가짜 화상회의·채용 면접으로 침투… Web3 업계 겨냥한 ‘고스트콜’·‘고스트하이어’ 분석
카스퍼스키는 4월 16일 북한 해킹 그룹 블루노로프(BlueNoroff)의 최신 가상자산 탈취 작전인 ‘스내치크립토(SnatchCrypto)’와 관련해, ‘고스트콜(GhostCall)’ 및 ‘고스트하이어(GhostHire)’ 캠페인에 대한 심층 분석 보고서를 발표했다.
카스퍼스키에 따르면 블루노로프는 단순히 암호화폐 지갑만 노리는 것이 아니라, 화상회의와 채용 과정, 이메일, 텔레그램, 클라우드 설정, AI 서비스 계정 등 피해자의 디지털 업무 환경 전반을 장악하는 방향으로 공격 수법을 고도화하고 있다.
이번 보고서는 카스퍼스키 연구진이 2025년 4월부터 두 캠페인을 추적해온 결과를 바탕으로 작성됐으며, 최신 공격 기법과 새롭게 확인된 악성코드 체인이 포함됐다고 업체 측은 전했다.
고스트콜 캠페인은 가짜 화상회의를 이용한 공격 방식이다. 공격자는 벤처캐피털 투자자나 기업가로 위장해 텔레그램 등을 통해 표적에게 접근한 뒤, 위조된 Zoom 링크를 전달한다. 카스퍼스키는 이 과정에서 AI나 딥페이크 영상이 아니라, 과거 다른 피해자로부터 몰래 녹화한 실제 화상회의 영상을 재생해 피해자를 속이는 수법이 사용됐다고 설명했다.
피해자가 가짜 회의 사이트에 접속하면 시스템 오류 메시지와 함께 ‘Zoom SDK 업데이트’ 설치를 유도하는 악성코드 배포 단계로 이어진다. macOS 환경에서는 AppleScript 기반 파일이 다운로드되며, Windows 환경에서는 정상 팝업처럼 보이는 방식으로 악성 명령 실행을 유도한다.
카스퍼스키는 특히 macOS 환경에서 공격자가 TCC(Transparency, Consent, and Control) 보안 체계를 우회해 카메라, 마이크, 문서 폴더 등에 대한 접근 권한을 탈취한 정황도 확인했다고 밝혔다. 또 피해자의 클릭과 행동을 실시간으로 추적하는 기능이 피싱 페이지에 포함된 점도 파악했다고 설명했다.
고스트하이어 캠페인은 가짜 채용 면접을 활용한다. 공격자는 Web3 개발자와 엔지니어를 상대로 미국 금융 서비스 기업의 채용 담당자로 위장한 뒤, 텔레그램과 GitHub를 활용해 기술 과제나 코드 검증을 요구한다. 이 과정에서 약 30분의 시간 제한을 부여해 충분한 검토 없이 악성 파일이나 저장소를 실행하도록 압박하는 방식이 사용된 것으로 분석됐다.
전달되는 프로젝트는 정상적인 DeFi 관련 프로젝트처럼 보이지만, 실제로는 외부 의존성이나 패키지에 악성 요소를 숨겨 탐지를 회피하는 구조를 갖고 있었다. 카스퍼스키는 이와 함께 Go, Swift, C++, Nim 등 다양한 언어로 작성된 다중 구성 요소 감염 체인과 정보 탈취용 악성코드를 확인했다고 밝혔다.
보고서에 따르면 일부 악성코드는 피해자가 입력한 비밀번호의 정확성까지 현지 시스템에서 먼저 검증한 뒤 외부로 전송하는 방식으로 동작했으며, 최종적으로는 암호화폐 지갑뿐 아니라 AWS, 솔라나, ChatGPT 계정 등 광범위한 자산과 서비스 접근 권한 탈취를 시도했다.
카스퍼스키는 블루노로프가 공격 전반에 걸쳐 생성형 AI도 적극 활용하고 있다고 분석했다. 가짜 화상회의 참가자 프로필 이미지 일부는 GPT-4o로 생성 또는 보정된 것으로 확인됐고, 악성 스크립트 내부에서는 생성형 AI가 작성한 것으로 추정되는 흔적도 발견됐다고 설명했다.
카스퍼스키 텔레메트리에 따르면 고스트콜 캠페인 피해자는 2023년 이후 일본, 이탈리아, 프랑스, 싱가포르, 터키, 스페인, 스웨덴, 인도, 홍콩 등에서 확인됐다. 고스트하이어 캠페인은 최근 일본과 호주에서 피해 정황이 식별됐다. 피해자 다수는 싱가포르와 홍콩을 포함한 아시아태평양 지역의 Web3·블록체인 업계 기술 기업 및 벤처캐피털 관계자들이었다.
카스퍼스키는 인프라, 악성코드, 공격 방식, 최종 표적, 공격 동기 등을 종합적으로 고려해 중간-높음 수준의 신뢰도로 블루노로프를 두 캠페인의 배후로 지목했다.
이효은 카스퍼스키 한국지사장은 “블루노로프는 가짜 화상회의와 위장 채용 면접 같은 사회공학 기법에 생성형 AI까지 결합해 공격 성공률을 높이고 있다”며, “Web3·블록체인 업계 종사자라면 텔레그램을 통한 갑작스러운 투자 제안이나 채용 제안, 특히 짧은 시간 안에 코드 실행을 요구하는 상황에 각별한 주의가 필요하다”고 말했다.
<저작권자(c)스마트앤컴퍼니. 무단전재-재배포금지>
