북한 해커 조직이 ‘가짜 줌(Zoom) 회의’를 미끼로 악성코드를 퍼뜨리는 수법으로 수많은 암호화폐 이용자들을 노리고 있는 것으로 드러났다. 이미 이 방식으로 탈취한 금액은 3억 달러(약 4,418억 원)를 넘는다는 경고가 나왔다.

보안업체 시큐리티 얼라이언스(SEAL)은 최근 북한과 연계된 사이버 범죄자들이 텔레그램, 캘린들리, 그리고 줌 등을 이용해 정교한 사회공학적 해킹을 일삼고 있으며, 이 같은 시도가 매일 여러 건씩 탐지된다고 밝혔다.

이어지는 ‘가짜 회의’ 사기극

이번 경고는 메타마스크 보안 연구원 테일러 모나한이 먼저 문제를 제기하면서 주목받았다. 그는 “DPRK(북한)의 해킹 그룹이 ‘가짜 줌·팀즈 미팅’으로 암호화폐 보유자를 속이고 있다”며 “이 수법으로 이미 3억 달러 이상을 훔쳤다”고 X(구 트위터)에 밝혔다.

모나한에 따르면 공격은 먼저 익숙한 대화 상대처럼 보이는 텔레그램 계정으로 메시지를 보내면서 시작된다. 해커는 이전 대화 이력이 있는 사람으로 위장해 자연스럽게 ‘회의 참여’ 요청을 보낸다. 이후 캘린들리 링크를 통해 줌 회의를 예약하고, 가짜 참가자들의 영상을 송출한다. 이 영상은 실시간이 아닌, 사전에 녹화된 화면이다. 딥페이크 영상은 아니지만 피해자는 이를 실제로 착각하기 쉽다.

회의 중 음성이 잘 들리지 않는다고 불평한 해커는 ‘음질 개선용 SDK(소프트웨어 개발 키트)’라며 패치파일을 보내 설치를 권유한다. 문제는 이 파일에 악성코드, 특히 원격제어용 트로이목마(RAT)가 포함돼 있다는 점이다.

악성코드로 지갑 탈취, 보안정보도 유출

해당 악성코드는 설치되는 즉시 피해자의 컴퓨터를 원격 제어하며 암호, 개인 키, 내부 보안 프로토콜 등 민감한 정보를 수집한다. 암호화폐 지갑은 단 몇 초 만에 완전히 비워질 수 있다. SEAL 측은 “누군가 가짜 회의로 접근해 설치를 유도한다면 즉시 WiFi를 끄고 전원을 꺼야 활동을 차단할 수 있다”고 조언했다.

이번 공격에는 북한과 연루된 것으로 알려진 라자루스 그룹까지 연관됐을 가능성이 거론된다. 이들은 과거에도 가짜 채용공고와 면접 과정을 활용해 암호화폐 기업을 해킹한 전력을 가지고 있다. 최근에도 한국 최대 거래소인 업비트에서 3,060만 달러(약 451억 원)를 탈취한 바 있다.

연중 암호화폐 탈취 피해액만 21억 달러 돌파

암호화폐 업계에 따르면 2025년 들어 지금까지 전 세계에서 발생한 암호화폐 관련 도난 피해 총액은 약 21억 7,000만 달러(약 3조 1,961억 원)에 달한다. 이 가운데 상당 부분이 북한 해커 조직의 작품으로 추정된다.

보안 전문가들은 특히 암호화폐, 블록체인 산업 종사자들을 주요 타깃으로 삼는 점에 주목하며, 일상적인 화상 회의와 내부 커뮤니케이션을 기반으로 하는 사회공학적 공격에 더욱 대응력을 높여야 한다고 경고했다.

TP AI 유의사항

TokenPost.ai 기반 언어 모델을 사용하여 기사를 요약했습니다. 본문의 주요 내용이 제외되거나 사실과 다를 수 있습니다.