본문으로 건너뛰기

Zoom에 등장한 가짜 CEO: 북한의 딥페이크 캠페인이 암호화폐 지갑을 탈취하는 방법

· 약 7 분
Dora Noda
Dora Noda
Software Engineer

Polygon의 공동 창립자는 낯선 사람들이 자신과 실제로 Zoom 통화 중인지 묻는 연락을 받기 시작했습니다. BTC Prague의 주최자는 유명한 암호화폐 CEO의 정교한 AI 생성 복제본이 화면에 나타나 "빠른 오디오 수정"을 실행해달라고 요청하는 것을 목격했습니다. 한 AI 스타트업 창립자는 Google Meet 사용을 고집하여 감염을 피했고, 공격자들은 즉시 사라졌습니다. 이것은 사이버펑크 스릴러의 한 장면이 아닙니다. 2026년 초에 실제로 일어난 일들이며, 이들은 모두 하나의 공통된 실마리를 공유하고 있습니다. 바로 북한의 급격히 진화하는 딥페이크 사회공학적 기법(Social Engineering) 머신입니다.

프로토콜 익스플로잇에서 인간 익스플로잇으로

수년 동안 암호화폐 업계의 가장 큰 악몽은 스마트 컨트랙트 버그와 브리지 취약점이었습니다. 북한의 라자루스 그룹(Lazarus Group)과 그 하위 조직인 UNC1069는 이에 부응하듯, 2022년 6억 2,000만 달러 규모의 로닌 네트워크(Ronin Network) 익스플로잇과 2025년 2월 15억 달러 규모의 바이비트(Bybit) 거래소 해킹과 같은 대규모 사건을 일으켰습니다. 하지만 업계가 코드 감사, 정형 검증(Formal Verification), 버그 바운티에 자원을 쏟아붓는 동안, 평양은 조용히 공격 방향을 틀었습니다.

이러한 변화는 2025년 말에 명확해졌습니다. 체이널리시스(Chainalysis)에 따르면, 북한과 연계된 행위자들은 2025년 한 해 동안 20억 2,000만 달러 규모의 디지털 자산을 훔쳤으며, 이는 2024년의 13억 4,000만 달러에서 전년 대비 51% 증가한 수치입니다. 현재 전 세계 암호화폐 서비스 침해 사고의 약 76%가 북한(DPRK)의 소행으로 파악되며, 북한의 암호화폐 탈취 누적 추정치는 최소 67억 5,000만 달러를 넘어섰습니다.

하지만 진짜 중요한 이야기는 금액만이 아닙니다. 바로 그 방법입니다. AI 생성 딥페이크를 활용한 사회공학적 기법이 주요 공격 벡터가 되었으며, 처음으로 스마트 컨트랙트 익스플로잇을 앞질렀습니다.

딥페이크 Zoom 수법의 내부

구글 클라우드(Google Cloud)의 맨디언트(Mandiant) 부서는 2026년 2월, 일련의 딥페이크 화상 회의 공격을 UNC1069의 소행으로 규정한 상세 보고서를 발표했습니다. UNC1069는 북한과 밀접하게 연관된 것으로 확신되는 금전적 목적의 위협 그룹입니다. 2018년부터 추적된 이 그룹은 2023년부터 스피어 피싱과 전통 금융 타겟팅에서 Web3 산업으로 공격 대상을 옮겼습니다.

공격 방식은 불안할 정도로 효과적인 패턴을 따릅니다:

  • 1단계 — 신뢰할 수 있는 신원 탈취. 공격자는 암호화폐 경영진의 텔레그램 계정이나 링크드인 프로필에 접근합니다. 기록된 한 사례에서는 유명 암호화폐 CEO의 계정을 하이재킹하여 2차 타겟에게 연락하는 데 사용했습니다.

  • 2단계 — 회의 일정 예약. 피해자는 주로 Calendly를 통해 30분 화상 통화를 위한 정상적인 회의 초대장을 받습니다. 그러나 링크는 실제 Zoom과 매우 유사하게 꾸며진 도메인으로 리디렉션됩니다.

  • 3단계 — 딥페이크 배포. 피해자가 접속하면, VC 파트너, 동료 창립자 또는 포트폴리오 회사의 CEO와 같은 익숙한 인물의 AI 생성 비디오 피드를 보게 됩니다. 이 딥페이크는 짧은 시각적 확인만으로는 속아 넘어갈 정도로 정교합니다.

  • 4단계 — ClickFix 감염 유도. 공격자는 오디오 문제를 핑계로 피해자에게 "빠른 수정(Quick Fix)"을 실행해달라고 요청합니다. 이는 보통 macOS의 터미널 명령어나 Windows의 PowerShell 스크립트 형태입니다. 이것이 바로 ClickFix 기술입니다. 피해자가 자신의 기기를 직접 감염시키도록 속여 전통적인 보안 제어를 완전히 우회하는 사회공학적 기법입니다.

