북한과 연계된 것으로 알려진 해킹조직이 인공지능(AI)로 만든 영상과 소셜엔지니어링 기법을 동원해 가상자산 관련 조직을 표적으로 하는 정교한 해킹 공격을 벌이고 있다.

미국 보안 매체 해커뉴스(The Hacker News)가 보도한 바에 따르면, 북한 연계 위협 행위자로 알려진 ‘UNC1069’는 윈도와 맥OS 시스템에서 민감 정보를 탈취해 최종적으로 금전 탈취를 노리는 공격을 벌이고 있다.

구글 맨디언트(Google Mandiant)의 연구원 로스 인먼(Ross Inman)과 에이드리안 에르난데스(Adrian Hernandez)는 이번 침해가 탈취된 텔레그램(Telegram) 계정, 가짜 줌(Zoom) 화상회의, ‘클릭픽스(ClickFix)’ 방식 감염 경로, AI 생성 영상 사용을 결합한 소셜엔지니어링 계획에 기반했다고 밝혔다.

UNC1069는 적어도 2018년 4월부터 활동한 것으로 평가되며, 텔레그램에서 유명 투자사 소속 투자자를 사칭하거나 가짜 회의 초대를 보내는 방식의 소셜엔지니어링 캠페인으로 금전적 이득을 노려 온 이력이 있다. 이 단체는 사이버보안 업계에서 ‘크립토코어(CryptoCore)’, ‘마산(MASAN)’이라는 이름으로도 추적되고 있다.

지난해 11월 공개된 보고서에서 구글 위협 인텔리전스 그룹(Google Threat Intelligence Group, GTIG)은 이 조직이 제네레이티브 AI 도구인 제미니(Gemini) 등을 활용해 가상자산 관련 유인 자료와 메시지를 생성하고, 이를 소셜엔지니어링 캠페인 지원에 사용하고 있다고 지적했다.

또한 이 그룹은 제미니를 악용해 가상자산을 훔치기 위한 코드를 작성하려 시도하고, 가상자산 업계 인물을 흉내 낸 디프페이크 이미지와 동영상 미끼를 활용해 ‘빅마초(BIGMACHO)’라는 백도어를 배포한 사례도 관찰됐다. 이 백도어는 줌 소프트웨어 개발 키트(SDK)로 위장해 피해자에게 전달되는 방식이었다.

구글은 최소 2023년부터 이 조직이 표적 방식을 바꿔, 기존 스피어피싱과 전통 금융(TradFi) 부문에서 웹3(Web3) 업계로 공격 대상을 이동했다고 밝혔다. 구체적으로는 중앙화 가상자산거래소(CEX), 금융기관 소프트웨어 개발자, 첨단기술 기업, 벤처캐피털(VC) 관계자 등이 주요 표적이다.

구글의 위협 인텔리전스 부서가 문서화한 최신 침해 사례에서, UNC1069는 ‘사일런스리프트(SILENCELIFT)’, ‘딥브레스(DEEPBREATH)’, ‘크롬푸시(CHROMEPUSH)’ 등 새로운 멀웨어를 포함해 최대 7개에 이르는 서로 다른 멀웨어 패밀리를 동원한 것으로 나타났다.

공격은 먼저 텔레그램에서 시작된다. 공격자는 벤처캐피털 투자자를 사칭하거나, 일부 사례에서는 실제 기업가와 스타트업 창업자의 탈취된 계정을 이용해 피해자에게 접근한다. 이후 일정 관리 서비스 캘린들리(Calendly)를 사용해 30분 길이의 회의를 잡도록 유도한다.

이 회의 링크는 피해자를 줌을 사칭한 가짜 웹사이트로 리디렉션한다. 주소는 실제 줌 도메인을 흉내 내도록 구성돼 있으며, 일부 경우에는 회의 링크가 텔레그램 메시지로 직접 전송되고, 텔레그램 하이퍼링크 기능을 이용해 피싱 URL을 숨긴다. 접근 방식과 관계없이 피해자가 링크를 누르면, 실제 줌 화면과 유사한 가짜 화상 통화 인터페이스가 나타나 카메라 활성화와 이름 입력을 요구한다.

