북한 해커 조직이 가짜 줌 회의를 활용해 수억 달러에 달하는 암호화폐를 탈취하는 방식의 공격이 발생하고 있다. 보안업체 시큐리티 얼라이언스(SEAL)에 따르면, 이들 해커는 정교한 사회공학적 기법을 동원하여 텔레그램, 캘린들리, 줌 등 다양한 플랫폼을 통해 사용자들을 속이고 있다. 현재까지 이 방식으로 이미 3억 달러에 달하는 금액이 탈취되었다는 경고가 나왔다.
최근 메타마스크의 보안 연구원 테일러 모나한이 이러한 문제를 공개하며 주목을 받았다. 그는 북한 해커 그룹이 가짜 줌 회의 및 팀즈 미팅을 통해 암호화폐 보유자를 대상으로 공격을 감행하고 있다고 경고했다. 모나한에 따르면, 해킹 공격의 시작은 익숙한 대화 상대처럼 보이는 텔레그램 메시지로부터 시작된다. 해커는 피해자가 알고 있는 인물로 위장해 회의 참여를 요청하며, 이후 캘린들리 링크를 통해 가짜 줌 회의를 예약한다. 이 회의에서 송출되는 영상은 실시간이 아니라 사전에 녹화한 것이라 피해자는 실제로 착각하기 쉬운 상황에 놓이게 된다.
회의 중 해커는 음성이 잘 들리지 않는다고 거짓으로 말하며, ‘음질 개선용 SDK’라는 명목으로 악성코드를 포함한 파일을 보내 설치하도록 유도한다. 이 파일에는 원격제어용 트로이목마(RAT)가 포함되어 있어, 설치되는 즉시 피해자의 컴퓨터를 원격으로 제어할 수 있게 된다. 해커는 암호, 개인 키, 내부 보안 프로토콜等 민감한 정보를 수집하며, 이러한 정보들은 단 몇 초만에 암호화폐 지갑이 비워지게 만드는 원인이 된다.
SEAL 측은 사용자가 이러한 가짜 회의에 참여하여 악성코드를 설치할 것을 유도받는 경우, 즉시 WiFi를 끄고 전원을 꺼야 상황을 차단할 수 있다고 조언했다. 이번 공격의 배후에는 북한과 연관된 라자루스 그룹이 있을 가능성도 제기되고 있다. 이들은 과거에도 가짜 채용 공고와 면접 과정을 활용해 암호화폐 기업에 대한 해킹을 감행한 전력이 있다. 특히 최근에는 한국의 대형 거래소인 업비트에서 3,060만 달러를 탈취한 바 있다.
2025년 현재까지 암호화폐 관련 도난 피해액은 약 21억 7,000만 달러에 달하며, 이 중 상당 부분이 북한 해커 조직의 소행으로 추정되고 있다. 보안 전문가들은 이들이 암호화폐 및 블록체인 산업 종사자들을 주요 타깃으로 삼고 있음을 강조하며, 일상적인 화상 회의와 내부 커뮤니케이션을 기반으로 한 사회공학적 공격에 대한 경각심이 필요하다고 경고하고 있다.
보안 관리에 있어 주의해야 할 점은 다음과 같다. 외부 회의 초대장을 받을 경우 발신자의 신원을 반드시 확인하고, 화상 회의 중 소프트웨어 설치 요청이나 파일 다운로드 요구는 철저히 거부해야 한다. 또한, 업무용 계정과 개인 계정을 철저히 분리하여 외부 플랫폼과의 연동을 최소화해야 한다.
