바이낸스의 창립자 장펑 자오(Changpeng Zhao, CZ)가 북한 해커들이 위장 취업을 통해 암호화폐 기업에 침투하려는 시도가 급증하고 있음을 경고했다. 그는 최근 X(구 트위터)를 통해 이러한 해커들이 구직자, 고용주, 고객 등으로 위장하여 기업 내부에 접근하고 있다는 사실을 공유하며, 공격이 점점 더 정교해지고 있다고 설명했다.
CZ는 북한 해커들이 특정 직군, 특히 개발, 보안, 재무 분야에서 활동하는 암호화폐 기업의 고용 절차를 악용하고 있다고 지적했다. 이들은 허위 이력서, 가짜 면접 대화 및 위조된 정부 신분증 등을 통해 실제 구직자로 가장하고 내부 액세스 권한을 획득하는 전략을 사용한다. 심지어 고용주로 변장하여 면접을 주도한 후, ‘줌(Zoom)에서 문제가 발생했다’는 이유로 악성코드가 담긴 파일을 전송하는 방법도 동원하고 있다.
이 외에도 해커들은 일반 고객을 사칭해 지원 요청 이메일에 악성 링크를 포함시키거나, 기존 직원 및 외부 벤더를 협박 또는 매수하여 민감한 데이터를 빼내는 방식도 자주 활용하고 있다. CZ는 인도에서 고객 지원 아웃소싱 업체가 해킹당한 사건을 언급하며, 이로 인해 미국의 주요 암호화폐 거래소가 400만 달러(약 55억 6천만 원)의 피해를 입었다고 덧붙였다.
이러한 경고는 사이버 보안 단체인 시큐리티 얼라이언스(SEAL)의 발표 이후 나왔다. 이 보고서는 북한 해커 조직이 최소 60개 이상의 가짜 계정을 운영하고 있으며, 그들은 링크드인, 깃허브 등에서 그럴듯한 프로필을 만들어 면접 요청 시 위조된 신분증을 제출하는 정교한 전략을 펼치고 있음을 밝혔다. 기존에는 피싱과 악성코드, 개인 키 탈취에 집중하던 북한 해커들이 이제 인적자원 시스템을 목표로 삼고 있다는 점이 주목받는다.
온체인 분석가 잭XBT(ZachXBT)는 조사 결과, 북한 출신 IT 인력 5명이 30개 이상의 가짜 신원을 이용해 암호화폐 기업들과 계약을 체결한 사실을 밝혀냈다. 또한, 코인베이스는 북한 해커들이 자사의 원격 근무 정책을 겨냥해 침투를 시도하고 있다는 사실을 공개했다. 이에 따라 코인베이스는 보안 절차를 대폭 강화하고, 브라이언 암스트롱 CEO는 미국 내 오프라인 온보딩 의무화, 지문 정보 등록, 시스템 접근 권한을 가진 인력에 대한 미국 시민권 요건 등을 도입하겠다고 발표했다.
CZ는 암호화폐 기업들이 이러한 보안 위협에 대응하기 위해 구직자 서류 검토와 면접 과정, 사내 보안 교육에 더욱 세심한 주의를 기울여야 한다고 강조하며, 특히 “불필요한 파일 다운로드를 절대로 피하라”고 경고했다. 그는 “이제는 기술이 아닌 ‘사람’이 공격의 주요 대상이 되고 있다”며 각별한 대비가 필요하다고 촉구했다.
