북한 해커들의 클라우드 침투 및 암호화폐 탈취
요약: 북한 해커들이 클라우드 환경에 침투하여 암호화폐를 훔친 방법은 무엇일까요? Google Cloud의 2025년 하반기 클라우드 위협 지평 보고서에 따르면, 이 회사의 위협 정보 팀은 UNC4899라는 북한과 연관된 해킹 그룹을 모니터링하고 있으며, 이 그룹은 소셜 미디어 플랫폼을 통해 직원들과 접촉한 후 두 개의 조직을 침해한 혐의를 받고 있습니다.
“2020년부터 활동을 시작한 UNC4899는 주로 암호화폐 및 블록체인 산업을 목표로 하며, 복잡한 공급망 침해를 실행할 수 있는 정교한 능력을 보여주었다,”고 보고서는 밝혔습니다.
이 보고서는 2024년 3분기와 2025년 1분기 사이에 사이버 보안 회사 Mandiant가 UNC4899와 관련된 두 건의 사건에 대응했으며, 하나는 Google Cloud 환경에, 다른 하나는 AWS 환경에 영향을 미쳤다고 언급했습니다. 침입의 초기 및 최종 단계는 공통된 전술을 공유했지만, 중간 단계에서 사용된 방법은 피해자의 시스템 아키텍처의 차이를 반영하여 다양했습니다.
보고서는 이러한 공격의 초기 단계에서 해커들이 소셜 미디어 플랫폼을 통해 피해자와 접촉했으며, 하나는 텔레그램을 통해, 다른 하나는 링크드인을 통해 프리랜서 소프트웨어 개발자 채용자로 가장했다고 설명했습니다. 타겟이 된 직원들은 자신도 모르게 작업 공간에서 악성 Docker 컨테이너를 실행하도록 유도되었습니다.
이 행동은 GLASSCANNON과 같은 다운로드 도구 및 PLOTTWIST와 MAZEWIRE 백도어와 같은 2차 페이로드를 포함한 악성코드의 배포를 촉발하여, 궁극적으로 공격자들이 그들의 명령 및 제어(C2) 서버에 연결할 수 있게 했습니다.
“두 경우 모두 UNC4899는 피해자의 호스트 및 연결된 환경에서 여러 내부 정찰 활동을 수행한 후, 피해자의 클라우드 환경으로 전환하는 데 사용한 자격 증명 자료를 확보했다,”고 보고서는 언급했습니다.
북한 해커들은 점점 더 가짜 구인 광고에 의존하여 기업에 침투하고 있습니다. 7월, 미국 재무부는 북한 IT 근로자를 미국 기업에 위장하여 민주주의 인민공화국(DPRK)을 위한 수익을 창출한 혐의로 송금혁을 제재했습니다. 이 근로자들은 종종 중국이나 러시아에 기반을 두고 있으며, 허위 신원과 국적을 사용하여 고용주가 속임수를 인식하지 못하게 했습니다.
글로벌 위협이 암호화폐 플랫폼에 보안을 강화하도록 압박함에 따라, 이는 Shibarium과 같은 분산형 커뮤니티 주도 생태계의 중요성을 상기시켜주는 강력한 사례입니다. 중앙 집중식 공격에 취약한 전통적인 설정과 달리, Shibarium의 개방형 인프라는 개발자들이 투명성, 회복력 및 신뢰를 핵심으로 구축할 수 있도록 합니다.
단일 실패 지점에 의존하기보다는, Shibarium은 검증자, 개발자 및 커뮤니티 참여자 네트워크 전반에 걸쳐 제어를 분산시킵니다. 이러한 분산화는 국가 지원 해킹 그룹과 같은 악의적인 행위자가 발판을 얻기 어렵게 만들 뿐만 아니라, 취약점이 발생할 때 더 빠른 탐지 및 대응을 가능하게 합니다.
암호화폐 공간이 증가하는 사이버 위험에 직면함에 따라, Shibarium과 같은 생태계는 분산화, 투명성 및 사람들을 착취하지 않고 봉사하는 도구를 구축하겠다는 공동의 약속에 뿌리를 둔 다른 경로를 강조합니다.
