리플(Ripple)은 현재 암호화폐 기업들이 보안 정보를 공유하고 디지털 자산을 겨냥한 사이버 위협에 대응할 수 있도록 지원하는 비영리 단체인 크립토 ISAC(Crypto ISAC)에 북한(DPRK, 조선민주주의인민공화국) 사이버 행위자에 대한 독점적인 위협 인텔리전스를 제공하고 있습니다.
이 인텔리전스에는 북한의 해킹 캠페인에서 수집한 도메인, 지갑, 침해 지표가 포함되어 있습니다. 또한 암호화폐 기업 내에 침투를 시도한 것으로 의심되는 북한 IT 종사자들의 상세 프로필도 포함되어 있습니다.
드리프트 해킹 사건으로 업계 경각심이 촉발되다
드리프트 해킹 사건은 업계에 경각심을 일으킨 계기가 되었습니다. 공격자들은 여러 달 동안 드리프트 기여자들과 신뢰를 쌓았습니다. 이후 악성 소프트웨어를 배포하여 기기를 침해했고, 기존의 침해 지표도 우회했습니다.
침입자들은 여러 사람을 조작해 멀티시그 지갑을 장악하고 자금을 탈취했습니다.
같은 유형의 공격은 암호화폐 및 전통 금융사에서도 반복되었습니다. 북한 위협 행위자들은 스마트컨트랙트 취약점보다 내부 침투 방식을 활용하고 있습니다.
크립토 ISAC 측은 이번 캠페인을 새로운 차원의 소셜 엔지니어링으로 평가했습니다. “신뢰받는 파트너로 보이는 사람을 어떻게 식별할 수 있는지”가 중요한 과제로 제기되었습니다.
DPRK 위협 인텔리전스 피드의 내용
제공된 데이터는 허위 도메인과 지갑, 그리고 실시간 북한 작전에서 수집된 침해 지표까지 다양합니다.
의심받는 북한 IT 종사자의 각 프로필에는 링크드인 계정, 이메일, 위치, 연락처가 포함되어 있습니다. 해당 데이터를 통해 개인이 조직적 캠페인과 연관되어 있음을 확인할 수 있습니다.
리플, 코인베이스(Coinbase) 등 주요 창립 회원사들은 크립토 ISAC의 신규 API를 통해 이 데이터를 연동하고 있습니다. 시스템은 Web2와 Web3 환경 전반에 걸쳐 침해 지표를 표준화해 회원사 보안 운영에 직접 반영합니다.
“너무 오랜 기간 정보 공유가 선택 사항으로 간주되었습니다. 이제 정보 공유는 보안의 표준입니다.” – 저스틴 본(Justine Bone), 크립토 ISAC(Crypto ISAC) 전무이사
공동 방어가 중요한 이유
한 기업의 신원조회에서 탈락한 위협 행위자는 같은 주에 추가로 세 곳 이상에 지원하는 사례가 있습니다. 크립토 ISAC에 따르면, 인텔리전스가 공유되지 않을 경우 모든 방어자는 라자루스의 전술에 대해 매번 처음부터 대응해야 합니다.
제프 룽글호퍼(Jeff Lunglhofer) 코인베이스(Coinbase) 최고정보보안책임자는 데이터 모델이 원시 침해 지표보다 맥락과 신뢰성을 보존한다고 밝혔습니다.
이 모델은 앞으로 더 많은 회원사에 적용되어야 합니다. 크라켄 침입 시도 같은 사건에서 우위를 점할 수 있을지는 도입 속도에 달려 있습니다.
리플의 이번 참여는 자사의 광범위한 보안 강화 행보와 연관되어 있습니다. 이번 조치는 디지털 자산 업계의 공동 방어 강화 신호로 해석됩니다. 향후 주요 거래소와 프로토콜도 이 흐름에 동참할지 주목됩니다.
