북한 해킹 그룹의 클라우드 시스템 침투
북한 해킹 그룹들이 프리랜서 IT 작업의 유혹을 이용해 클라우드 시스템에 접근하고 수백만 달러에 달하는 암호화폐를 훔치고 있다는 연구 결과가 Google Cloud와 보안 회사 Wiz에서 발표되었습니다. Google Cloud의 2025년 하반기 클라우드 위협 지평선 보고서에 따르면, Google 위협 정보 그룹은 UNC4899라는 북한 해킹 유닛을 “적극적으로 추적“하고 있으며, 이들은 소셜 미디어를 통해 직원들에게 연락한 후 두 개의 회사를 성공적으로 해킹했습니다.
해킹 방법과 피해
두 경우 모두 UNC4899는 직원들에게 작업을 부여하여 직원들이 자신의 작업 공간에서 악성 코드를 실행하게 했고, 이를 통해 해킹 그룹은 자신의 명령 및 제어 센터와 목표 회사의 클라우드 기반 시스템 간의 연결을 설정할 수 있었습니다. 그 결과 UNC4899는 피해자의 클라우드 환경을 탐색하고 자격 증명 자료를 확보하며 궁극적으로 암호화폐 거래를 처리하는 호스트를 식별할 수 있었습니다.
“북한 해커들이 구인 광고를 이용하는 것은 이제 상당히 일반적이고 광범위하다”고 Google 위협 정보 그룹의 유럽 수석 위협 정보 고문인 Jamie Collier가 Decrypt에 말했습니다.
TraderTraitor와 관련 그룹
UNC4899의 활동에 대해 보도한 클라우드 보안 회사 Wiz는 이 그룹이 TraderTraitor, Jade Sleet, Slow Pisces라는 이름으로도 알려져 있다고 언급했습니다. TraderTraitor는 특정 그룹이 아닌 특정 유형의 위협 활동을 나타내며, 북한 지원 단체인 Lazarus Group, APT38, BlueNoroff, Stardust Chollima가 전형적인 TraderTraitor의 악용 뒤에 있다고 Wiz는 밝혔습니다.
해킹의 진화
UNC4899/TraderTraitor에 대한 분석에서 Wiz는 캠페인이 2020년에 시작되었으며, 처음부터 책임 있는 해킹 그룹이 직원들을 유인하여 JavaScript 및 Node.js를 기반으로 한 악성 암호화폐 앱을 다운로드하도록 유도했다고 언급했습니다. Wiz에 따르면, 2020년부터 2022년까지 이 그룹의 캠페인은 “여러 조직을 성공적으로 침투했다”고 하며, 여기에는 Lazarus Group의 6억 2천만 달러 규모의 Axie Infinity의 Ronin Network 해킹이 포함됩니다.
미래의 위협
TraderTraitor의 위협 활동은 2023년에 악성 오픈 소스 코드를 사용하는 방향으로 발전했으며, 2024년에는 주로 거래소를 대상으로 하는 가짜 구인 광고에 집중했습니다. 특히 TraderTraitor 그룹은 일본의 DMM Bitcoin 해킹으로 3억 5천만 달러를 훔쳤으며, 2024년 말에는 15억 달러 규모의 Bybit 해킹을 저질렀고, 이 거래소는 올해 2월에 이를 공개했습니다.
“우리는 TraderTraitor가 클라우드 관련 악용 및 기술에 집중하고 있다고 믿습니다. 왜냐하면 그곳에 데이터가 있고, 따라서 돈이 있기 때문입니다.”라고 Wiz의 전략적 위협 정보 이사인 Benjamin Read가 Decrypt에 말했습니다.
결론
궁극적으로 이러한 투자는 북한이 암호 해킹의 선두주자가 되는 데 기여했으며, 2월 TRM Labs 보고서는 지난해 북한이 도난당한 자금의 35%를 차지했다고 결론지었습니다. 전문가들은 모든 가용 신호가 이 나라가 암호 관련 해킹의 고정된 존재로 남을 가능성이 높다고 시사한다고 말합니다.
“북한의 위협 행위자들은 정권의 전략적 및 재정적 목표를 충족하기 위해 지속적으로 적응하는 역동적이고 민첩한 세력입니다.”라고 Google의 Collier가 말했습니다. 북한 해커들이 AI를 점점 더 많이 활용하고 있다는 점을 강조하며, Collier는 이러한 사용이 “힘의 배가“를 가능하게 하여 해커들이 그들의 악용을 확장할 수 있게 했다고 설명했습니다. “우리는 그들이 속도를 줄이고 있다는 증거를 보지 못하며, 이러한 확장이 계속될 것으로 예상합니다.”라고 그는 말했습니다.
