뉴스18. 북한 UNC4736, 신분 위조·대면 접촉으로 드리프트서 2억8500만달러 탈취

 

기사 요약:

이 기사는 북한 국가 지원 해킹 그룹 UNC4736은 2025년 가을부터 퀀트 트레이딩 업체를 사칭해 드리프트 관계자들에게 접근하여 2억8500만달러(약 3850억원) 규모 탈취한 사건을 담고 있다.

 

 

1. 해킹 그룹은 퀀트 트레이딩 업체를 사칭해 드리프트 관계자들에게 접근했다. 사전 포섭 및 신뢰 구축을 위해 대리인을 컨퍼런스에 직접 보내 대면 접촉을 하고, 텔레그램으로 수개월간 대화하며 100만 달러를 입금까지 하는 등 사회공학적 기법을 사용했다.

 

2. 관계자들과 신뢰를 쌓인 후, 개발자들에게 프로젝트 테스트를 빌미로 악성 코드가 숨겨진 저장소와 가짜 지갑 앱을 공유했다. VS코드 설정 파일을 악용해 폴더를 열기만 해도 감염되게 설계했다.

 

3. 확보한 접근 권한으로 약 3,850억 원을 탈취한 뒤, 범죄에 사용된 텔레그램 방과 소프트웨어를 삭제하여 흔적을 지웠다. 탈취한 자금은 북한의 군사적 목적으로 사용된 것으로 알려졌다.

 

개인 의견:

아무리 보안이 철처하더라도 사람의 심리를 이용한 사회공학적 기법을 예방하거나 대응할 방법이 없어 보인다. 100%는 아니더라도 예방을 위해서는 검증과 인증 절차를 다중화 해야 할 필요가 있으며, 샌드박스와 같이 외부와 차단된 가상환경에서 먼저 열어보는 등의 노력이 필요해 보인다.

 

<용어 정리>

드리프트: 솔라나(Solana)라는 블록체인 네트워크 위에서 운영되는 탈중앙화 거래소(DEX)

 

탈중앙화 거래소 (DEX): 은행처럼 중앙 관리자가 있는 것이 아니라, 컴퓨터 프로그램(스마트 컨트랙트)이 자동으로 거래를 중개하는 가상자산 거래소

 

퀀트 트레이딩 업체: 수학적 모델과 알고리즘을 이용해 엄청난 속도로 주식이나 코인을 거래하는 전문 투자 회사

 

tasks.json: VS코드에서 특정 작업을 자동화할 때 쓰는 설정 파일입니다. 해커들은 이 파일에 "폴더를 열면 자동으로 악성 프로그램을 실행하라"는 명령을 숨겼다. tasks.json 설정 중에는 프로젝트 폴더가 열리는 순간(Folder Open) 바로 실행되도록 설정하는 옵션이 있다. 이 옵션을 사용한 것으로 보인다.

 

VS코드는 보안을 위해 외부에서 가져온 폴더를 열 때 "이 작성자를 신뢰하십니까?"라는 경고창을 띄우는데, 이번 사건의 경우, 북한 해커들의 사회공학적 기법 때문에 개발자들은 의심 없이 [예, 신뢰합니다] 버튼을 눌렀고, 그 순간 tasks.json에 숨겨진 악성 명령어가 실행된 것으로 보인다.

 

 

뉴스 링크: https://www.boannews.com/media/view.asp?idx=143049&page=1&kind=1