북한 해킹, 지갑 넘어 이메일·클라우드·AI까지 노렸다

북한 해킹 조직이 가상자산 지갑을 넘어 이메일과 클라우드, 인공지능 서비스까지 장악하는 ‘전방위 공격’으로 진화하고 있다. 생성형 AI까지 결합되며 웹3 업계 전반의 보안 경계가 흔들리는 모습이다.

17일 보안업계에 따르면 카스퍼스키는 북한 해킹 그룹 ‘블루노로프’가 수행 중인 ‘스내치크립토’ 작전과 연계된 ‘고스트콜’·‘고스트하이어’ 캠페인 분석 보고서를 발표했다. 이번 공격은 웹3·블록체인 기업과 투자사, 개발자를 주요 타깃으로 삼고 있으며, 단순한 가상자산 탈취를 넘어 디지털 업무 환경 전체를 통제하는 데 목적이 있다.

가짜 화상회의로 신뢰 확보…AI까지 활용

‘고스트콜’은 화상회의를 위장한 사회공학 공격이다. 공격자는 텔레그램 등을 통해 투자자나 기업 관계자로 접근한 뒤 ‘줌’ 또는 ‘마이크로소프트 팀즈’ 링크를 전달한다.

피해자가 접속하면 과거 실제 피해자의 녹화 영상이 재생되며, 이를 실시간 회의로 착각하게 만든다. 이후 ‘줌 SDK 업데이트’ 같은 익숙한 메시지로 악성코드 설치를 유도한다. 특히 생성형 AI를 활용해 대화 흐름과 상황 연출을 정교하게 만들면서 공격 성공률을 끌어올린 것으로 분석된다.

맥OS 환경에서는 애플의 핵심 보안 시스템인 ‘TCC’까지 우회해 카메라, 마이크, 문서 접근 권한을 탈취하는 사례도 확인됐다.

채용 미끼로 개발자 노린 ‘고스트하이어’

‘고스트하이어’는 채용 과정을 악용한 공격이다. 해커는 글로벌 금융회사 채용 담당자로 위장해 개발자에게 접근한 뒤 코딩 테스트를 제안한다.

이 과정에서 ‘30분 내 제출’과 같은 시간 압박을 가해 검증 없이 악성 코드가 포함된 프로젝트를 실행하도록 유도한다. 깃허브 저장소 형태로 위장된 악성 코드가 사용되며, 실행 즉시 시스템 권한이 넘어가는 구조다.

결과적으로 공격자는 가상자산 지갑뿐 아니라 이메일, 텔레그램, 클라우드, 챗GPT 등 업무 전반의 계정을 장악할 수 있다.

계정 하나 뚫리면 조직 전체로 확산

이번 공격의 가장 큰 위험성은 ‘확장성’이다. 탈취된 계정은 단순 자산 탈취에 그치지 않고 추가 공격의 발판으로 활용된다.

실제 피해자의 화상회의 영상이 다시 다른 표적을 속이는 데 재사용되거나, 개발자 계정과 API 키를 활용해 기업 내부 시스템 침투로 이어질 가능성도 제기된다.

카스퍼스키에 따르면 해당 캠페인은 2023년 중반부터 시작됐으며 일본, 프랑스, 싱가포르, 홍콩 등 다수 국가에서 피해가 확인됐다. 특히 싱가포르와 홍콩의 웹3 기업 및 벤처캐피털 임원이 주요 표적이었다.

앞서 북한 연계 해킹 조직은 2024년 홍콩 디파이 업체 ‘래디언트 캐피털’에서 약 5천만 달러, 2023년 아토믹 월렛 사건에서 약 1억 달러 규모의 가상자산을 탈취한 바 있다.

“짧은 시간 내 실행 요구는 의심해야”

이효은 카스퍼스키 한국지사장은 “웹3·블록체인 업계 종사자라면 텔레그램으로 오는 갑작스러운 투자나 채용 제안, 특히 짧은 시간 내 코드 실행을 요구하는 상황을 경계해야 한다”고 말했다.

이번 사례는 가상자산 해킹이 더 이상 지갑이나 거래소에 국한되지 않고, ‘사람’과 ‘업무 환경’ 전체를 노리는 방향으로 진화했음을 보여준다. 생성형 AI까지 결합된 만큼 향후 공격은 더욱 정교해질 가능성이 크다. 업계 전반의 보안 인식 전환이 요구되는 시점이다.