북한 출신 해커들이 애플의 macOS를 표적으로 한 새로운 사이버 공격 캠페인을 전개하면서 Web3 업계를 겨냥한 정교한 해킹 수법이 다시 주목받고 있다. 사이버보안 전문기업 센티넬원(SentinelOne)의 연구팀 센티넬랩스(SentinelLabs)는 최근 ‘님도어(NimDoor)’로 알려진 악성코드 공격을 분석하며 사용 언어와 침투 방식에서 독특한 특징을 발견했다고 밝혔다.
센티넬랩스에 따르면 공격자는 주로 웹3 스타트업에 종사하는 사용자들을 겨냥하며, ‘님(Nim)’이라는 다소 생소한 프로그래밍 언어를 이용해 복합적인 공격 체계를 구축했다. 이메일을 통해 줌(Zoom) 업데이트를 안내하는 척하며 맬웨어를 배포하고, 한 번 클릭만으로 시스템 정보를 탈취하는 1차, 지속적인 접근을 위한 2차 코드를 동시 실행시키는 방식이다. 애플리케이션에서 수집된 정보는 공격자의 서버로 전송되며, 브라우저와 텔레그램 데이터까지 광범위하게 수집된다.
특히 이 공격 방식은 악성코드를 다층적으로 구성하며 탐지를 우회하는 정교함이 특징이다. 사전에 캘린들리(Calendly)를 통해 미팅 요청을 가장하고, 공식 줌 링크를 통한 정상적 미팅 안내처럼 위장한 수법은 사용자에게 경계심을 낮추는 효과를 가져온다. 이로 인해 일반적인 보안 솔루션으로는 탐지 난도가 높아, 실제로 헌터스(Huntress)와 Huntabil.IT 등 여러 보안업체들이 추가 피해 사례를 확인한 바 있다.
한편, 블록체인 데이터를 추적하는 독립 분석가 잭엑스비티(ZachXBT)는 이 공격 배후로 추정되는 북한 출신 IT 인력들과 관련된 금전 흐름을 공개했다. 그는 지난 1월부터 12개 기업에 소속된 북한 개발자 8명이 월간 기준으로 약 276만 달러(약 38억 3,640만 원)를 USDC로 송금받은 정황을 발견했다. 이 중 일부 주소는 2023년 테더(Tether)가 ‘심현섭(Sim Hyon Sop)’이라는 공모 혐의자의 지갑으로 지목하며 블랙리스트에 올린 주소와 유사해 의혹을 더하고 있다.
잭엑스비티는 이 같은 작업자들이 스마트 계약의 접근 권한을 획득하게 되면, 해당 프로젝트 자체가 엄청난 리스크에 직면한다고 경고했다. 그는 "복수의 북한 IT 인력을 고용한 팀은 유난히 실패 가능성이 높다. 공격 기술력 자체보다, 프로젝트 운영팀의 부주의가 주된 원인"이라며 업계의 경각심을 촉구했다.
이번 사건은 단순한 사기성 해킹이 아니라, 장기간에 걸쳐 기획된 체계적인 침투 전략이라는 점에서 더욱 심각한 우려를 낳고 있다. Web3 스타트업과 암호화폐 기업들은 개발자 고용 및 외부 협업 시 보안 측면에서의 사전 검증 프로세스를 강화할 필요가 있다는 지적이 나온다.