피해자가 회의에 입장하면 실제 줌 회의처럼 보이는 화면이 표시된다. 그러나 화면에 나타나는 영상은 이전에 같은 수법에 속은 다른 피해자들의 영상을 몰래 녹화해 재사용한 것이거나, 디프페이크일 것으로 추정된다.

러시아 보안 업체 카스퍼스키(Kaspersky)는 이와 동일한 캠페인을 ‘고스트콜(GhostCall)’로 명명해 2025년 10월 자세한 내용을 공개한 바 있다. 카스퍼스키는 당시 보고서에서, 피해자 웹캠 영상이 본인도 모르게 녹화돼 공격자 인프라에 업로드된 뒤, 이후 다른 피해자를 속이기 위해 재사용됐다고 설명했다. 해당 영상 재생이 끝나면 화면은 자연스럽게 그 사용자의 프로필 이미지로 전환돼, 실제 라이브 통화인 것처럼 착각하게 만든다고 덧붙였다.

공격은 이후 단계로 이어진다. 피해자 화면에 오디오 문제를 알리는 가짜 오류 메시지가 나타나고, 이를 해결하기 위한 ‘클릭픽스’ 방식의 문제 해결 명령을 내려받아 실행하라는 안내가 제시된다. 맥OS 환경에서는 이 명령이 애플스크립트(AppleScript)를 내려받게 하고, 이 스크립트가 악성 마크(Mach-O) 바이너리를 시스템에 떨어뜨린다. ‘웨이브셰이퍼(WAVESHAPER)’로 불리는 이 악성 C++ 실행 파일은 시스템 정보를 수집하고, ‘하이퍼콜(HYPERCALL)’이라는 고(Go) 언어 기반 다운로드 프로그램을 배포하는 기능을 수행한다.

하이퍼콜은 이후 추가 악성 페이로드를 내려받는 데 사용된다. 추가 페이로드에는 고 언어 기반 백도어 ‘히든콜(HIDDENCALL)’이 포함돼 있으며, 이는 침해된 시스템에 직접 키보드 입력이 가능한 원격 접근 권한을 제공한다. 히든콜은 또 스위프트(Swift) 기반 데이터 탈취 도구 ‘딥브레스’를 배포한다.

두 번째 C++ 기반 다운로드 프로그램인 ‘슈거로더(SUGARLOADER)’는 ‘크롬푸시’를 설치하는 용도로 사용된다. 또 다른 악성 코드인 C/C++ 기반 최소 기능 백도어 ‘사일런스리프트’는 감염된 시스템 정보를 명령제어(C2) 서버로 전송하는 기능을 수행한다. 딥브레스는 맥OS의 ‘투명성, 동의 및 제어(Transparency, Consent, and Control, TCC)’ 데이터베이스를 조작해 파일 시스템 접근 권한을 확보하도록 설계돼 있다.

이를 통해 아이클라우드 키체인(iCloud Keychain) 자격증명과 구글 크롬(Google Chrome), 브레이브(Brave), 마이크로소프트 엣지(Microsoft Edge) 브라우저, 텔레그램, 애플 노트(Apple Notes) 애플리케이션의 데이터를 탈취할 수 있다.

크롬푸시는 딥브레스와 마찬가지로 데이터 탈취 기능을 수행하지만, C++로 작성됐으며 구글 크롬과 브레이브 브라우저의 확장 프로그램 형태로 설치된다. 이때 공격자는 크롬푸시를 구글 문서 편집을 오프라인에서 지원하는 도구처럼 위장해 배포한다. 또한 크롬푸시는 키 입력 기록, 사용자 이름과 비밀번호 입력 감시, 브라우저 쿠키 탈취 기능도 갖추고 있다. 이 같은 기능은 계정 탈취와 세션 탈취를 통한 금융자산 접근에 활용될 수 있는 것으로 분석된다.

맨디언트는 단일 호스트에 이처럼 많은 툴을 동시에 배포한 점에 대해, 자격증명과 브라우저 데이터, 세션 토큰을 광범위하게 수집해 금전 탈취를 이루려는 의도가 뚜렷하다고 평가했다. 또 UNC1069가 주로 가상자산 스타트업, 소프트웨어 개발자, 벤처캐피털 회사를 겨냥해 왔지만, 기존에 알려진 다운로드 프로그램과 함께 여러 신규 멀웨어 패밀리를 동원한 것은 역량이 크게 확장됐다는 신호라고 설명했다.

헬로티 |