'코인 지갑이 텅 비었다'… 北 해커, 가짜 코딩테스트로 개발자 PC 정조준

내 컴퓨터에 깔린 코인 지갑은 안전한가. 채용 담당자가 보낸 '코딩 과제' 파일 하나를 열었을 뿐인데 브라우저에 연결해 둔 암호화폐 지갑이 통째로 비워진다면, 그 함정은 이미 국내 개발자와 투자자의 책상 앞까지 와 있다.

미국 보안기업 프루프포인트(Proofpoint)가 지난 5일(현지시각) 공개한 위협분석 보고서와 보안 전문매체 SC미디어의 9일(현지시각) 보도를 보면, 'UNK_DeadDrop'으로 불리는 북한 연계 해킹조직이 가짜 채용 제안과 코딩 과제를 미끼로 개발자 컴퓨터에 악성 코드를 심은 뒤 암호화폐와 계정 정보를 빼돌리는 공격을 벌이고 있다.

이 조직은 올해 4월부터 5월까지 6주 동안 전 세계 100곳에 가까운 기업과 기관에 피싱 메일 250여 건을 뿌렸다. 표적은 미국의 기술·교육·금융·미디어·통신 기업에 몰렸고, 그 가운데 암호화폐 업계가 핵심 사냥터였다.

블록체인·디파이(분산금융) 개발자, 보안 연구원, 인공지능(AI) 엔지니어처럼 지갑과 개발 계정에 접근 권한을 쥔 인력을 노렸다.
채용·코드 점검 요청으로 위장…'tasks.json' 한 줄이 방아쇠

이번 수법의 핵심은 개발자가 날마다 쓰는 작업 환경 자체를 함정으로 바꿔 놓은 데 있다.

공격자들은 분산금융 기업 온도파이낸스(Ondo Finance), 원격의료 업체 너리시(Nourish), 웹3·AI 인재 회사 하이픈커넥트(Hypen Connect)의 채용 담당자를 사칭해 "개발직에 지원하고 코딩 과제를 풀어 달라"는 메일을 보냈다.

올해 5월에는 펄싱크(Pulsynk), 트릭사우벡스(Trixauvex)라는 가짜 암호화폐 회사를 내세워 "오픈소스 코드를 점검해 달라"며 접근법을 바꾸기도 했다.

어느 쪽이든 메일에는 깃허브(GitHub)나 깃랩(GitLab) 저장소 주소가 담겼고, "VS코드(Visual Studio Code)나 커서(Cursor) 같은 편집기에서 내려받아 열어 보라"는 안내가 붙었다.
함정은 저장소에 숨겨 둔 'tasks.json' 파일이었다. 이 파일에 적힌 'runOn: folderOpen' 설정은 폴더를 편집기에서 여는 순간 미리 짜 둔 작업을 스스로 실행하는 정상 기능이다. 개발자가 과제를 확인하려 폴더를 여는 그 순간, 악성 스크립트가 곧장 가동되는 구조다.

프루프포인트는 VS코드가 작업을 실행하기 전 신뢰 여부를 묻는 경고창을 띄우는 반면, 개발자 사이에서 빠르게 퍼진 AI 코딩도구 커서는 경고 한 번 없이 곧바로 실행한다고 지적했다. 클릭 한 번 할 틈도 없이 감염이 시작될 수 있다는 뜻이다.


악성 코드는 운영체제(OS)마다 다르게 움직였다. 맥OS와 리눅스에서는 오픈소스 명령제어(C2) 도구 '오버로드(Overlord)'를 원격제어 통로로 삼아 공격자 서버와 상시 연결을 유지했다.

윈도우에서는 별도 파일을 디스크에 남기지 않고 편집기의 일렉트론(Electron) 프로세스 안에서 자바스크립트로만 정보를 빼내 흔적을 줄였다.

빼돌리는 과정은 치밀했다. 악성 코드는 지갑 확장 프로그램과 독립형 지갑 폴더를 먼저 압축해 서버로 보낸 뒤, 5분쯤 기다렸다가 가짜 비밀번호 입력창을 띄웠다.

