북한과 연계된 해커 조직 UNC5324가 퍼블릭 블록체인 기술을 이용하여 암호화폐를 탈취하고 민감 정보를 수집하는 새로운 사이버 공격 수법을 사용하고 있다는 보고가 나왔다. 구글 클라우드의 위협 분석 전문 조직인 GTIG는 2025년 10월 17일 이 해커 조직의 활동을 확인했다.
해커들은 ‘이더하이딩(EtherHiding)’이라는 기법을 사용하여 악성코드의 흔적을 은폐했으며, 이는 국가 지원형 해킹 활동에서 블록체인 기술이 활용된 첫 사례로 평가되고 있다. 이더하이딩 기법은 퍼블릭 및 탈중앙화 블록체인 시스템을 활용하여, 감염된 악성코드가 피해자의 시스템에서 장기간 작동하도록 돕는다.
특히, GTIG는 이 해커들이 ‘컨테이저스 인터뷰’라는 소셜 엔지니어링 공격을 통해 개발자들에게 악성코드를 설치하도록 유도했다. 이는 합법적인 구인 광고를 가장하여 피해자와 신뢰 관계를 형성한 후, 악성 파일을 다운로드하도록 유인하는 전형적인 사회공학적 전략으로, 기존 공격 방식보다 한 단계 더 발전한 형태로 분석되고 있다. 이러한 공격은 윈도우, 맥OS, 리눅스 등 다양한 운영체제에 모두 적용되며, 피해자의 시스템에 침입해 정보를 추출하는 데 성공한 경우도 확인됐다.
이 해커들은 블록체인의 ‘변경 불가능성(Immutable)’ 특성을 활용하여 악성코드를 해당 블록체인에 저장하고 이를 읽기 전용으로 호출하여 지속적으로 명령을 수행하도록 만들었다. 이 방식은 해커가 자신의 실제 위치나 신원을 숨길 수 있게 하여 장기간 은밀하게 시스템을 통제할 수 있도록 한다.
전문가들은 이러한 기술적 진화가 사이버 위협의 복잡성을 더욱 심화시키고 있다고 경고하고 있다. 로버트 월리스 구글 클라우드 맨디언트 컨설팅 총괄은 “국가 지원 해커들은 수사망을 피해가기 위해 최신 기술인 블록체인을 활용하여 악성코드를 변형하고 있다”라고 우려를 표했다.
이와 같은 혁신적인 공격 방식은 기존의 탐지 체계를 우회할 수 있는 새로운 유형의 위협으로 여겨지며, 전통적인 보안 솔루션만으로는 대응에 한계가 있다는 점에서 보안 업계와 정책 당국 모두가 강력한 대응 체계를 마련해야 할 필요성이 제기되고 있다. 블록체인의 익명성과 탈중앙화의 특성을 활용한 사이버 공격이 증가할 경우, 추적과 증거 확보가 더욱 어려워질 수 있다는 점도 우려 사항으로 지적된다. 따라서 이 문제를 해결하기 위해 국제적 협력과 새로운 감시 체계의 구축이 반드시 필요할 것이다.
