
Blast 생태 프로젝트, 6000만 달러 해킹당해…북한 해커의 소셜 엔지니어링에 당하다
글: Joyce
팀 내 해커 잠복, 블라스트 생태 프로젝트 Munchables에서 6000만 달러 유출
오늘 아침, 블라스트(Blast) 생태 게임 프로젝트인 Munchables는 공격을 당했다고 발표했으며, PeckShield의 모니터링에 따르면 Munchables의 락업 계약에 문제가 있어 1.74만 ETH(약 6230만 달러)가 도난당한 것으로 확인됐다.

체인상 탐정 ZachXBT의 조사에 따르면 이번 공격은 Munchables 프로토콜 개발자인 북한 해커에 의해 발생했다. 슬로우미스트(SlowMist) 창립자 코사인(Cosine)은 소셜 미디어를 통해 "이번 사건은 슬로우미스트가 확인한 최소 두 번째 DeFi 프로젝트 관련 유사 사례다. 핵심 개발자가 오랫동안 위장 잠복해 전체 팀의 신뢰를 얻은 후 적절한 시기에 무자비하게 행동하는 경우다. 피해자는 적지 않을 것이다."라고 설명했다.

북한 해커들의 익숙한 전략: 개발자 팀의 신뢰를 노린 공격
북한 해커들은 암호화폐 분야에서 가장 악명 높은 존재다. 사이버 보안 회사 Recorded Future의 보고서에 따르면, 가장 유명한 북한 해커 그룹인 라자루스 그룹(Lazarus Group)은 지난 6년간 30억 달러 상당의 암호화폐를 훔쳤으며, 2022년 한 해에만 17억 달러를 탈취했다.
프로토콜 기술 취약점을 이용하는 기술형 해커와 달리, 북한 해커들은 종종 프로토콜 뒤에 있는 개발자 팀을 표적으로 삼아 신뢰를 악용하고 기회를 엿보다가 도난을 감행한다. 이번 Munchables 공격 사건도 마찬가지다.
구글 보안팀은 2021년, 라자루스 그룹이 트위터, 링크드인, 텔레그램 등의 소셜미디어에 장기간 잠복해 가짜 정체성을 이용해 활발한 업계 취약점 연구 전문가로 위장함으로써 업계의 신뢰를 얻고 다른 취약점 연구원들을 대상으로 제로데이(0day) 공격을 수행하는 것을 발견했다.
보안회사 맨디언트(Mandiant Inc.)의 연구원들은 2022년, 북한 출신 구직자로 의심되는 인물의 이력서에서 다른 일반 구직자들과 거의 동일한 정보를 발견했는데, 해당 해커는 링크드인과 Indeed의 직무 정보를 복제해 미국 내 일부 암호화폐 회사에 지원할 수 있을 정도로 능숙했다고 밝혔다.
해커가 개발자로 위장해 팀에 잠입하는 것 외에도, 북한 해커들은 종종 고객이나 고용주로 위장해 개발자들에게 접근하기도 한다.
2022년 액시 인피니티(Axie Infinity) 게임의 사이드체인 론인(Ronin)에서 6억 달러가 도난된 사건은 암호화폐 분야에서 가장 큰 규모의 유출 사고였다. 처음 론인 팀은 검증기 노드가 공격당한 것이 원인이라고 파악했지만, 이후 조사 과정에서 북한 해커 조직 라자루스 그룹이 가짜 회사를 만들어 링크드인을 통해 고액 연봉 제안으로 액시 인피니티 개발사 스카이 매비스(Sky Mavis)의 고급 엔지니어에게 접근했던 사실이 드러났다.
매력적인 고액 연봉 제안에 액시 인피니티의 고급 엔지니어는 '채용 기회'에 관심을 보였고 여러 차례의 '면접'을 거쳤다. 그 중 한 번의 '면접'에서 엔지니어는 직무 관련 자세한 정보가 담긴 PDF 파일을 받았다.
하지만 이 파일은 실제로는 해커가 론인 시스템에 침입할 수 있는 입구 역할을 했다. 해당 직원이 회사 컴퓨터에서 파일을 다운로드하고 열면서 감염 체인이 시작되었고, 이를 통해 해커는 론인 시스템에 침투해 4개의 토큰 검증기와 하나의 액시 DAO 검증기를 장악할 수 있었다.
이러한 공격은 APT(Advanced Persistent Threat) 공격으로 불리며, 슬로우미스트의 MistTrack는 이 방법을 다음과 같이 요약했다. 공격자는 먼저 위조된 신분으로 진짜 사용자를 흉내 내어 심사관의 신뢰를 얻고 실제 고객이 되며, 이후 실제 입금까지 진행한다. 이 고객 신분을 바탕으로 공식 담당자들이 고객(공격자)과 소통할 때, 맥 또는 윈도우용 맞춤형 트로이 목마가 담당자들을 정밀 타깃으로 삼는다. 권한을 확보한 후 내부 네트워크에서 수평적으로 이동하며 장기간 잠복한 다음 자금을 탈취하는 방식이다.
이번 사건으로 돌아가 보면, Munchables의 유출 발표 후 Munchables 프로토콜과 연관된 블라스트 생태 DeFi 프로토콜은 이번 취약점으로 인한 피해를 평가 중이라고 밝혔다. 다행히 해커는 ETH만 탈취했고, 사용자들이 예치한 WETH에는 영향이 없었다. 또 다른 블라스트 생태 프로토콜도 Munchables 공격 피해자들에게 포인트를 에어드랍할 예정이라고 발표했다.
애비고치(Aavegotchi)의 창립자 CoderDan은 이후 소셜 미디어를 통해 "애비고치 개발팀인 픽셀크래프트 스튜디오(Pixelcraft Studios)는 2022년에 Munchables 공격자가 된 인물을 일시적으로 고용해 일부 게임 개발 업무를 맡겼던 적이 있다. 그의 기술 수준은 매우 형편없었고, 실제로 북한 해커 같다는 느낌을 받았으며, 한 달 만에 해고했다. 그는 우리에게 자신의 친구도 고용하라고 시도했는데, 그 사람 역시 아마도 해커일 가능성이 크다."라고 언급했다.
CoderDan은 또한 Munchables 팀에 그 해커가 픽셀크래프트 스튜디오 재직 당시 사용하던 주소를 제공하며, 이러한 단서들이 Munchables의 자금 회수에 도움이 되길 바란다고 전했다.
암호화 세계의 어두운 숲 속에서는 숨겨진 위험이 항상 도사리고 있으며, 사용자든 프로젝트 관계자든 모두 경계심을 높이고 충분한 보안 대비를 해야 한다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News












