북한 배후 해커 그룹이 메타마스크(Metamask)와 같이 이더리움(ETH) 및 바이낸스 스마트 체인(BSC) 지갑을 조심스럽게 노린 악성코드 공격을 감행하며, 이로 인해 약 2조 7,800억 원(20억 달러) 상당의 암호화폐가 탈취된 것으로 분석되고 있다. 보안업체인 시스코 탈로스(Cisco Talos)에 따르면, 이들은 취업 사기를 가장한 소셜 엔지니어링 기법과 변조된 자바스크립트 파일을 적절히 조합하여, 많은 암호화폐 지갑 사용자들의 개인 정보를 대규모로 빼내는 데 성공했다.
해커들은 가짜 암호화폐 애플리케이션과 npm 패키지를 통해 웜을 설치하며, 이를 통해 ‘오터쿠키(OtterCookie)’ 또는 ‘비버테일(BeaverTrail)’이라는 이름의 악성코드를 배포했다. 이러한 악성코드는 키보드 입력, 클립보드 내용, 암호화폐 지갑 확장 파일, 그리고 브라우저 스크린샷을 수집해 해커의 서버로 전송할 수 있는 고도로 발전된 기능을 가지고 있다. 특히 멀티체인 지갑 사용자를 주요 타깃으로 하여 정밀한 공격을 전개하였다.
공격자는 취업 공고나 프리랜서 일거리와 같은 미끼로 피해자를 클릭하도록 유도한 다음, 난독화된 자바스크립트 코드를 삽입하여 이를 실행했을 때 즉시 민감한 정보가 유출되도록 설계한 것으로 보인다. 피해자가 해당 악성코드를 실행하게 되면, 내부 지갑의 시드 구문, 확장 프로그램 데이터 및 로그인 인증 정보가 체계적으로 수집되고 전송되는 위험에 처하게 된다.
이에 대해 시스코 탈로스는 사용자가 이러한 위험에 노출되었다고 의심될 경우, 지갑의 핫월렛을 즉시 폐기해야 하며, 자금 이동 및 토큰 승인 철회 작업을 최우선으로 시행해야 한다고 경고했다. 또한, 감염 가능성이 있는 디바이스는 운영체제를 포맷한 후 재설치해야 하며, 민감한 작업은 가상 머신(VM)이나 컨테이너 환경에서 수행하는 것을 추천하고 있다.
북한의 해킹 조직이 무려 2조 7,800억 원에 해당하는 암호화폐를 탈취한 이번 사건은 단기간에 이루어진 것으로, 테크크런치(TechCrunch) 보도에 따르면 2025년 들어 북한 해킹과 관련된 범죄 규모는 누적 약 8조 3,400억 원(60억 달러)에 달하는 것으로 나타났다. 분석기관 일립틱(Elliptic)에 따르면, 북한의 사이버 범죄 기조는 여전히 지속되고 있으며 멀티체인 자산 및 브라우저 기반 지갑을 주로 겨냥하는 추세에 있다.
이 사건은 암호화폐 투자 및 운용에서 보안이 기술적인 측면을 넘어서 가장 기본적이고도 결정적인 요소임을 다시 한번 일깨워 주고 있다. 사용자 개개인의 경각심과 판단이 전체 자산을 좌우할 수 있는 만큼, 의심스러운 코드 실행이나 채용 제안은 반드시 신중히 검토하고 진행해야 한다는 중요한 교훈을 남기고 있다.
