북한 해커, 줌 기능 악용해 수백만 달러 상당의 암호화폐 훔쳐

새롭고 충격적인 사이버 범죄 캠페인이 암호화폐 거래자와 투자자를 표적으로 삼고 있으며, 익숙한 화상 회의 플랫폼인 줌(Zoom)을 공격 벡터로 사용하고 있습니다. 비영리 단체인 시큐리티 얼라이언스(SEAL)와 사이버 보안 회사 트레일 오브 비츠(Trail of Bits)의 보고서에 따르면, 암호화폐 분야에 대한 끊임없는 공격으로 악명 높은 북한 해커들이 조직한 교묘한 작전이 폭로되었습니다. "Elusive Comet"이라는 이름의 이 캠페인은 소셜 엔지니어링 위협이 얼마나 정교해졌는지, 그리고 일상적인 비즈니스 도구가 어떻게 악의적인 손에 들어가면 무기가 될 수 있는지를 보여줍니다.

사업 기회로 위장한 피싱 미끼

공격자의 접근 방식은 설득력이 있으면서도 교묘합니다. 벤처 캐피털리스트나 팟캐스트 진행자를 사칭하는 해커들은 먼저 합법적인 사업 제안처럼 보이는 것을 제시합니다. 피해자들은 종종 Calendly 링크를 통해 연락을 취하며, 투자나 팟캐스트 출연을 논의하기 위해 Zoom 회의 일정을 잡도록 권유합니다. 초기 소통은 위협보다는 기회로 위장하여, 피해자의 방어력을 약화시키고 회의 세부 사항을 마지막 순간까지 미루면서 긴박감을 조성합니다.

피해자가 예약된 Zoom 통화에 참여하면 공격자는 행동을 개시합니다. 피해자에게 화면 공유를 요청하는데, 이는 비즈니스 회의에서 흔히 볼 수 있는 요청입니다. 그런데 해커는 Zoom의 원격 제어 기능을 이용하여 피해자의 컴퓨터 제어권을 요구합니다. 기만적인 수법으로 인해 이 요청은 더욱 위험해집니다. 공격자는 Zoom 표시 이름을 "Zoom"으로 변경하여 권한 부여 대화 상자를 일반적인 무해한 시스템 알림처럼 위장합니다.

한 번의 클릭으로 완전한 타협을 이루다

이 한 번의 클릭으로 피해자의 마우스와 키보드를 완전히 장악할 수 있습니다. 공격자는 브라우저 세션, 저장된 비밀번호, 암호화폐 지갑 시드 문구 및 기타 민감한 정보를 검색하는 인포스틸러 멀웨어 또는 원격 액세스 트로이 목마(RAT)를 신속하게 배포합니다. SEAL의 로그는 이러한 전술로 "수백만 달러"의 자금을 훔쳤다고 밝히며, 범죄자들이 가짜 소셜 미디어 프로필과 조작된 웹사이트 네트워크를 이용하여 자신들의 계략에 신빙성을 부여한다고 지적합니다.

Trail of Bits는 직접 공격을 경험했습니다. 회사 CEO는 블룸버그 프로듀서라고 주장하는 X개(이전에는 트위터) 프로필에서 암호화폐 관련 막판 Zoom 인터뷰를 강력히 요구하며 메시지를 받았습니다. 자세히 살펴보니 Zoom 회의 링크는 합법적인 기업 계정이 아닌 일반 사용자 계정으로 연결되었습니다. 공격자들은 이메일 연락을 지속적으로 거부하며, Zoom을 통해 공격을 실행하겠다고 고집했습니다.

결함 있는 기능이 공격 벡터로 전환됨

공격의 근원은 Zoom의 원격 제어 기능입니다. 이 기능은 협업을 위해 설계되었지만, 사용자가 주의를 기울이지 않으면 악용될 수 있습니다. 호스트는 계정, 그룹 또는 사용자 수준에서 이 기능을 비활성화할 수 있지만, 기업 환경에서는 기본적으로 활성화되어 있는 경우가 많습니다. 권한 대화 상자에는 제3자 요청임을 나타내는 표시가 없어, 사용자가 일상적인 메시지에 속기 쉽습니다.

트레일 오브 비츠(Trail of Bits)는 이러한 유형의 공격이 소프트웨어 버그가 아닌 사람의 행동에 의존하기 때문에 특히 효과적이라고 경고합니다. 많은 전문가들이 줌 알림을 빠르게 승인하는 데 익숙하며, 공격자들은 이러한 익숙함을 악용하여 숙련된 사용자의 방어 체계조차 우회합니다. 트레일 오브 비츠는 이러한 공격이 최근 발생한 15억 달러 규모의 바이비트(Bybit) 해킹 사건과 같은 주요 사건들과 직접적인 연관이 있다고 지적합니다. 이 사건 역시 코드 취약점을 악용하는 것이 아니라 합법적인 워크플로우를 조작하는 데 의존했습니다.

포착하기 힘든 혜성 위협으로부터 보호하기

더 큰 의미는 우려스럽습니다. 블록체인 산업이 성숙해짐에 따라 공격자들은 기술적 공격에서 인간의 취약점으로 초점을 옮기고 있습니다. 사용자의 프로세스와 의사 결정을 보호하는 운영 보안은 소프트웨어 결함 방어만큼이나 중요해졌습니다.

이에 따라 Trail of Bits는 Zoom의 원격 제어 기능을 비활성화하고 이러한 공격을 가능하게 하는 접근성 권한을 차단하는 등 강력한 조치를 취했습니다. 이 조치는 정상적인 화상 회의 사용에는 지장을 주지 않습니다. 암호화폐 업계의 조직과 개인에게도 Zoom 설정을 검토하고 화면 공유 및 원격 제어 요청을 맹목적으로 수락하는 것의 위험성에 대해 교육하는 등 동일한 조치를 취할 것을 촉구합니다.

이미 수백만 명이 피해를 입었고 공격자들은 계속해서 수법을 개선하고 있는 상황에서, 중요한 메시지는 분명합니다. 화상 회의 도구를 절대 위험으로부터 안전한 도구로 여기지 마십시오. 암호화폐 업계에서 거래, 투자 또는 근무하는 경우, 예상치 못한 회의 요청을 수락하기 전에 신중하게 생각해야 합니다. 또한, 정당성이 완전히 보장되지 않은 원격 제어 메시지는 절대 승인하지 마십시오. 이 위협은 겉보기에는 평범한 사업처럼 보일 수 있지만, 그 위험성은 그 어느 때보다 높습니다.