<em>포춘</em>지 기자: 북한 해커가 난무한다는 걸 알면서도 나는 여전히 해킹당했다
글쓴이: 벤 와이스(Fortune지)
번역: 러피(Foresight News)
3월 하순, 나는 Fortune지의 IT 관리자로부터 불안감을 자아내는 메시지를 받았다. “시스템 취약점을 노출시키는 프로세스가 감지되었습니다.” 그는 누군가 이미 내 컴퓨터에 침입했을 가능성을 언급하며 “이 프로세스를 중단해야 합니다”라고 썼다. 나는 즉시 당황했다.
나중에 IT 부서가 로그를 분석한 결과에 따르면, 내가 당일 오전 11시 04분에 다운로드한 파일은 키보드 입력 기록, 화면 녹화, 비밀번호 탈취 및 다양한 애플리케이션 접근 권한을 갖추고 있었다.
나는 즉시 노트북을 닫고 브루클린 아파트를 뛰쳐나가 가까운 지하철역으로 향했다. 회사로 가는 지하철을 기다리는 동안 나는 편집자에게 이렇게 메시지를 보냈다. “제가 북한 해커의 피싱 공격을 당한 것 같아요. 웃겨 죽겠네요.”
나는 평소부터 북한 관련 뉴스를 꾸준히 보도해 왔으며, 이 나라가 미국 투자자를 주요 표적으로 삼고 있다는 사실도 잘 알고 있었다. 그러나 유명무실한 이 해커 집단이 나를 직접 노리고, 그들의 교묘한 속임수를 직접 체험하게 만들 리라곤 전혀 예상하지 못했다.
마치 사기처럼 느껴졌다
이 ‘은둔의 왕국’은 수년간 암호화폐 업계를 꾸준히 공격해 왔다. 국제 제재로 인해 북한은 글로벌 금융 시스템에서 배제되었고, 국가 차원의 암호화폐 도난을 통해 재정적 생존을 유지해야만 했다.
암호화폐 데이터 분석 기업 체인얼리시스(Chainalysis)의 자료에 따르면, 2025년 한 해 동안 북한과 연계된 해커들이 훔친 암호화폐 가치는 20억 달러에 달했으며, 전년 대비 약 50% 증가했다.
북한 해커들은 기업에 IT 직원으로 고용되도록 설득하는 식의 반복적이고 효과적인 사기 수법을 개발해 왔다. 이번에 나를 속이기 위해 사용한 수법 역시 그 일환이다.
북한 해커는 3월 중순경 함정을 설치했다. 미끼는 한 헤지펀드 투자자로부터 온 텔레그램 메시지였는데, 이 애플리케이션은 암호화폐 업계에서 가장 널리 쓰이는 커뮤니케이션 도구다. 이 투자자의 신원은 보도상 익명으로 처리해야 하므로 이름을 밝히지 않겠다. 그는 과거 내 보도에서 익명의 정보제공자로 등장했던 인물이었다.
그는 내가 애덤 스윅(Adam Swick)이라는 사람을 알아보는 것을 원하느냐고 물었다. 스윅은 비트코인 채굴 기업 마라 홀딩스(MARA Holdings)의 전 최고 전략 책임자(CSO)였다. 나는 “네, 좋습니다. 그분은 늘 친절하고 믿을 만합니다”라고 답했고, 이후 그룹 채팅방에 초대되었다.
그는 스윅이 새로운 디지털 자산 금고를 설립하려 한다고 말했다. “잠재적 대규모 시드 투자자가 이미 확정됐다”고도 했다. 이 프로젝트는 여러 면에서 의심스러웠지만, 일단 그가 무슨 말을 할지 들어보기로 했다.
그는 텔레그램을 통해 나와 통화를 제안했다. 일주일 후, 이 익명의 정보제공자가 나에게 줌(Zoom) 회의 링크처럼 보이는 URL을 보냈다. 나는 링크를 클릭했다.
