북한 사이버 범죄자들은 AI 딥페이크를 이용해 암호화폐를 탈취합니다

북한과 연계된 그룹이 새로운 사이버 공격 전술을 선보였습니다.

구글 전문가들은 UNC1069라는 해커 조직의 활동을 폭로했습니다. 이 조직은 북한 당국에 의해 통제되는 것으로 추정됩니다. 2018년 이후 인공지능(AI)을 활용해 새로운 도구 세트와 사회공학 스키마를 개발하고 있으며, 이는 시민과 암호화폐 기업 직원들을 대상으로 하고 있습니다.

공격 방식
1. 계정 탈취
해커들은 기존 소셜 미디어나 이메일 계정에 접근합니다.

2. 화상 회의 시작
해당 계정을 통해 피해자에게 Zoom 세션 링크를 보냅니다.

3. 딥페이크 회의
통화 중 가짜 얼굴이 등장하는 비디오가 삽입됩니다 – 예를 들어 “다른 암호화폐 회사의 CEO”처럼 보입니다. AI로 제작되어 매우 사실적으로, 대부분의 사람들은 거짓임을 알아채지 못합니다.

4. 단계별 ‘서비스’
딥페이크는 기술적 문제를 알리고 사용자가 컴퓨터에서 일련의 조치를 취하도록 요청합니다. 지침에는 백도어와 데이터 탈취 프로그램을 실행하는 악성 명령이 포함됩니다.

5. 귀중 자료 확보
지시를 수행하면 공격자는 기밀 정보를 얻고 암호화폐를 훔칠 수 있습니다.

기술 무기고
- Gemini (AI 보조자) – 코드 생성, 소프트웨어 업데이트 모방 및 지침 준비에 사용되었습니다.
- OpenAI의 GPT‑4o – BlueNoroff 그룹이 이미지 품질을 향상시켜 초대가 진짜인 것처럼 설득하도록 활용했습니다.

구글은 이 기법을 “AI를 이용한 사회공학”이라고 명명하고, 공격에 포함된 일곱 개의 새로운 악성 소프트웨어 패밀리를 발표했습니다.

목표와 결과
- 암호화폐 탈취 – 주요 금전적 동기입니다.
- 개인 데이터 수집 – 이후 사회공학 캠페인의 기반을 마련합니다.
- 업계 공격 – 대상은 소프트웨어 개발자, 벤처 기업 및 그들의 리더들입니다.

해커들이 Gemini를 사용해 정찰 도구를 개발한 후, 관련 계정이 구글에 의해 차단되었습니다.

결과적으로 UNC1069는 현대 AI 기술이 해커들에게 고효율적이고 식별하기 어려운 공격을 암호화폐 분야의 타깃 대중에게 수행하도록 허용한다는 것을 보여줍니다.