북한의 블루노로프(BlueNoroff) 해킹 그룹이 가짜 Zoom 통화와 AI 딥페이크를 활용해 한 크립토 회사를 침해하고 전 세계 100명이 넘는 Web3 임원들의 계정을 탈취한 것으로 드러났다.
핵심 내용
- 블루노로프는 핀테크 로펌 변호사로 가장해 변조된 캘린더 초대를 보내고, 피해자를 가짜 Zoom 통화로 유도했다.
- ClickFix 클립보드 트릭으로 파일이 남지 않는 PowerShell을 실행해, 5분도 안 되는 시간 안에 자격 증명과 크립토 지갑 데이터를 탈취했다.
- 탈취한 웹캠 영상은 AI 딥페이크에 활용돼, 이전 피해자를 사칭하며 다음 피해자들을 낚는 데 사용됐다.
블루노로프, Zoom 통화 가로채 지갑 탈탈 턴다
Arctic Wolf 연구진은 수개월에 걸친 침해 활동을 북한 라자루스 그룹(Lazarus Group) 산하의 금전적 동기 해킹 조직 블루노로프로 추적했다. 이번 공격 캠페인은 2026년 1월 23일 한 북미 Web3 회사를 노렸으며, 공격자는 무려 66일 동안 은밀히 내부 접근을 유지했다. 공격자는 한 핀테크 기업의 법무 임원으로 위장해, 5개월 뒤로 잡힌 일상적인 미팅을 가장한 Calendly 초대 링크를 보냈다.
피해자가 일정을 확정하자, 예약된 미팅에는 원래의 Google Meet 링크 대신 실제 주소와 거의 똑같이 보이는 타이포스쿼팅 Zoom 주소가 끼워 넣어졌다. 이후 텔레메트리 분석 결과, 피해자는 소프트웨어가 단순히 오류를 일으킨다고 믿고 4분 동안 악성 링크를 세 번이나 클릭한 것으로 확인됐다.
또 읽어보기: 비트코인, 연준 금리 우려 재부각에 5만9000달러 밑으로 하락
ClickFix 프롬프트로 파일리스 PowerShell 심기
가짜 회의 화면 안에서는 Zoom SDK를 업데이트해야 한다는 팝업이 뜨며, 빠른 수정을 제공한다는 ‘ClickFix’ 속임수가 실행됐다. 피해자가 안내된 명령어를 복사하자, 페이지는 몰래 클립보드를 조작해 숨겨진 PowerShell 페이로드를 주입했다. 단 한 번의 붙여넣기만으로, 디스크에 어떠한 파일도 남기지 않고 공격자에게 초기 거점을 내준 셈이다.
이 임플란트는 이후 원격 서버와 통신을 시작해 브라우저 로그인 정보와 크립토 지갑 데이터를 수집하고, 활성화된 텔레그램(Telegram) 세션을 탈취해 신뢰받는 계정인 것처럼 가장해 새로운 대상에게 접근하는 데 재사용했다. 첫 클릭에서 시스템 완전 장악까지 걸린 시간은 5분이 채 되지 않을 정도로, 이례적으로 빠른 침해였다.
딥페이크로 이전 피해자를 재활용해 새 표적 낚는다
가짜 통화가 그럴듯하게 보였던 이유는, 각 참가자 화면 타일이 모두 탈취한 웹캠 영상, AI 생성 얼굴 이미지, 또는 합성 딥페이크 영상을 사용했기 때문이다. 이들은 20개국에서 나온 100명 이상 피해자의 영상과 이미지를 라이브러리처럼 모아 활용했다. 조사 결과, 이러한 합성 얼굴들은 OpenAI의 GPT-4o 모델과 연관이 있었고, 편집 작업은 메타데이터에 macOS 사용자 이름 "king"을 남긴 한 운영자에게서 비롯된 것으로 추적됐다. 이렇게 탈취된 얼굴 하나하나가 다음 공격의 미끼로 재활용되면서, 침해가 반복될수록 공격은 더욱 식별하기 어려워졌다.
확인된 피해자 가운데 미국이 41%로 가장 많았고, 그다음이 싱가포르와 영국이었다. 약 80%는 크립토·블록체인 금융 또는 인접 투자 분야에서 일하고 있었으며, 그중 창업자나 최고경영자(CEO)급 인사가 거의 절반을 차지했다.
블루노로프는 이런 유형의 공격에 이미 숙련된 조직이다. 이 그룹은 2016년 방글라데시 중앙은행 해킹 당시 8,100만 달러를 빼돌린 사건을 통해 처음 수면 위로 떠올랐고, 이후 장기간 이어진 SnatchCrypto 작전을 통해 크립토 분야로 활동 무대를 옮겼다. 이번 캠페인은 같은 범죄 플레이북이 이제 AI 기술까지 장착했음을 보여주며, 이를 방어해야 하는 모든 크립토 팀의 보안 수준을 한층 더 끌어올릴 것을 요구하고 있다.