북한 해커들의 위협
매일 Binance는 북한 해커들이 작성한 것으로 추정되는 가짜 이력서로 넘쳐난다고 암호화폐 거래소의 최고 보안 책임자 Jimmy Su가 Decrypt에 전했습니다. 그의 관점에서 북한의 국가 행위자들은 현재 암호화폐 산업에서 기업들이 직면한 가장 큰 위협입니다.
해커들의 기술 발전
Su는 북한 해커들이 거래소의 8년 역사 내내 문제였지만, 최근 해커들이 암호화폐와 관련하여 그들의 기술을 향상시켰다고 설명했습니다. “현재 암호화폐 산업에 대한 가장 큰 위협은 국가 행위자들, 특히 북한의 Lazarus 그룹입니다”라고 Su는 말하며, “그들은 지난 2~3년 동안 암호화폐에 집중해 왔고 그들의 노력에서 꽤 성공적이었습니다”고 덧붙였습니다.
“거의 모든 대규모 DPRK 해킹 사건은 가짜 직원이 공격을 촉진하는 데 도움을 주었습니다.”
가짜 이력서와 AI의 역할
민주주의 인민 공화국, 즉 DPRK 또는 북한은 세계에서 가장 악명 높은 해커 집단 중 하나인 Lazarus 그룹의 본거지입니다. 이 그룹은 FBI에 따르면 3월에 발생한 악명 높은 Bybit 14억 달러 해킹 사건의 책임이 있는 것으로 여겨집니다. Su는 Binance가 주로 북한 해커들이 회사에 취업하려고 시도하는 것을 주목했다고 말했습니다.
중앙 집중식 거래소는 특정 이력서 템플릿을 사용하는 경향에 따라 매일 이력서를 폐기한다고 주장했습니다. 이 회사는 Decrypt에 이력서의 경고 신호에 대한 구체적인 내용을 공유할 의사가 없었습니다. 만약 이력서가 초기 검토를 통과하면, 회사는 지원자가 진짜인지 비디오 통화를 통해 확인해야 하며, 이는 AI의 발전으로 인해 점점 더 어려워지고 있습니다.
직원 모니터링과 의심스러운 행동
Su는 “우리의 추적은 예전에는 행위자, 즉 작전자가 이력서를 가지고 있으며, 그들은 대부분 일본 또는 중국 성을 가지고 있다고 보여주었습니다”고 설명했습니다. “하지만 이제 AI와 AI 관련 사건 덕분에 그들은 어떤 종류의 개발자로도 가장할 수 있습니다. 최근에는 그들이 유럽이나 중동 출신 후보자로 나타나는 것을 보았습니다.”
그들이 하는 일은 인터뷰 중에 음성 변조기를 사용하고, 비디오는 딥페이크입니다. “유일하게 확실한 탐지 방법은 그들이 거의 항상 느린 인터넷 연결을 가지고 있다는 것입니다”라고 그는 덧붙였습니다. “무슨 일이 일어나고 있는지는 통화 중에 번역과 음성 변조기가 작동하고 있기 때문에 … 그래서 그들은 항상 지연됩니다.”
고용주들의 대응
Binance는 북한 지원자를 탐지할 수 있는 다른 방법도 있으며, 그들에게 얼굴을 가리게 하여 딥페이크를 깨뜨리는 방법이 있습니다. 그러나 Binance는 공격자들이 이 기사를 읽고 있을까 두려워 모든 기술을 공개하고 싶지 않다고 밝혔습니다. 다른 고용주들은 후보자에게 북한 최고 지도자 김정은에 대해 부정적인 발언을 하도록 요청하는 것으로 알려져 있으며, 이는 북한에서 금지된 것으로 여겨지며 긍정적인 결과를 보고했습니다.
Binance는 국가 행위자를 고용한 적이 없다고 주장하지만, 그들은 너무 확신할 수 없다고 덧붙였습니다. 결과적으로 그들은 현재 직원들의 의심스러운 행동을 모니터링하기도 하며, 이는 모든 금융 기관이 어느 정도 수행하는 일입니다.
DPRK 해커들의 공격 방식
아이러니하게도, Su의 연구에 따르면 DPRK 직원들은 주어진 역할에서 회사의 최고 성과자 중 하나인 경우가 많습니다. 이는 여러 시간대에서 동일한 작업을 수행하는 여러 사람이 있을 수 있기 때문이라고 그는 설명했습니다. 그래서 Binance는 직원들이 언제 일하는지와 그들의 성과를 추적합니다. 만약 한 직원이 결코 잠을 자지 않는 것처럼 보인다면, 이는 그들이 악명 높은 Lazarus 그룹의 일원일 수 있다는 신호일 수 있습니다.
Su는 북한 국가 행위자들이 사용하는 두 가지 다른 공격 방식이 있다고 말했습니다. 하나는 악성 코드로 공공 NPM 라이브러리를 오염시키는 것이고, 다른 하나는 암호화폐 직원들에게 가짜 구인 제안을 하는 것입니다. Node Package Manager(NPM) 라이브러리 또는 패키지는 개발자들이 자주 사용하는 재사용 가능한 코드의 모음입니다. 악성 공격자는 이러한 패키지를 복제하고 심각한 결과를 초래할 수 있는 작은 코드 줄을 삽입할 수 있으며, 원래 기능을 유지하면서도 그렇게 할 수 있습니다.
피싱 시도와 피해 방지
Su는 만약 이것이 한 번이라도 감지되면, 악성 코드는 개발자들이 그 위에 구축할 때 시스템에 점점 더 깊이 박히게 될 것이라고 말했습니다. 이 문제가 발생하지 않도록 하기 위해 Binance는 코드를 면밀히 검토해야 합니다. 주요 암호화폐 거래소들은 또한 Telegram 및 Signal 그룹에서 보안 관련 정보를 공유하여 오염된 라이브러리와 새로운 DPRK 기술을 동료들과 함께 플래그할 수 있습니다.
“DPRK 그룹은 외부 직원들과 통화를 예약하려고 시도할 것입니다”라고 Su는 Decrypt에 말했습니다. “DeFi 프로젝트나 투자 회사로서. 최악의 경우, 그들은 그들을 고위직으로 채용하려고 하며, 두 배, 세 배의 급여를 지급하여 인터뷰에 참여하도록 유도합니다.”
가짜 인터뷰 중에 Su는 DPRK 해커들이 통화에 “어떤 종류의 비디오 또는 음성 문제가 있다”고 주장한 후 피해자에게 Zoom을 업데이트하라는 링크를 보낸다고 설명했습니다. 그러면 그의 장치는 악성 코드에 감염됩니다. Binance는 직원들이 자신에게 이루어지는 모든 피싱 시도를 보고하도록 교육했습니다. 이러한 보고의 빈도에 따라 Su는 DPRK 공격자들이 매일 Binance 직원들에게 LinkedIn에서 메시지를 보내고 있다고 확신하고 있습니다.
결론
북한 해커들은 지난해 47건의 암호화폐 관련 사건에서 13억 4천만 달러를 훔쳤다고 Chainalysis 보고서가 밝혔습니다. 그 이후로 DPRK 공격은 지속되고 있으며, Wiz의 전략적 위협 정보 이사가 추정하기로는 올해 현재까지 가짜 IT 구인 제안을 통해 16억 달러의 암호화폐가 도난당했다고 합니다. “Lazarus 그룹은 항상 문제였습니다”고 Su는 Decrypt에 말했습니다. “하지만 지난 2~3년 동안 그들은 암호화폐에 더 많은 자원을 집중하게 되었습니다. 단지 산업의 [큰] 달러 금액 때문이었습니다.”