실행된 프로그램 인터페이스는 내가 매일 사용하는 줌과 거의 유사했지만, 세부 디자인에서 약간의 어색함이 느껴졌고, 특히 오디오가 전혀 출력되지 않았다. 시스템은 오디오 문제를 해결하기 위해 소프트웨어를 업데이트하라고 안내했고, 동시에 스윅은 이렇게 메시지를 보냈다. “당신 쪽 줌에 문제가 있는 것 같네요.” 나는 바로 업데이트 패키지를 다운로드했다.
브라우저에 표시된 링크와 텔레그램에서 받은 링크가 일치하지 않는다는 사실을 눈치 챘을 때, 나는 즉각 경계를 늦추지 않았다. 나는 회의를 구글 미트(Google Meet)로 변경하자고 제안했다. “이 상황이 정말 사기처럼 느껴집니다.” 나는 그룹 채팅방에서 스윅과 정보제공자에게 이렇게 말했다.
스윅은 여전히 고집을 부렸다. “걱정하지 마세요. 제가 제 컴퓨터에서 방금 테스트해 봤는데 아무 문제 없었습니다.”
나는 맥(Mac)에서 그 스크립트를 실행하지 않고 즉시 줌 회의를 종료했다. “대화를 하고 싶다면 구글 미트를 쓰세요.” 나는 텔레그램에서 이렇게 답장을 보냈다. 그러자 정보제공자는 나를 즉시 그룹 채팅방에서 강퇴했다.
바이러스식 연쇄 침투
나는 아파트를 뛰쳐나가 IT 부서로 향하는 길에, 베테랑 보안 연구원 테일러 모나한(Taylor Monahan)에게 메시지를 보냈다. 그녀는 암호화폐 도난 피해자들을 돕는 자원봉사 단체 ‘SEAL 911’의 구성원이다. 나는 다운로드한 스크립트와 영상 회의 링크를 그녀에게 전송했다.
“이건 북한 해커가 한 짓입니다.” 그녀는 몇 초 만에 바로 답장을 보내왔다.
만약 내가 당시 그 스크립트를 실행했다면, 해커는 내 비밀번호, 텔레그램 계정, 그리고 보유한 모든 암호화폐를 탈취했을 것이다. 다행히도 나는 소량의 비트코인과 몇 가지 다른 암호화 자산만 보유하고 있었다.
해킹 공격의 특성상 범인을 100% 특정하기는 어렵지만, 이번 사건에서는 모나한이 내게 설명한 바에 따르면, 링크, 스크립트, 심지어 위조된 스윅 계정까지 모든 단서가 북한을 가리키고 있었다. 조사관들은 블록체인 분석을 포함한 다각적 증거를 종합하여 이 사건을 북한과 연결짓는다. 또 다른 두 명의 북한 해커를 장기간 추적해 온 보안 연구원들도, 내가 전송한 스크립트와 링크를 검토한 후 같은 결론을 내렸다.
“그 북한 해커한테 인사 좀 전해 주세요, 하하.” 모나한은 나를 노린 그 해커를 가리켜 이렇게 말했다.
모나한과 다른 보안 연구원들은 지금까지 수백 건의 암호화폐 업계 내 위조 영상 회의 피싱 사례를 처리해 왔다. 이 수법은 양식화되어 있지만 매우 효과적이다.
해커는 먼저 실제 사용자의 텔레그램 계정을 장악한 후, 그 사용자의 연락처 목록에 있는 사람들을 공격 대상으로 삼는다. 피해자는 영상 회의에 참여하도록 유도되지만, 회의 중 오디오가 정상 작동하지 않는 문제가 발생한다. 이후 피해자는 오디오를 ‘수정’하기 위한 업데이트 프로그램을 실행하도록 유도된다. 스크립트가 실행되면 해커는 피해자의 암호화폐 자산, 비밀번호, 텔레그램 계정 등을 탈취할 수 있다.
실제로 구글이 수요일 발표한 보고서에 따르면, 나를 공격한 이 북한 해커 집단은 광범위한 소프트웨어 개발자들을 대상으로 한 추가 공격도 계획 중이다.
