[속보] 구글 “북한 해커그룹, ‘이더하이딩’ 수법으로 가상자산 탈취 포착”

GTIG 조사서 소셜엔지니어링 기반 공격 캠페인 연계 확인 구글위협정보그룹(GTIG)은 북한과 연계된 해커그룹 UNC5324가 ‘이더하이딩’이란 신규 기법을 이용해 가상자산 탈취와 민감정보 수집을 하고 있다는 조사 결과를 17일 발표했다. 이번 조사를 통해 퍼블릭·탈중앙화 블록체인을 활용해 악성코드를 은폐하는 이더하이딩 기법이 국가 지원 위협 행위자에 의해 악용된 정황이 최초로 드러났다는 점에서 의미가 있다는 게 그룹측의 설명이다. GTIG는 UNC5324가 팔로알토 네트웍스에 의해 ‘컨테이저스 인터뷰’로 명명된 소셜 엔지니어링 기반 공격 캠페인을 통해 개발자들이 악성코드를 설치하도록 유도한 한 정황을 포착했다. 이번 공격은 다단계 악성코드 감염 절차를 통해 윈도우, 맥OS, 리눅스 등 다양한 운영체계에 영향을 미쳐 피해자의 시스템을 침해했다. 또 공격자는 사용한 악성코드를 변경 불가한 블록체인에 저장하고, 이를 ‘읽기 전용’으로 불러와 익명으로 명령을 지속 제어한 사실이 확인됐다. 로버트 월레스 구글 클라우드 맨디먼트 컨설팅 리더는 “국가 지원 위협 그룹이 수사당국의 조치에 맞서 새로운 작전에 맞춰 손쉽게 변형할 수 있는 악성코드를 배포하는 데 신기술을 활용하고 있다는 사실을 보여준다”고 말했다.