북한과 연계된 해커조직이 퍼블릭 블록체인 기술을 활용한 새로운 사이버 공격 수법으로 암호화폐를 탈취하고 민감 정보를 수집하고 있는 사실이 확인됐다.

구글 클라우드 산하 위협 분석 전문 조직인 위협정보그룹(GTIG)은 2025년 10월 17일, 북한 배후의 해커조직 UNC5324가 이른바 ‘이더하이딩(EtherHiding)’ 기법을 통해 대규모 사이버 공격을 감행한 정황을 포착했다고 밝혔다. 이더하이딩은 퍼블릭 및 탈중앙화 블록체인 시스템을 활용해 악성코드의 흔적을 은폐하는 기법으로, 이번 사례는 이러한 수법이 국가 지원형 해킹 활동에 활용된 첫 사례로 분석되고 있다.

GTIG는 해당 해커조직이 이른바 ‘컨테이저스 인터뷰’로 알려진 소셜 엔지니어링 방식의 공격 캠페인을 통해 개발자들을 대상으로 악성코드 설치를 유도했다고 밝혔다. 이는 합법적인 구인 활동을 가장해 피해자와 신뢰 관계를 형성한 뒤, 악성 파일을 내려받도록 유인하는 수법으로, 사이버 보안을 허물기 위한 전형적인 사회공학적 전략이다.

특히 이번 공격은 기존의 방식보다 한 단계 진화한 형태로, 윈도우, 맥OS, 리눅스 등 주요 운영체제를 가리지 않고 감염이 이뤄졌으며, 피해자의 시스템을 침해하는 데 성공한 것으로 파악됐다. 공격자는 블록체인의 ‘변경 불가능성(Immutable)’ 특성을 활용해 악성코드를 해당 블록체인에 저장한 뒤, 이를 읽기 전용으로 호출해 지속적으로 명령을 실행한 것으로 확인됐다. 이는 공격자가 자신의 실제 위치나 신원을 드러내지 않고도 장기간 은밀하게 시스템을 통제할 수 있도록 만든다.

전문가들은 이와 같은 기술적 진화가 사이버 위협의 양상을 갈수록 복잡하게 만들고 있다고 경고하고 있다. 로버트 월리스 구글 클라우드 맨디언트 컨설팅 총괄은 “국가 지원 해커들은 수사망을 피해가기 위해 블록체인 같은 최신 기술을 활용해 악성코드를 유연하게 변형하고 있다”고 우려를 표했다.

이 같은 공격 방식은 기존의 탐지 체계를 우회할 수 있는 새로운 유형의 위협으로 평가되는 만큼, 전통적인 보안 솔루션만으로는 대응에 한계가 있다는 점에서 향후 보안업계와 정책당국 모두의 대응 체계 강화가 불가피할 전망이다. 특히 블록체인의 익명성과 탈중앙화 속성에 기댄 사이버 공격이 증가할 경우, 추적 및 증거 확보가 더욱 어려워질 수 있다는 점에서 국제적 협력과 새로운 감시 체계가 필요하다는 지적도 나온다.