북한 정부와 연계된 해커들이 대규모 다국적 IT 기업을 대상으로 비트코인 등 가상화폐를 탈취하기 위한 소셜 엔지니어링 사기를 확대하고 있습니다.
사이버 보안 콘퍼런스인 사이버워콘(Cyberwarcon)에서 연구자들은 ’사파이어 슬리트(Sapphire Sleet)’와 ’루비 슬리트(Ruby Sleet)’라는 두 개의 북한 해커 그룹을 확인했습니다.
사파이어 슬리트는 합법적인 채용 담당자로 가장하여 가짜 구직 제안을 통해 피해자를 유인하고, 인터뷰 과정에서 PDF 파일이나 악성 링크를 통해 피해자의 컴퓨터에 악성코드를 감염시켰습니다.
루비 슬리트는 미국, 영국, 한국의 항공우주 및 방위 계약업체에 침투하여 군사 기밀을 탈취했습니다.
또한, 북한 IT 인력들은 인공지능(AI), 소셜 미디어, 음성 변조 기술을 활용하여 가짜 신원을 만들어 기업에 침투하고 채용 사기를 수행했습니다.
이러한 수법은 가상화폐 기업을 대상으로도 사용되고 있습니다.
2024년 8월, 온체인 분석가 잭XBT(ZachXBT)는 가짜 신원을 사용하여 다양한 가상화폐 프로젝트에 참여한 것으로 추정되는 21명의 개발자를 확인했습니다.
9월에는 미국 연방수사국(FBI)이 북한 해커들이 채용 제안으로 위장한 악성코드를 통해 가상화폐 기업과 탈중앙화 금융 프로젝트를 노리고 있다는 경고를 발표했습니다.
10월에는 코스모스(Cosmos) 생태계의 리퀴드 스테이킹 모듈이 북한 개발자들에 의해 구축되었다는 우려가 제기되었습니다.
이러한 공격은 기업과 개인 모두에게 심각한 위협이 되고 있으며, 이에 대한 경계와 대비가 필요합니다.