맥에서는 별도 실행파일, 리눅스에서는 표준 대화상자 도구 제니티(Zenity)를 동원해 진짜 보안창처럼 꾸몄다. 사용자가 비밀번호를 입력하면 이를 가로채 관리자 권한으로 키체인과 비밀번호 저장소를 통째로 긁어냈다.

프루프포인트 분석을 보면 이 코드는 메타마스크·팬텀 같은 브라우저 지갑 확장 35종과 엑소더스·레저라이브 같은 독립형 지갑 앱 18종을 노렸고, 크로미엄·파이어폭스 브라우저의 비밀번호와 쿠키까지 가져갔다.

일을 마친 뒤에는 저장소 안 흔적을 스스로 지웠지만, 악성 편집기 확장(VSIX)을 심어 맥과 리눅스에서는 다시 실행되도록 뿌리를 박아 뒀다.


이번 공격은 어느 날 갑자기 튀어나온 것이 아니다.

프루프포인트는 UNK_DeadDrop이 2022년 말부터 이어진 북한의 대표 사회공학 공격 '컨테이저스 인터뷰(Contagious Interview)'와 표적·기법·목적에서 상당 부분 겹친다고 봤다.

채용이나 코딩테스트를 빌미로 악성 코드를 심어 가상자산 지갑과 개발자 자산을 노리는 방식이 같은 계보라는 것이다.

'tasks.json 자동실행' 악용은 지난해 12월부터 나타난 수법이다. 일본 NTT시큐리티는 컨테이저스 인터뷰와 연계된 조직(워터플럼·WaterPlum)이 지난해 12월부터 같은 자동실행 기능으로 '스토트와플(StoatWaffle)' 악성 코드를 퍼뜨렸다고 분석했다.

미국 보안기업 익스펠(Expel)은 북한 국가지원 조직 '페이머스 천리마(Famous Chollima)'와 연계된 활동을 통해 올해 1분기에만 개발자 컴퓨터 2726대에서 지갑 2만 6584개가 털렸고, 피해액이 1200만 달러(약 182억 원)에 이른다고 추정했다. 익스펠은 이 조직이 6개 팀·31명으로 짜인 조직임을 확인했다고 밝혔다.

프루프포인트는 UNK_DeadDrop을 별개 활동군으로 추적하고 있다. 링크드인 같은 누리소통망(SNS) 대신 이메일을 대량으로 뿌리고, 악성 실행파일을 외부 서버가 아니라 저장소 안에 통째로 심어 인프라 차단에 강하게 만든 점이 기존과 다르기 때문이다.

프루프포인트 위협분석팀은 보고서에서 "새 저장소를 끊임없이 만들고 은밀한 지속 수법까지 갖춘 점은 전담 인력과 적극적인 도구 개발을 보여 준다"며 북한의 금전 탈취 작전이 산업화하고 있다고 진단했다.


개발자를 노린 공격은 북한의 가상자산 사냥이라는 큰 흐름에서 한 갈래일 뿐이다. 블록체인 분석기업 체이널리시스에 따르면, 북한 연계 해커들이 지난해 빼돌린 가상자산은 20억 2000만 달러(약 3조 784억 원)로, 전년보다 51% 많은 역대 최대 규모다. 2016년 이후 알려진 누적 탈취액은 67억 5000만 달러(약 10조 2856억 원)까지 불었다.

눈여겨볼 대목은 공격 건수가 줄었는데도 피해 금액은 사상 최대로 치솟았다는 점이다. 지난해 개인 지갑을 뺀 서비스 침해 가운데 76%가 북한 소행으로 역대 최고 비중을 기록했다. 잔챙이를 여러 번 터는 방식에서 거래소 한 곳을 통째로 노리는 '한 방 대형 강도'로 무게추가 옮겨 갔다는 의미다.

지난해 2월 두바이 거래소 바이비트(Bybit)에서 사라진 14억~15억 달러는 단일 사건 사상 최대 규모로, 그해 북한 탈취액의 약 40%를 한 건이 채웠다.

