북한 해커들의 정교한 공격
구글의 보안 팀인 Mandiant는 북한 해커들이 인공지능 생성 딥페이크를 가짜 화상 회의에 통합하여 암호화폐 회사에 대한 점점 더 정교해지는 공격을 감행하고 있다고 월요일 발표된 보고서에서 경고했다. Mandiant는 최근 UNC1069, 즉 “CryptoCore”와 관련된 침입 사건을 조사했으며, 이는 북한과 높은 신뢰도로 연결된 위협 행위자이다.
공격 방식
이 공격은 해킹된 텔레그램 계정, 위조된 줌 회의, 그리고 피해자를 속여 악성 명령을 실행하게 하는 ClickFix 기술을 사용했다. 조사관들은 또한 가짜 회의 중에 AI 생성 비디오가 목표를 속이는 데 사용되었다는 증거를 발견했다.
“이 접근 방식의 효과는 얼마나 적은 것이 비정상적으로 보이는지에서 온다.” – Fraser Edwards
보고서에 따르면, Mandiant는 UNC1069이 소프트웨어 회사 및 그 개발자, 벤처 캐피탈 회사 및 그 직원 또는 경영진을 포함한 암호화폐 산업 내의 기업체와 개인을 겨냥하기 위해 이러한 기술을 사용하는 것을 관찰했다. 이 경고는 북한의 암호화폐 절도가 계속해서 규모가 커지고 있는 가운데 나왔다.
암호화폐 절도 증가
12월 중순, 블록체인 분석 회사 Chainalysis는 북한 해커들이 2025년에 20억 2천만 달러의 암호화폐를 훔쳤으며, 이는 전년 대비 51% 증가한 수치라고 발표했다. DPRK와 연결된 행위자들이 훔친 총액은 현재 약 67억 5천만 달러에 달하며, 공격 횟수는 감소했음에도 불구하고 그렇다.
공격의 진화
이러한 발견은 국가와 연결된 사이버 범죄자들이 운영하는 방식의 더 넓은 변화를 강조한다. CryptoCore와 유사한 그룹들은 대규모 피싱 캠페인에 의존하기보다는, 캘린더 초대 및 화상 통화와 같은 일상적인 디지털 상호작용에서 신뢰를 악용하는 고도로 맞춤화된 공격에 집중하고 있다. 이로 인해 북한은 더 적은 수의 표적화된 사건을 통해 더 큰 절도를 달성하고 있다.
딥페이크의 위험
Mandiant에 따르면, 공격은 피해자가 이미 해킹된 것으로 보이는 알려진 암호화폐 경영진으로부터 텔레그램에서 연락을 받으면서 시작되었다. 관계를 구축한 후, 공격자는 피해자를 가짜 줌 통화로 안내하는 30분 회의의 Calendly 링크를 보냈다. 통화 중 피해자는 잘 알려진 암호화폐 CEO의 딥페이크 비디오를 보았다고 보고했다.
회의가 시작되자 공격자들은 오디오 문제를 주장하며 피해자에게 “문제 해결” 명령을 실행하도록 지시했으며, 이는 궁극적으로 악성코드 감염을 유발하는 ClickFix 기술이었다. 포렌식 분석 결과 피해자의 시스템에서 자격 증명, 브라우저 데이터 및 재정 절도 및 향후 사칭을 위한 세션 토큰을 수집하기 위한 명백한 시도로 배포된 7개의 서로 다른 악성코드 계열이 확인되었다.
미래의 위험
Fraser Edwards는 AI가 이제 라이브 통화 외부에서 사칭을 지원하는 데 사용되고 있다고 덧붙였다. “AI는 메시지를 작성하고, 목소리의 톤을 수정하며, 누군가가 동료나 친구와 일반적으로 소통하는 방식을 반영하는 데 사용된다. 이는 일상적인 메시지를 의심하기 어렵게 만들고 수신자가 상호작용을 확인하기 위해 충분히 멈출 가능성을 줄인다”고 그는 설명했다.
Edwards는 AI 에이전트가 일상적인 커뮤니케이션 및 의사 결정에 도입됨에 따라 위험이 증가할 것이라고 경고했다. “에이전트는 메시지를 보내고, 통화를 예약하며, 사용자 대신 기계 속도로 행동할 수 있다. 이러한 시스템이 남용되거나 해킹되면, 딥페이크 오디오나 비디오가 자동으로 배포되어 사칭을 수동적인 노력에서 확장 가능한 프로세스로 전환할 수 있다”고 그는 말했다.
대부분의 사용자가 딥페이크를 식별하는 방법을 알기를 기대하는 것은 “비현실적”이라고 Edwards는 말하며, “해답은 사용자가 더 주의 깊게 살펴보도록 요구하는 것이 아니라, 기본적으로 그들을 보호하는 시스템을 구축하는 것이다. 이는 진정성이 신호되고 검증되는 방식을 개선하여 사용자가 본능, 친숙함 또는 수동적 조사를 의존하지 않고도 콘텐츠가 진짜인지, 합성인지, 검증되지 않았는지를 신속하게 이해할 수 있도록 하는 것을 의미한다”고 덧붙였다.
