구글의 맨디언트(Mandiant) 사이버 보안 부서는 북한과 연계된 위협 그룹이 암호화폐 및 핀테크 기업에 대한 공격을 강화하고 있다고 보고했습니다. 이번 캠페인은 AI 생성 딥페이크와 7가지 새로운 악성코드 제품군을 포함한 정교한 사회 공학 기법을 사용하여 시스템을 침해하고 디지털 자산을 훔치는 데 사용됩니다.
구글 클라우드의 맨디언트(Mandiant) 부서 보고서에 따르면, 북한과 연계된 위협 행위자들이 암호화폐 및 핀테크 부문에 대해 정교한 새로운 공격을 전개하고 있습니다. UNC1069로 추적되는 한 그룹은 SILENCELIFT, DEEPBREATH, CHROMEPUSH 등 새로 발견된 도구를 포함하여 7가지 다른 악성코드 제품군을 사용하여 피해자로부터 데이터를 캡처하고 유출하는 데 특화된 도구들을 사용하는 것이 관찰되었습니다.
이 캠페인은 전술의 중요한 진화를 나타내며, 효과를 높이기 위해 인공지능을 통합하고 있습니다. 맨디언트는 이 그룹이 2025년 11월에 활성 작전에서 "AI 지원 유인책"을 사용하기 시작했으며, 이를 통해 사회 공학적 노력을 확대할 수 있게 되었다고 보고합니다. 주요 목표에는 암호화폐 기업, 벤처 캐피탈 투자자 및 소프트웨어 개발자가 포함됩니다.
공격자들의 수법은 정교한 사회 공학 계획에 의존합니다. 한 상세한 침입 사례에서는, 공격자들이 암호화폐 창립자의 해킹된 텔레그램 계정을 사용하여 표적과 접촉을 시도했습니다. 피해자는 이후 줌(Zoom) 회의에 초대되었고, 공격자는 딥페이크 비디오를 사용하여 오디오 문제를 가장함으로써 공격의 구실을 만들었습니다.
"클릭픽스(ClickFix)" 공격이라고 불리는 이 전술은 피해자가 존재하지 않는 오디오 문제를 해결하기 위한 문제 해결 명령처럼 보이는 것을 실행하도록 속이는 것을 포함합니다. 맨디언트에 따르면, 이러한 명령에는 악성코드 감염 체인을 시작하고 공격자에게 호스트 시스템 및 해당 데이터에 대한 접근 권한을 부여하는 숨겨진 스크립트가 포함되어 있습니다.
이러한 최근 활동은 북한 정부 지원 그룹에 기인한 오랜 사이버 범죄 패턴의 일부입니다. 이들은 디지털 자산 산업에 지속적이고 막대한 비용을 초래하는 위협을 가합니다. 북한과 연관된 또 다른 단체인 악명 높은 라자루스 그룹(Lazarus Group)은 이전에 역사상 가장 큰 암호화폐 절도 중 하나인 바이비트(Bybit) 거래소의 14억 달러 해킹과 연루되어 있었습니다.
기록된 다른 사건들도 위협의 심각성을 강화합니다. 2025년 6월, 여러 암호화폐 스타트업에 프리랜서 개발자로 침투했던 4명의 북한 요원이 해당 회사들로부터 총 90만 달러를 훔친 것으로 밝혀졌습니다. 이러한 사건들은 Web3 생태계의 보안 및 안정성에 대해 이러한 그룹들이 가하는 일관되고 진화하는 위험을 강조합니다.