북한 해커들, 하루 만에 트론 사용자로부터 약 1,860억 원 탈취…웹3 개발자 대상 피싱 공격 지속

맨디언트, UNC3782로 추적되는 북한 연계 해킹 조직의 소행으로 발표

북한 정권과 연계된 사이버 공격 그룹이 대규모 피싱 캠페인을 통해 단 하루 만에 트론(TRON) 기반 암호화폐 1억 3,700만 달러(한화 약 1,860억 원) 상당을 탈취한 것으로 드러났다. 이번 공격은 구글 산하 보안 기업 맨디언트(Mandiant)가 발표한 ‘M-Trends 2025’ 보고서에 따라 UNC3782로 추적되는 북한 연계 해킹 조직의 소행으로 밝혀졌다.

이번 캠페인은 웹3(Web3) 및 블록체인 기반 서비스를 사용하는 개인과 조직을 겨냥한 정교한 사회공학 기반 피싱 수법이 핵심이었으며, 특히 트론 사용자와 웹3 개발자들이 주요 피해자가 되었다.

맨디언트와 여러 글로벌 보안 전문가들은 북한의 이러한 사이버 범죄 활동이 국제 제재 회피 및 자금 확보를 목적으로 하고 있다고 분석했다. 탈취된 암호화폐는 북한의 대량살상무기(WMD) 프로그램과 전략 자산 개발에 사용되는 것으로 알려졌다.

맨디언트는 “이러한 활동은 금전적 수익을 창출해 북한의 무기 프로그램과 기타 전략 목표를 지원하는 데 사용되고 있다”고 밝혔다.

◆UNC3782 포함, 웹3 분야 노리는 다수의 북한 해킹 클러스터

UNC3782는 2023년부터 블록체인 생태계를 노린 공격을 지속해왔으며, 지난해 솔라나(Solana) 사용자들을 유인해 악성 암호화폐 탈취 코드가 삽입된 피싱 페이지로 유도한 공격도 확인된 바 있다.

이 외에도 맨디언트는 다음과 같은 북한 해킹 조직을 추적하고 있다.

▶UNC1069는 2018년부터 활동해온 조직으로, 텔레그램 등에서 투자자를 사칭해 피싱을 유도하고 악성코드를 배포해 디지털 자산을 노린다.

▶UNC4899는 2022년부터 채용 사칭 이메일을 통해 악성코드를 전달하고, 공급망 공격을 통해 금전을 탈취한 사례가 있다.

▶UNC5342는 악성 코드가 포함된 개발 도구를 사용해 개발자를 노리고 있으며, 인터뷰를 가장한 공격 방식으로도 알려져 있다.

▶UNC4736는 2023년 3CX 공급망 공격에 사용된 트레이딩 소프트웨어를 트로이목마화해 공격을 수행한 바 있다.

북한은 외화 확보를 위한 사이버 전략의 일환으로, 자국 IT 인력을 전 세계 기업에 원격 고용시키는 내부자 침투 전략도 병행하고 있다. UNC5267로 알려진 이 활동 클러스터는 수천 명의 북한 IT 인력을 중국과 러시아를 거점으로 미국, 유럽, 아시아의 IT 기업에 취업시키고 있다.

이들은 실제 또는 위조된 신원 정보를 사용하며, 최근에는 딥페이크 기술을 활용해 화상 인터뷰에서의 정체 은폐 기술도 사용하는 것으로 나타났다. 2024년 조사에 따르면 한 명의 북한 해커가 12개의 가짜 신원을 사용해 다수 기업에 지원한 사례가 있으며, 어떤 경우에는 동일한 회사에 북한 해커 4명이 1년 사이 고용된 사례도 있었다.

팔로알토네트웍스(Unit 42)는 “이러한 기술은 같은 사람이 여러 개의 인물로 여러 번 면접을 볼 수 있게 하며, 수배자 목록에 등록되는 것을 피할 수 있는 이점을 제공한다”고 분석했다.

한 번 내부 시스템에 침투한 북한 IT 인력은 민감 데이터 탈취, 기업 네트워크 내 장기적 접근 유지, 고용주 협박 등 다양한 위협 행위를 지속하는 것으로 확인됐다.

북한 해커들은 Golang, C++, Rust 등 다양한 언어로 맞춤형 악성코드를 개발해 Windows, macOS, Linux 등 다양한 운영체제에 침투할 수 있는 역량을 보유하고 있다.

공격 기법으로는 악성 npm 또는 PyPI 패키지 업로드, 위조된 GitHub 저장소 생성, 구직용 이력서 및 과제에 악성코드 삽입, 스마트 계약 악용 등이 사용된다.

이러한 기술은 단순한 피싱을 넘어, 공급망 전체를 감염시키거나 개발 생태계 전반을 악용하는 수준으로 진화하고 있다.

사이버보안 전문가들은 북한의 해킹 조직이 피싱, 악성코드, 공급망 공격, 내부자 침투 전략을 동시에 활용하는 복합적인 전술을 구사하고 있다며, 블록체인 및 개발 생태계 기업은 기존 보안 체계로는 대응하기 어렵다고 경고했다.

구글 위협 인텔리전스 그룹(GTIG)의 제이미 콜리어는 “공격자가 침투를 시도 중이라는 전제로가 아니라, 이미 내부에 존재하고 있다는 가정 하에 방어 전략을 수립해야 한다”고 조언했다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★