이더리움재단의 지원을 받은 켓맨프로젝트가 약 100명의 북한 IT 인력들이 53개의 암호화폐 프로젝트에 걸쳐 활동하고 있음을 4월 16일 ETH 레인저스 프로그램 요약 자료를 통해 밝혔습니다.
이더리움재단의 ETH 레인저스 프로그램이 지급한 수당으로 운영된 이 6개월 프로젝트는, 위장 신분으로 웹3 조직에 침투한 조선민주주의인민공화국(DPRK) 관계자들을 식별하고 추방하는 데 집중했습니다.
북한 인력이 위조 신분과 가짜 고객 신원확인(KYC) 서류를 사용하는 방법
최근 켓맨의 조사는, 북한 연계 인력들이 웹3 프리랜스 플랫폼 OnlyDust에서 일본 개발자로 가장한 사례를 구체적으로 설명했습니다.
이 인력들은 AI로 생성한 프로필 사진, “히로토 이와키”, “모토키 마스오” 등과 같은 가짜 이름, 그리고 인증 과정에서 위조된 일본 신분증을 제출했습니다.
조사팀은 영상 통화 도중 용의자 한 명이 일본어로 자기소개를 요청받자 헤드셋을 벗고 통화에서 이탈하면서 이 사기를 확인했습니다.
조사팀은 11개 저장소에서 3개 이상의 인력 집단을 추적했으며, 탐지 전까지 62건의 풀 리퀘스트가 병합되었습니다.
오픈소스 도구 및 업계 프레임워크
개별 조사 외에도 켓맨은 PyPI에 공개된 오픈소스 깃허브 프로필 분석 도구 ‘gh-fake-analyzer’를 개발했습니다.
이 프로젝트는 보안 얼라이언스(SEAL)와 함께 DPRK IT 인력 프레임워크도 공동 집필했으며, 해당 문서는 업계의 표준 참고자료가 되었습니다.
ETH 레인저스 프로그램은 2024년 말 Secureum, The Red Guild, SEAL과 함께 출범했고, 총 17명의 수당 수령자를 지원했습니다.
성과로는 580만 달러 이상 회수, 785건의 취약점 보고, 36건의 인시던트 대응이 있었습니다.
북한 인력들은 “최근 수년간 암호화폐 자산에서 수십억 달러를 탈취해 왔습니다.” 보안 연구자들은 북한 해킹팀이 주도하는 대규모 공급망 공격의 교두보로 IT 인력 침투가 흔히 활용된다고 경고합니다.
