북한 해커들의 AI 기반 딥페이크 공격
북한과 연계된 해커들이 AI로 생성된 딥페이크를 활용하여 실시간 영상 통화를 통해 암호화폐 개발자와 근로자들을 속이고 있습니다. BTC 프라하의 공동 창립자인 마르틴 쿠하르가 공개한 최신 사례에 따르면, 공격자들은 해킹된 텔레그램 계정을 사용하고 조작된 영상 통화를 통해 줌 오디오 수정 프로그램으로 위장한 악성코드를 배포했습니다.
쿠하르는 목요일 X에서 이 “고급 해킹 캠페인”이 “비트코인 및 암호화폐 사용자들을 목표로 하고 있는 것처럼 보인다”고 밝혔습니다.
공격자들은 피해자에게 연락하여 줌 또는 팀즈 통화를 설정합니다. 쿠하르에 따르면, 통화 중에 그들은 AI로 생성된 영상을 사용하여 피해자가 아는 사람처럼 보이게 합니다. 그런 다음 오디오 문제를 주장하며 피해자에게 이를 수정하기 위해 플러그인이나 파일을 설치하도록 요청합니다.
설치가 완료되면 악성코드는 공격자에게 전체 시스템 접근 권한을 부여하여 비트코인을 훔치고 텔레그램 계정을 장악하며, 해당 계정을 사용해 다른 사람들을 공격할 수 있게 합니다.
AI 기반 사칭 사기의 증가
블록체인 분석 회사 Chainalysis의 데이터에 따르면, AI 기반의 사칭 사기가 암호화폐 관련 손실을 2025년 기록적인 170억 달러로 끌어올렸습니다. 공격자들은 점점 더 딥페이크 영상, 음성 복제 및 가짜 신원을 사용하여 피해자를 속이고 자금에 접근하고 있습니다.
쿠하르가 설명한 공격은 사이버 보안 회사 헌트리스가 처음 문서화한 기술과 밀접하게 일치하며, 헌트리스는 지난해 7월 이러한 공격자들이 텔레그램에서 초기 접촉 후 조작된 줌 통화로 목표 암호화폐 근로자를 유인한다고 보고했습니다.
이들은 종종 조작된 줌 도메인에서 호스팅되는 가짜 회의 링크를 사용합니다. 통화 중에 공격자들은 오디오 문제를 주장하고 피해자에게 줌 관련 수정 프로그램을 설치하도록 지시하는데, 이는 실제로는 다단계 macOS 감염을 시작하는 악성 AppleScript입니다.
북한의 라자루스 그룹과의 연관성
헌트리스의 보안 연구원들은 이 침입을 북한과 연계된 고급 지속 위협으로 높은 신뢰도로 TA444로 추적하고 있으며, 이는 BlueNoroff로도 알려져 있습니다. 2017년부터 암호화폐 도난에 집중하는 국가 지원 그룹인 라자루스 그룹의 여러 다른 별칭으로 운영되고 있습니다.
블록체인 보안 회사 Slowmist의 최고 정보 보안 책임자인 샨 장은 쿠하르에 대한 최신 공격이 “아마도” 라자루스 그룹의 더 넓은 캠페인과 연결되어 있다고 말했습니다.
리버먼은 “이미지와 영상은 더 이상 신뢰할 수 있는 진위 증거로 취급될 수 없다”고 말하며, 디지털 콘텐츠는 “그 제작자가 암호화 서명해야 하며, 이러한 서명은 다단계 인증을 요구해야 한다”고 덧붙였습니다. 이러한 공격이 “익숙한 사회적 패턴에 의존하기 때문에” 추적하고 감지하는 중요한 신호가 되었다고 그는 말했습니다.
북한의 라자루스 그룹은 암호화폐 회사, 근로자 및 개발자에 대한 캠페인과 관련이 있으며, 맞춤형 악성코드와 정교한 사회 공학을 사용하여 디지털 자산과 접근 자격 증명을 훔치고 있습니다.
