북한 연계 해커, 암호화폐 취업자 노리고 'PylangGhost' 악성코드 배포

북한과 연계된 해커 조직이 암호화폐 업계의 취업 희망자를 노리고 새로운 악성코드를 유포하고 있는 것으로 드러났다. 이 악성코드는 피해자의 암호화폐 지갑과 암호 관리 시스템에서 비밀번호를 탈취하도록 설계돼 업계의 각별한 경계가 요구된다.

보안업체 시스코 탈로스는 26일(현지시간) 공식 블로그를 통해, 이들 공격자가 'PylangGhost'라는 이름의 파이썬 기반 원격 접속 트로이목마(RAT)를 사용 중이라고 밝혔다. 해당 악성코드는 북한 연계 해킹 조직 ‘페이머스 천리마(Famous Chollima)’와 연관돼 있으며, 이 단체는 Wagemole이라는 이름으로도 알려져 있다.

이들은 주로 인도 지역을 중심으로 블록체인 및 암호화폐 관련 경력을 보유한 구직자와 재직자를 표적으로 삼고 있다. 공격 수법은 '소셜 엔지니어링' 방식으로, 구직자를 가장한 이메일이나 메시지를 통해 가짜 면접 절차로 유인해 정보를 탈취하는 방식이다. 시스코 탈로스는 "이들의 공고 내용을 보면, 암호화폐 및 블록체인 기술에 대한 과거 경력이 있는 인재를 집중적으로 노리고 있음을 알 수 있다"고 지적했다.

이번 공격의 핵심 수단은 유명 기업을 사칭한 가짜 채용 사이트다. 공격자들은 코인베이스($COIN), 로빈후드($HOOD), 유니스왑(Uniswap) 등 잘 알려진 암호화폐 업체를 허위 사이트로 모방해, 구직자들이 의심 없이 채용 절차를 따르도록 했다. 이후 접촉한 모조 리크루터는 지원자에게 온라인 테스트 링크를 보내고, 이를 통해 정보를 수집한다.

이러한 행위는 단순한 사생활 침해를 넘어, 암호화폐 지갑 내 자산 탈취로 이어질 수 있으며, 암호 관리자에 저장된 다른 플랫폼의 인증 정보도 함께 노출될 위험이 있다.

전문가들은 블록체인 업계 종사자 및 구직자들에게 이번 사례의 수법을 숙지하고, 공식 이메일과 채용 플랫폼 이외의 채널로 온 제안은 무조건 의심해야 한다고 경고하고 있다. 특히, 중요 계정 비밀번호와 키는 오프라인 저장소에 안전하게 보관하고, 의심스러운 링크와 파일은 열지 말아야 한다는 조언이 이어진다.