북한 사이버 범죄자는 소셜 엔지니어링 캠페인에서 전략적 전환을 단행했습니다. 이들은 신뢰받는 업계 인사를 사칭해 가짜 영상회의를 진행하며 3억 달러(약 삼억 달러) 이상을 탈취했습니다.
메타마스크 보안 연구원 테일러 모나한(테이바노) 씨가 밝힌 경고에 따르면, 이번 공격은 암호화폐 업계 경영진을 겨냥한 정교한 “장기 사기” 기법입니다.
Sponsored북한 ‘가짜 미팅’, 암호화폐 지갑 탈취
모나한 씨에 따르면, 이번 캠페인은 최근 유행했던 AI 딥페이크를 활용한 공격과는 다릅니다.
이 방법은 더 단순하며, 탈취된 텔레그램 계정과 실제 인터뷰 영상의 반복되는 장면을 기반으로 이루어집니다.
이 공격은 해커가 신뢰받는 텔레그램 계정, 주로 벤처 투자자나 회의에서 만난 적 있는 인물의 계정을 탈취한 후 시작됩니다.
이후 공격자는 이전 채팅 기록을 이용해 정상적인 대화처럼 보이게 하여, 피해자를 캘린들리 링크로 위장한 초대를 통해 줌 또는 마이크로소프트 팀즈 영상회의로 유도합니다.
화상회의가 시작되면 피해자는 마치 실제 상대방이 실시간으로 영상을 보낸 것처럼 보게 됩니다. 실제로는 팟캐스트나 공개 석상의 녹화 영상을 재활용한 경우가 많습니다.
Sponsored결정적인 순간은 조작된 기술적 문제 발생 직후에 찾아옵니다.
공격자는 오디오나 비디오에 문제가 있다고 하면서, 피해자에게 특정 스크립트 파일을 다운로드하거나 SDK(소프트웨어 개발 키트)를 업데이트하라고 재촉합니다. 이때 전달되는 파일에 악성코드가 포함되어 있습니다.
설치가 완료되면 악성 프로그램, 주로 원격접근 트로이목마(RAT)가 공격자에게 시스템 전체 제어권을 넘깁니다.
이후 암호화폐 지갑이 탈취되고, 내부 보안 절차나 텔레그램 세션 토큰과 같은 민감한 정보도 유출되어 네트워크 내 다음 피해자를 노리는 데 사용됩니다.
이와 관련해 모나한 씨는 경고하며 “이번 공격 기법은 업무상 예의라는 심리를 악용하고 있습니다.”라고 언급했습니다.
해커는 “업무 미팅”이라는 심리적 압박을 통해 피해자의 판단력을 흐리게 만들며, 사소한 기술 지원 요청조차 치명적인 보안 위협으로 바꾸고 있습니다.
업계 종사자에게 전화를 통해 소프트웨어 다운로드 요청이 오면 곧바로 공격 신호로 간주해야 합니다.
한편, 이러한 “가짜 미팅” 전략은 조선민주주의인민공화국(DPRK) 공격자의 전방위 공세 중 하나입니다. 이들은 최근 1년 동안 이 분야에서 약 20억 달러를 탈취했으며, 바이빗 해킹도 포함됩니다.