ClickFix 무기: 7가지 이상의 멀웨어 제품군

ClickFix는 기술이 아닌 신뢰를 악용하기 때문에 2026년 가장 효과적인 멀웨어 전달 기술 중 하나가 되었습니다. 피해자는 단순히 일상적인 기술적 오류를 해결하고 있다고 믿으며 악성 명령을 자발적으로 실행합니다.

맨디언트의 조사 결과, UNC1069는 이 벡터를 통해 이전에 문서화되지 않은 도구들을 포함하여 최소 7개의 고유한 멀웨어 제품군을 배포하고 있는 것으로 밝혀졌습니다:

  • SILENCELIFT — 시스템 데이터 및 암호화폐 지갑 설정을 캡처하는 호스트 정찰 도구
  • DEEPBREATH — 재부팅 후에도 살아남아 백도어 액세스를 유지하도록 설계된 지속성 모듈
  • CHROMEPUSH — 25개 이상의 브라우저에서 저장된 자격 증명 및 암호화폐 확장 프로그램 데이터를 추출하는 브라우저 타겟팅 페이로드
  • BIGMACHO — 딥페이크 비디오 유끼를 통해 배포되는 macOS 전용 백도어

이 도구들은 메타마스크(MetaMask), 엑소더스(Exodus), 트러스트 월렛(Trust Wallet)을 포함한 103개의 크롬 암호화폐 확장 프로그램을 타겟팅합니다. 이 캠페인이 macOS에 집중하는 것은 의도적입니다. 암호화폐 창립자와 개발자들은 압도적으로 애플 하드웨어를 사용하며, 거의 모든 macOS 스틸러(Stealer)는 다른 어떤 목적보다 암호화폐 지갑 탈취를 최우선으로 합니다.

실제 창립자들의 아슬아슬했던 사례들

이러한 공격 뒤에 숨겨진 인간의 이야기는 그 정교함과 취약성을 동시에 보여줍니다.

**Polygon 공동 창립자 산딥 네일월(Sandeep Nailwal)**은 여러 지인으로부터 현재 자신과 Zoom 통화 중인지 묻는 메시지를 텔레그램으로 받고 공개적으로 경고를 보냈습니다. 공격자들은 업계에서 유명한 그의 평판을 이용하여 네일월의 딥페이크로 여러 타겟과 동시에 가짜 회의를 진행했습니다.

**BTC Prague 공동 창립자 마틴 쿠차르(Martin Kuchař)**는 탈취된 텔레그램 계정과 Zoom 오디오 수정으로 위장한 멀웨어를 설치하도록 설계된 화상 통화의 타겟이 되었습니다. 정상적인 일정 초대부터 실시간 딥페이크 비디오에 이르기까지, 이 설정의 정교함은 이러한 캠페인이 단순한 피싱 이메일을 얼마나 초월했는지를 보여주었습니다.

**Ability AI CEO 유진 비보로프(Eugene Vyborov)**는 공격 시도에서 살아남는 정석적인 사례를 보여주었습니다. 공격자들이 실행할 터미널 명령어가 포함된 가짜 Zoom "도움말" 페이지로 그를 유도했을 때, 그는 대화를 중단하고 Google Meet으로 전환할 것을 고집했습니다. 공격자들은 "회사 정책"을 이유로 거절한 뒤 즉시 텔레그램 대화 전체를 삭제했습니다. 이는 해당 작전이 정해진 시나리오대로 움직인다는 명백한 신호였습니다.

창과 방패 역할을 동시에 하는 AI

이 새로운 세대의 공격이 특히 우려스러운 이유는 공격자들 스스로가 AI 도구를 사용하고 있기 때문입니다. 구글의 위협 인텔리전스 연구에 따르면, UNC1069는 구글의 Gemini AI를 사용하여 도구를 개발하고, 잠재적 피해자에 대한 운영 연구를 수행하며, 캠페인에 사용되는 딥페이크 이미지와 영상을 생성하는 것으로 관찰되었습니다.

이는 비대칭적인 군비 경쟁을 유발합니다. 설득력 있는 딥페이크를 제작하는 비용은 급격히 낮아진 반면, 실시간으로 신원을 확인하는 비용은 여전히 높습니다. Bitget의 연구 보고서에 따르면, AI 기반의 사칭 스캠은 2025년 암호화폐 사기가 46억 달러 규모로 급증하는 데 기여했으며, 2026년의 추세 또한 꺾일 기미가 보이지 않습니다.