나는 람보르기니를 타는 비트코인 부자도 아니고, 모나한은 북한 해커들이 부유층만을 겨냥하지 않는다고 말했다. 오히려 최근 암호화폐 업계 기자들이 점점 더 빈번히 표적이 되고 있는데, 이는 기자들의 텔레그램 연락처 목록에 많은 인맥이 존재하기 때문이며, 그 인맥 속에는 암호화폐 부자들이 상당수 포함되어 있을 가능성이 높기 때문이다.
바이러스가 건강한 세포를 장악하듯, 해커는 이 계정들을 점령한 후, 해당 계정의 연락처 목록에 있는 사람들을 차례로 공격한다. 나 역시 그렇게 거의 속을 뻔했다. 나는 자신이 익숙한 사람과 대화하고 있다고 생각했기에 경계심을 낮췄던 것이다.
‘가짜 나’
나는 컴퓨터를 완전히 초기화하고 모든 비밀번호를 변경한 후, IT 관리자에게 여러 차례 감사를 표한 뒤, 결국 그 익명의 정보제공자에게 전화를 걸었다. 예상대로, 그의 텔레그램 계정은 이미 3월 초에 해킹당한 상태였다.
“텔레그램 연락처 목록에는 많은 사람들이 저장돼 있지만, 스마트폰이나 컴퓨터에는 별도로 저장해 두지 않았어요.” 그는 말했다. “하지만 더 힘든 건, 누군가 제 이름을 도용해 저를 사칭하며 다른 사람을 속이고 있다는 사실입니다. 이런 침해감은 정말 참기 힘들어요.”
그는 세 주 동안 텔레그램 측에 여러 차례 도움을 요청했으나, 아무런 응답을 받지 못했다. 텔레그램 측 대변인은 성명을 통해 “텔레그램은 계정 보호를 위해 최선을 다하고 있으나, 어떤 플랫폼도 사용자가 사기를 당하는 것을 완전히 막을 수는 없다”고 밝혔다. 이어 그는 “귀하의 연락 후, 해당 헤지펀드 투자자의 계정을 즉시 차단했다”고 덧붙였다.
나는 진짜 애덤 스윅에게도 연락했다. 그는 2월 초부터 텔레그램에서 자신을 사칭하는 계정을 발견했으며, 전 마라 홀딩스 고위 임원인 그는 수많은 문자와 전화를 받으며, 왜 영상 회의를 제안했느냐고 질타받았다. 그는 매번 사과만 반복할 수밖에 없었다.
“하지만 일부 사람들은 오히려 이렇게 묻더군요. ‘형, 왜 사과해?’” 스윅은 말했다. “그때마다 저는 ‘잘 모르겠어요. 가짜 제가 한 짓에 대해 사과드리는 겁니다… 이런 일이 일어나서 정말 죄송합니다’라고 대답할 수밖에요.”
스윅은 자신을 사칭하는 이유를 알지 못했고, 내 정보제공자 역시 자신의 텔레그램 계정이 어떻게 해킹당했는지도 몰랐다. 그러나 통화가 끝나기 직전, 우리는 갑작스럽게 가능한 해답을 찾았다.
이 투자자의 텔레그램 계정이 해킹되기 직전 마지막으로 연락했던 사람 중 한 명이 바로 위조된 스윅이었다. “저는 그와 줌 회의를 했는데, 그쪽 오디오가 연결되지 않았어요.” 내 정보제공자가 말했다. “뭔가를 다운로드했다는 기억이 희미하게 남아 있어요.”
즉, 내 정보제공자 역시 동일한 해커 집단에 의해 공격받았을 가능성이 높다는 뜻이다. 우리가 그의 컴퓨터도 이미 감염됐을 수 있다는 사실을 깨달았을 때, 이 헤지펀드 투자자는 즉시 전화를 끊고 자신의 컴퓨터를 초기화했다.
나는 위조된 애덤 스윅 계정에 이렇게 메시지를 보냈다. “이 계정은 북한 해커가 통제하고 있습니까?”
지금까지 나는 어떤 답변도 받지 못했다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
@FortuneMagazine
