뉴스24. 카스퍼스키 “진짜 영상 튼 가짜 회의실”… 북한 ‘블루노로프’ 수법 분석

기사 요약:

카스퍼스키는 북한 해킹 그룹 블루노로프가 수행한 , 웹3 및 벤처캐피털 업계 겨냥한 ‘고스트콜’과 ‘고스트하이어’ 캠페인 규명했다.

접근-신뢰 구축-감염 유도-탈취 순으로 진행되었다.

1. 텔레그램이나 링크드인에서 투자자나 채용 담당자로 위장해 타겟에게 접근한다.
2. 줌(Zoom), 팀즈(Teams) 같은 가짜 화상회의 링크를 보내고, 미리 녹화된 실제 영상을 틀어 상대방을 안심시킨다.
3. 오디오가 안 들린다는 핑계로 가짜 SDK 업데이트를 설치하게 하거나, "30분 안에 코딩 테스트를 하라"며 악성 코드가 든 깃허브(GitHub) 파일을 실행하게 한다.
4. 침투 성공 후 사일런트사이펀 모듈을 이용해 가상자산 지갑, 클라우드 계정, 챗GPT 정보 등을 모두 빼돌린다.

 

개인 의견:

흔히 해킹이라고 하면 복잡한 소스 코드의 빈틈을 찾아내는 '시스템 해킹'을 떠올리기 쉽습니다. 하지만 이번 사례는 시스템은 정상인데 사람을 해킹했다. 또한 과거 북한발 피싱 메일은 말투가 어색하거나 맞춤법이 틀려 금방 티가 났었는데, 이제는 챗GPT 같은 AI를 활용해 완벽한 비즈니스 영어나 한국어를 구사하고, 신뢰감 있는 프로필 이미지까지 만들기에 제로 트러스트 관점이 필수적이다.

 

<용어 정리>

• SDK(Software Development Kit): 소프트웨어를 개발할 때 쓰는 도구 모음입니다. 여기서는 화상회의 프로그램이 정상 작동하기 위해 필요한 설치 파일인 것처럼 위장되었습니다.
• 클릭픽스(ClickFix) 기법: 사용자에게 오류가 발생한 것처럼 속여, 특정 명령어를 복사해서 실행하도록 유도하는 수법입니다.
• 스내치크립토: 블루노로프가 전 세계 가상자산(암호화폐)을 탈취하기 위해 수년 전부터 진행해 온 대규모 프로젝트.
• 고스트콜: 화상회의 위장 공격 캠페인.

ex)

회의에 접속하면 과거에 녹화해둔 실제 인물의 영상을 틀어주어 피해자를 안심시킨다.

그 후 "소리가 안 들린다" 혹은 "프로그램 업데이트가 필요하다"는 핑계로 악성 SDK(설치 파일)를 다운로드하게 유도하여 PC를 장악한다.

• 고스트하이어: 가짜 채용 위장 공격 캠페인.

ex)

• 링크드인이나 텔레그램에서 유명 기업의 채용 담당자인 척 접근한다.
• "실력을 확인하겠다"며 30분 정도의 시간 제한을 두고 코딩 테스트를 제안한다.
• 이때 개발자에게 악성 코드가 숨겨진 깃허브(GitHub) 저장소를 실행하게 압박합니다. 개발자가 코드를 실행하는 순간, 그의 PC에 있는 지갑 정보와 계정 정보가 해커에게 넘어간다.
• 사일런트 사이펀: 해커가 타겟의 컴퓨터에 침투한 뒤, 그 안에 있는 소중한 정보들을 몰래 수집하는 정보 탈취용 도구.