카스퍼스키 “北 해커, 가상자산 탈취 위해 업무환경 전반 장악 시도”

By곽중희

카스퍼스키는 북한 해킹 그룹 블루노로프(BlueNoroff)가 가상자산 탈취를 위해 가짜 화상회의와 위장 채용 면접을 활용한 공격 캠페인 ‘고스트콜(GhostCall)’과 ‘고스트하이어(GhostHire)’를 분석한 보고서를 16일 발표했다.

카스퍼스키에 따르면 블루노로프는 단순히 암호화폐 지갑만 노리지 않았다. 이메일, 텔레그램, 클라우드 설정, 인공지능(AI) 서비스 계정까지 포함한 디지털 업무 환경 전체를 장악하는 방식으로 공격 범위를 넓혔다. 카스퍼스키 연구진은 2025년 4월부터 두 캠페인을 추적했다고 밝혔다.

고스트콜은 웹3(Web3)·블록체인 업계 인사들을 노린 가짜 화상회의 공격이다. 공격자는 벤처캐피털 투자자나 기업가로 위장해 텔레그램으로 접근한 뒤, 정교하게 위조한 줌(Zoom) 회의 링크를 전달했다. 실제 기업인이나 스타트업 창업자의 계정을 탈취해 접근하거나, 일정 예약 서비스 캘린들리(Calendly)를 이용해 미팅을 잡는 방식도 동원했다.

피해자가 가짜 회의 사이트에 접속하면 공격자가 과거 다른 피해자에게서 몰래 녹화한 실제 화상 영상을 재생한다. 영상이 끝난 뒤에는 피해자 본인의 프로필 이미지로 화면을 전환해 실시간 통화처럼 보이게 만든다. 이후 시스템 오류 메시지를 띄우고 ‘줌 소프트웨어 개발 도구 모음(SDK) 업데이트’ 설치를 유도한다.

운영체제별 악성코드 유포 방식도 달랐다. 맥 운영체제에서는 애플스크립트(AppleScript) 기반 파일을 내려받게 했다. 윈도우에서는 정상 도메인 팝업처럼 보이는 클릭픽스(ClickFix) 방식으로 악성 명령 실행을 유도했다. 카스퍼스키는 특히 맥 환경에서 블루노로프가 ‘투명성·동의·통제(TCC)’ 체계를 우회해 카메라, 마이크, 문서 폴더 접근 권한까지 탈취했다고 설명했다. TCC는 앱이 민감한 자원에 접근할 때 사용자 동의를 요구하는 맥 보안 체계다.

카스퍼스키는 블루노로프가 2025년 9월부터 가짜 화상회의 플랫폼을 줌에서 마이크로소프트 팀즈(Microsoft Teams)로 바꿔가며 공격한 정황도 확인했다고 밝혔다.

고스트하이어는 가짜 채용 절차를 악용한 공격이다. 공격자는 미국 금융 서비스 기업의 시니어 채용 담당자로 위장해 웹3 개발자와 엔지니어에게 접근했다. 이어 텔레그램 봇을 통해 악성 압축파일이나 깃허브(GitHub) 링크를 보내고, 30분 안에 코딩 테스트를 제출하라며 압박했다. 검증할 시간을 주지 않고 악성코드 실행을 유도한 것이다.

전달된 프로젝트는 분산금융(DeFi) 관련 정상 프로젝트처럼 꾸몄다. 하지만 실제로는 고(Go) 언어 프로젝트의 외부 의존성 파일인 ‘go.mod’에 악성 패키지를 숨기는 방식으로 탐지를 피했다. 카스퍼스키는 타입스크립트(TypeScript)로 작성한 악성 넥스트제이에스(Next.js) 프로젝트도 깃허브에서 확인했다고 밝혔다.

악성코드 체인도 다단계로 설계됐다. 카스퍼스키는 이번 조사에서 최소 7개의 다중 구성요소 감염 체인과 키로거, 정보 탈취 악성코드 묶음을 새로 확인했다고 밝혔다. 이 가운데 일부는 비밀번호뿐 아니라 아마존웹서비스(AWS), 솔라나, 챗GPT 계정 정보까지 노린 것으로 분석됐다.

생성형 AI 활용 정황도 포착됐다. 카스퍼스키는 가짜 화상통화 참가자 프로필 이미지 일부가 GPT-4o로 보정되거나 생성된 것으로 확인됐다고 밝혔다. 또 악성 스크립트 일부에서는 생성형 AI가 작성한 것으로 추정되는 주석도 발견됐다고 설명했다.

피해는 여러 국가에서 확인됐다. 카스퍼스키 텔레메트리에 따르면 고스트콜 피해자는 2023년 이후 일본, 이탈리아, 프랑스, 싱가포르, 튀르키예, 스페인, 스웨덴, 인도, 홍콩에서 확인됐다. 고스트하이어는 올해 캠페인 재개 뒤 일본과 호주에서 피해가 식별됐다. 피해자 다수는 아시아태평양 지역, 특히 싱가포르와 홍콩의 웹3·블록체인 업계 기술 기업과 벤처캐피털 임원이었다.

카스퍼스키는 인프라, 악성코드, 공격 방식, 최종 표적, 공격 동기를 종합해 중간~높음 수준의 신뢰도로 블루노로프를 이번 두 캠페인의 배후로 지목했다.

이효은 카스퍼스키 한국 대표는 웹3 업계 종사자라면 텔레그램을 통한 갑작스러운 투자 제안이나 채용 제안, 짧은 시간 안에 코드 실행을 요구하는 상황을 특히 경계해야 한다고 말했다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network

일간 바이라인 구독하기

곽중희

사람을 위한 보안을 취재합니다. 끝까지 배우며 글로 나아가겠습니다.

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다


The reCAPTCHA verification period has expired. Please reload the page.

[무료 웨비나] IdentityTV 2026: 아이덴티티 보안의 미래를 지금 확인하세요.

일시 : 2026년 7월 9일 (목) 14:00 ~ 15:40