• 최종편집 2026-03-06 (금)
  • home>
 
그림=이미지크리에이터1.jpg
그림=이미지크리에이터

 

[시큐리티팩트=최석윤 기자] 북한 연계 해커들이 인공지능(AI) 기반 딥페이크 영상과 '클릭픽스(ClickFix)' 기법을 결합해 암호화폐 업계를 겨냥한 공격을 벌이고 있는 것으로 나타났다. 단순 피싱을 넘어, 실제 화상회의처럼 꾸민 환경에서 피해자가 스스로 명령어를 입력하도록 유도하는 방식이다.


11일(현지 시각) 보안업체 맨디언트(Mandiant)에 따르면, 해당 캠페인은 핀테크(금융기술) 기업을 조사하는 과정에서 확인됐다. 연구진은 배후를 2018년부터 활동해 온 북한 연계 위협 그룹 'UNC1069'로 지목했다. 이 조직은 고가치 목표에 맞춰 공격 전술을 조정하는 것으로 알려져 있다.


공격은 텔레그램 접촉으로 시작됐다. 피해자는 암호화폐 기업의 고위 임원을 사칭한 계정으로부터 메시지를 받는다. 대화가 이어진 뒤, 일정 예약 서비스인 캘렌들리(Calendly) 링크가 전달된다. 링크를 클릭하면 정상적인 화상회의처럼 보이지만, 실제로는 공격자가 통제하는 가짜 줌(Zoom) 페이지로 연결된다.


회의 화면에는 유명 암호화폐 최고경영자(CEO)로 보이는 인물이 등장한다. 영상은 얼굴과 음성을 합성한 딥페이크였다. 이어 공격자는 "음성에 문제가 있다"며 해결 방법을 안내한다. 화면에 표시된 명령어를 복사해 실행하라는 지시다. 사용자가 문제를 해결한다고 생각하는 순간, 감염이 시작된다. 이 수법이 이른바 클릭픽스다.


운영체제(OS)별로 악성코드도 분리 설계됐다. 윈도우와 맥 운영체제(macOS)에 각각 다른 페이로드가 준비돼 있었다.


맥 환경에서는 애플스크립트(Applescript·맥에서 자동 작업을 실행하는 스크립트 언어)를 통해 악성 실행 파일이 내려왔다. 이 파일은 맥 실행 형식인 '마크-오(Mach-O)' 바이너리였다.


맨디언트는 이번 캠페인에서 ▲웨이브셰이퍼(WAVESHAPER) ▲하이퍼콜(HYPERCALL) ▲히든콜(HIDDENCALL) ▲사일런스리프트(SILENCELIFT) ▲딥브레스(DEEPBREATH) ▲슈거로더(SUGARLOADER) ▲크롬푸시(CHROMEPUSH) 등 7종의 악성코드를 확인했다고 밝혔다.


이들 악성코드는 저장된 비밀번호(자격 증명), 브라우저 데이터, 맥의 키체인(Keychain·비밀번호 저장소), 텔레그램 대화 내용 등을 탈취하거나 추가 악성코드를 내려받는 기능을 수행했다. 일부 변종은 기존에 보고된 적이 없는 새로운 형태로 파악됐다.


탐지율은 높지 않았다. 악성코드 분석 플랫폼 바이러스토털(VirusTotal) 기준으로 슈거로더를 제외한 대부분의 도구는 사전 탐지가 거의 이뤄지지 않았다. 맨디언트는 이번 공격에 대해 "단일 피해자를 상대로 이처럼 다양한 악성코드를 투입한 사례는 드물다"고 설명했다. 가능한 한 많은 데이터를 확보하려는 의도가 읽힌다는 분석이다.


연구진은 탈취 목적을 두 가지로 보고 있다. 하나는 직접적인 암호화폐 자산 탈취, 다른 하나는 추가 사회공학 공격을 위한 신원 정보 축적이다. 이메일, 연락처, 대화 기록 등은 후속 공격의 발판이 될 수 있다.


앞서 2025년 중반 보안업체 헌트리스(Huntress)도 유사한 기법을 보고하며, 이를 북한 연계 조직 블루노로프(BlueNoroff·TA44)와 연결 지은 바 있다.

 

 

그림=이미지크리에이터.jpg
그림=이미지크리에이터

 

■ 미니 해설 | "회의 화면"까지 위장… 신뢰 자체를 노린 공격

이번 사례는 악성코드 기술만으로 설명하기 어렵다. 핵심은 '신뢰 연출'이다. 일정 예약 시스템, 화상회의 플랫폼, 유명 인물의 얼굴과 음성까지 활용했다. 공격자는 보안 장비를 우회하는 대신, 사용자의 판단을 우회했다.


클릭픽스는 그 연장선에 있다. 자동 감염이 아니라 사용자가 직접 명령어를 입력하게 만드는 방식이다. 보안 시스템은 정상 행위로 인식할 가능성이 높고, 피해자는 감염 사실을 즉시 알아차리기 어렵다.


암호화폐 기업이 반복적으로 표적이 되는 이유도 분명하다. 자산이 디지털 형태로 존재해 이동이 빠르고, 국제 제재 환경 속에서 현금화 수단으로 활용될 가능성도 있다. 무엇보다 화상회의 중심의 업무 환경은 공격자가 접근하기에 적합한 구조다.


딥페이크 기술이 빠르게 고도화되는 만큼, 향후 공격은 영상뿐 아니라 실시간 음성 모방까지 결합될 가능성도 제기된다. 보안의 초점이 파일 차단에서 '누가 말하고 있는가'를 검증하는 단계로 옮겨가고 있다는 점을 보여주는 사례다.


 

김효진 기자 hjkim0662@securityfact.co.kr 이 기자의 다른 기사 보기
태그
ⓒ 시큐리티팩트 & securityfact.co.kr 무단전재-재배포금지

[관련기사] 북한 해커가 노린 암호화폐 기업… 딥페이크·클릭픽스 공격 수법은?

BEST 뉴스

전체댓글 0

  • 80193
비밀번호 :
메일보내기닫기
기사제목
북한 해커가 노린 암호화폐 기업… 딥페이크·클릭픽스 공격 수법은?
보내는 분 이메일
받는 분 이메일