개한 바 있다. 메타마스크 개발자이자 보안 연구자인 테일러 모너핸은 북한 IT 인력이 최소 7년 전부터 크립토 기업과 디파이 프로젝트에 스며들어 왔다고 지적했다.

블록체인 보안업체 엘립틱은 올해 초 보고서에서 “AI의 확산이 북한의 사회공학 기법을 더 정교하게 만들고 있다”며 공격 범위가 거래소를 넘어 개발자와 프로젝트 기여자, 인프라 접근 권한을 가진 개인 전체로 넓어지고 있다고 경고했다.

업계에서는 이번 제로리온 사례가 단발성 해킹이 아니라, AI를 결합한 북한의 장기 침투 방식이 크립토 산업의 새로운 표준 위험으로 자리 잡고 있음을 보여준다고 본다. 피해액보다 더 큰 문제는 공격자가 ‘기술적 허점’보다 ‘사람의 신뢰’를 먼저 노린다는 점이다.