북한의 블루노로프(BlueNoroff) 해커들은 가짜 줌(Zoom) 통화와 AI 딥페이크를 이용해 한 암호화폐 기업을 침해하고, 전 세계 100명 이상의 웹3 임원들을 위험에 빠뜨렸다.
핵심 요약
- 블루노로프는 핀테크 로펌 변호사로 가장해 조작된 캘린더 초대를 보내고, 피해자를 위조된 줌 통화로 유도했다.
- 클릭픽스(ClickFix) 클립보드 트릭을 통해 파일을 남기지 않는 파워셸을 실행해 5분 이내에 자격 증명과 암호화폐 지갑 데이터를 탈취했다.
- 탈취한 웹캠 영상을 AI 딥페이크에 활용해 이전 피해자를 사칭하고, 이를 미끼로 다음 공격 대상들을 유인했다.
블루노로프, 줌 통화를 가로채 지갑을 탈탈 턴다
Arctic Wolf 연구진은 수개월에 걸친 침해 행위를 북한의 라자루스 그룹(Lazarus Group) 산하 금전 추구형 조직인 블루노로프로 추적했다. 이번 캠페인은 2026년 1월 23일 북미의 한 웹3 회사를 노렸고, 공격자는 66일 동안 은밀하게 접근 권한을 유지했다. 공격자는 핀테크 기업의 법무 임원으로 가장해, 5개월 뒤로 예정된 일상적인 미팅을 가장한 Calendly 초대장을 보냈다.
대상자가 참석을 확정하자, 예약 정보의 Google Meet 링크는 실제와 거의 동일해 보이는 오타 기반 피싱 줌 주소로 교체됐다. 텔레메트리에는 피해자가 소프트웨어 오류라고 믿은 채 4분 동안 악성 링크를 세 번 클릭한 흔적이 남았다.
관련 기사: 비트코인, 연준 금리 우려 재부각에 5만9천달러 아래로 하락
클릭픽스 프롬프트, 파일 없는 파워셸 심는다
위조된 회의 화면 속 팝업은 줌 SDK 업데이트가 필요하다며 빠른 해결책을 제시했고, 이것이 바로 클릭픽스(ClickFix)로 알려진 속임수였다. 피해자가 안내된 명령어를 복사하자, 페이지는 눈에 띄지 않게 클립보드를 재작성해 숨겨진 파워셸 페이로드를 주입했다. 단 한 번의 붙여넣기만으로도 어떤 파일도 디스크에 남기지 않고 공격자에게 발판을 내준 셈이다.
이 임플란트는 곧바로 원격 서버로 비콘을 쏘며 브라우저 로그인 정보와 암호화폐 지갑 데이터를 수집하고, 활성화된 Telegram 세션을 가로채 향후 신뢰 가능한 계정인 것처럼 위장해 새로운 공격 대상을 접촉하는 데 재활용했다. 첫 클릭부터 시스템 완전 장악까지 전체 공격 체인은 5분 이내에 끝날 정도로 이례적으로 빨랐다.
딥페이크, 이전 피해자를 재활용해 새 표적을 낚는다
가짜 통화가 그럴듯하게 느껴진 이유는 각 참가자 타일이 20개국 100명 이상 이전 피해자들로부터 훔친 웹캠 영상, AI 생성 얼굴, 딥페이크 합성 영상을 활용했기 때문이다. 조사관들은 이 합성 얼굴을 OpenAI의 GPT-4o 모델과 연관지었고, 메타데이터에 남은 macOS 사용자 이름 "king"을 통해 편집 작업을 수행한 단일 운영자를 추적했다. 이렇게 훔친 얼굴 하나하나가 다음 공격 미끼로 재활용되면서, 매번 침해가 일어날수록 이후 공격을 구분해내기 더 어려워졌다.
확인된 피해자 가운데 미국이 41%를 차지했고, 싱가포르와 영국이 그 뒤를 이었다. 이들 중 약 80%는 암호화폐, 블록체인 금융, 인접 투자 분야에서 일했으며, 창업자나 최고경영자가 거의 절반에 달했다.
블루노로프는 이런 수법에 익숙한 조직이다. 이들은 2016년 방글라데시 중앙은행 해킹 당시 8,100만 달러를 이동시키며 수면 위로 떠올랐고, 이후 장기 작전인 SnatchCrypto를 통해 암호화폐로 무대를 옮겼다. 이번 캠페인은 같은 플레이북이 이제 AI 위에서 돌아가고 있음을 보여주며, 이를 방어해야 하는 모든 암호화폐 팀의 난이도를 한층 끌어올렸다.