그 영향은 개인적인 대상을 넘어 확장됩니다. 공격자가 VC, 창립자, 경영진을 설득력 있게 사칭할 수 있게 되면, 딜 메이킹, 거버넌스 투표, 파트너십 협상의 근간이 되는 신뢰 구조가 무너지기 시작합니다. 단 한 번의 성공적인 딥페이크 통화는 지갑 하나뿐만 아니라 조직 전체의 자산 (treasury) 접근 권한을 위태롭게 할 수 있습니다.

딥페이크 위협에 대응하기

암호화폐 업계의 대응은 아직 성숙해가는 단계이지만, 몇 가지 방어 패턴이 나타나고 있습니다:

보조 채널을 통해 확인하세요. 2026년 발생한 사건들에서 입증된 가장 효과적인 방어책은 아웃오브밴드 (out-of-band) 인증입니다. 화상 통화 중에 요청된 작업을 실행하기 전에, 전화 통화, Signal 메시지 또는 미리 공유된 코드 단어와 같은 별도의 통신 채널을 통해 상대방의 신원을 확인하십시오.

특정 플랫폼 사용 요구를 거절하세요. Eugene Vyborov가 구글 미트 (Google Meet)를 고집한 것이 효과적이었던 이유는 공격자의 인프라가 가짜 줌 (Zoom)을 위해 특화되어 구축되었기 때문입니다. 특정 플랫폼을 사용해야 한다는 고집, 특히 "회사 정책"에 대한 핑계가 동반될 경우 이를 위험 신호로 간주해야 합니다.

통화 중에 터미널 명령어를 절대 실행하지 마세요. 어떠한 정당한 비즈니스 미팅에서도 참가자에게 쉘 (shell) 명령어를 실행하거나 소프트웨어를 설치하도록 요구하지 않습니다. 이는 화면에 누가 나타나든 상관없이 적용됩니다. 조직은 화상 통화 참가자가 명령어 실행을 요청하지 않는다는 명시적인 정책을 수립해야 합니다.

하드웨어 기반 트랜잭션 서명을 도입하세요. 트랜잭션을 위해 물리적 확인이 필요한 하드웨어 지갑은 딥페이크로 인한 소프트웨어 침해로부터 안전합니다. 멀티 시그 (Multi-signature) 설정은 소셜 엔지니어링만으로는 우회할 수 없는 추가적인 보안 계층을 제공합니다.

KYA (Know Your Agent) 인증을 구현하세요. AI 에이전트의 암호화폐 운영 참여가 증가함에 따라, 사람과 자동화된 참가자 모두의 신원과 권한을 확인하는 것이 중요해지고 있습니다. 새롭게 등장하는 KYA 표준은 고가치 작업이 수행되기 전에 참가자 신원에 대한 암호학적 증명을 제공하는 것을 목표로 합니다.

앞으로의 전망

북한의 암호화폐 탈취 작전은 지엽적인 범죄 행위가 아니라, 매년 수십억 달러의 수익을 창출하여 무기 프로그램을 지원하고 국제 제재를 회피하는 국가 차원의 프로그램입니다. 프로토콜 취약점 공격에서 딥페이크 소셜 엔지니어링으로의 전환은 전략적인 계산의 결과입니다. 스마트 컨트랙트 보안이 향상됨에 따라 사람이 가장 취약한 타겟으로 남게 된 것입니다.

2026년의 딥페이크 캠페인은 많은 방어자들보다 더 빠르게 적응하는 위협 행위자의 존재를 드러냅니다. UNC1069의 툴링은 AI의 도움을 받아 활발히 개발되고 있으며, 맬웨어 무기고는 계속 확장되고 소셜 엔지니어링 스크립트는 매번 실패할 때마다 정교해집니다. 생태계 전반에 퍼지고 있는 ClickFix 변종들 — FileFix, JackFix, ConsentFix, CrashFix, GlitchFix — 은 이 기법의 효과가 북한 국가 행위자를 넘어 모방자들을 끌어들이고 있음을 시사합니다.

암호화폐 업계에 주는 교훈은 명확합니다. 다음 수십억 달러 규모의 해킹은 솔리디티 (Solidity) 코드 한 줄에서 비롯되지 않을 수도 있습니다. 대신 오디오 문제를 해결해 달라는 줌 (Zoom) 속 친근한 얼굴로부터 시작될 수 있습니다.

안전한 블록체인 인프라 구축은 신뢰할 수 있는 엔터프라이즈급 노드 서비스와 API에서 시작됩니다. BlockEden.xyz는 주요 체인 전반에 걸쳐 고가용성 RPC 엔드포인트를 제공하므로, 개발자는 인프라 취약점에 대한 걱정 없이 복원력 있는 애플리케이션 구축에 집중할 수 있습니다.

Share on Twitter