체이널리시스는 이런 대형화의 동력으로 '내부자 침투'를 꼽았다. 북한이 거래소·수탁업체·웹3 프로젝트에 IT 인력을 위장 취업시켜 시스템 접근권을 쥔 뒤 막판에 대형 침해를 일으킨다는 것이다.

빼돌린 돈은 평균 45일에 걸쳐 50만 달러 미만 소액으로 잘게 쪼갠 다음 중국어권 자금세탁망을 거쳐 현금으로 바뀌었다. 개발자를 노린 이번 공격은 그 거대한 톱니바퀴로 먹잇감을 밀어 넣는 입구인 셈이다.


남의 나라 이야기로 넘길 수 없다.

체이널리시스는 지난해 주요 사례로 국내 거래소 업비트에서 빠져나간 3000만 달러(약 457억 원)를 꼽았다. 올해 4월 중순에는 분산금융 플랫폼 켈프다오(Kelp DAO)에서 2억 9000만 달러(약 4419억 원)가 사라져, 보안업계가 라자루스(Lazarus) 조직을 유력한 배후로 정조준했다.

개발자를 겨눈 이번 공격도 국내와 무관치 않다. 데일리시큐 등 국내 보안매체는 이 공격을 전하며, 외부 저장소를 습관처럼 복제해 여는 개발자의 작업 방식을 거꾸로 이용한 점에 주목했다.

블록체인·디파이·AI 개발 인력층이 두꺼운 한국 역시 충분히 표적이 될 수 있다는 의미다. 보안기업 그룹아이비는 사기 원격고용으로 글로벌 기업에 파고드는 북한 IT 인력 조직을 따로 포착하기도 했다.

문제의 무게는 빼돌린 돈이 어디로 흘러가느냐에 있다. 우리 외교부는 북한이 불법 사이버 활동으로 가져간 자금이 핵·미사일 개발비의 약 40%, 전체 외화 수입의 절반가량을 메우는 것으로 보고 있다.

미국 국무부도 북한의 불법 사이버 활동을 최우선 안보 위협으로 규정했다. 코인 투자자나 개발자 한 사람의 무심한 클릭이 북한 무기 개발의 돈줄로 이어질 수 있다는 뜻이다. 외교부는 한·미 범부처 실무그룹을 통해 북한의 가상자산 탈취 자금을 추적·차단하고 IT 인력의 수익과 자산을 압류하고 있다고 밝혔다.


방어의 출발점은 믿고 쓰던 도구도 함정이 될 수 있다는 인식이다.

마이크로소프트(MS)는 잇단 악용에 맞서 올해 2월 VS코드 1.109·1.110 판에서 자동실행 기능을 기본으로 막고, 새 작업공간에서 자동실행 작업이 잡히면 신뢰를 승인한 뒤에도 한 번 더 경고하도록 보안을 강화했다.

악성 저장소가 자체 설정 파일로 사용자 보안설정을 덮어쓰지 못하게 막는 장치도 넣었다. VS코드·커서 사용자가 최신판으로 갱신하는 것이 첫 방어다.

보안업계 안팎에서는 ▲채용·코드 점검을 빌미로 받은 출처 불명 저장소를 편집기에서 곧바로 열지 말고(특히 경고창을 띄우지 않는 커서 사용자) ▲작업 자동실행 기능을 함부로 켜지 말며 ▲코드 작업 도중 갑자기 뜨는 시스템 비밀번호 창을 의심하고 ▲거액 자산은 인터넷과 끊어 둔 콜드월렛에 따로 보관하며 ▲철자를 미세하게 바꾼 신규 도메인 발신 메일을 경계하라는 권고가 나온다.

북한의 가상자산 탈취 작전은 시스템 허점이 아니라 개발자의 신뢰와 일하는 습관을 파고드는 쪽으로 옮아가고 있다. 보안업계에서는 익숙한 도구일수록 한 번 더 의심하는 경계가 가장 단단한 방어막이라는 평가가 나온다.


진형근 글로벌이코노믹 기자 jinwook@g-enews.com