크라켄(Kraken), 유명한 암호화폐 거래소는 채용 지원자로 위장한 북한 해커의 정교한 침투 시도를 발견했습니다.
보안 및 채용 팀은 해당 지원자를 채용 과정에 진입시켰습니다. 그들의 전략을 연구하고 중요한 통찰력을 얻기 위함이었습니다.
북한 해커가 크라켄(Kraken)에 침투하려 한 방법
크라켄(Kraken)은 5월 1일 최근 블로그 게시물에서 이 사건을 상세히 설명했습니다. 해커는 거래소의 엔지니어링 직무에 지원했으며, 처음에는 스티븐 스미스라는 정당한 지원자로 보였습니다. 그러나 채용 과정에서 여러 가지 의심스러운 점이 드러났습니다.
"엔지니어링 직무에 대한 일상적인 채용 과정이 빠르게 정보 수집 작전으로 변모했으며, 우리 팀은 과정의 모든 단계에서 그들의 전술을 더 자세히 알아보기 위해 지원자를 주의 깊게 진행시켰습니다."라고 크라켄(Kraken)은 언급했습니다.
지원자는 인터뷰 중 다른 이름을 사용했으며 목소리를 계속 바꾸어 코칭을 받은 것으로 보였습니다. 북한 해커와 연결된 이메일을 사용해 지원했습니다.
또한 오픈소스 인텔리전스(OSINT) 조사 결과, 지원자가 가짜 신원의 네트워크에 연루되어 있음이 밝혀졌습니다.
"이는 한 개인이 암호화폐 분야를 포함한 여러 직무에 지원하기 위해 여러 신원을 확립했다는 해킹 작전을 우리 팀이 발견했음을 의미합니다. 여러 이름들이 이전에 여러 회사에 고용되었으며, 우리 팀은 그들과 연결된 업무용 이메일 주소를 식별했습니다. 이 네트워크의 한 신원은 제재 목록에 있는 알려진 외국 요원이었습니다."라고 블로그에 기재되었습니다.
추가로, VPN을 통해 접속하는 원격 공동 배치된 맥 데스크톱 사용 등 기술적 불일치는 침투 시도를 가리켰습니다. 이 정보는 지원자가 국가 후원 해커일 가능성이 높음을 확인했습니다.
크라켄(Kraken)의 최고 보안 책임자 닉 퍼코코와 일부 팀원과의 최종 인터뷰에서 회사의 의혹이 확인되었습니다. 지원자가 자신의 위치를 확인하거나 도시와 국적에 대한 질문에 답변하지 못함으로써 사기꾼임이 드러났습니다.
"그들의 임무는 고용을 시작해 지적 재산권(IP)을 훔치고, 회사에서 돈을 훔치며, 급여를 받고 광범위한 방식으로 이를 수행하는 것입니다."라고 퍼코코는 CBS에 말했습니다.
미국 금융범죄단속 네트워크(FinCEN), 북한과의 연계로 후오이네 그룹 금지 제안
한편, 다른 사건에서 미국 금융범죄단속 네트워크(FinCEN)는 캄보디아 기반 후오이네 그룹을 미국 금융 시스템에서 금지할 것을 제안했습니다. 해당 부서는 후오이네를 사이버 절도와 "돼지 도살" 암호화폐 사기에 연루된 북한 해커 그룹의 주요 중개자로 식별했습니다.
"후오이네 그룹은 북한과 범죄 조직과 같은 악의적인 사이버 행위자들을 위한 선호 마켓플레이스로 자리 잡았으며, 이들은 수십억 달러를 일반 미국인들로부터 훔쳤습니다."라고 재무부 장관 스콧 베센트가 말했습니다.
미국 금융범죄단속 네트워크(FinCEN)는 해당 그룹이 2021년 8월부터 2025년 1월 사이에 4억 달러 이상의 불법 자금을 세탁했다고 비난했습니다. 부서에 따르면 후오이네의 네트워크는 결제 처리 및 불법 온라인 마켓플레이스와 같은 서비스를 제공하는 암호화폐 범죄자들의 선호 마켓플레이스입니다.
"오늘의 제안된 조치는 후오이네 그룹의 대응 은행 접근을 차단하여 이러한 그룹들이 불법적으로 얻은 이익을 세탁하는 능력을 저하시킬 것입니다. 재무부는 악의적인 사이버 행위자들이 범죄 계획으로부터 수익을 확보하려는 시도를 방해하는 데 전념하고 있습니다."라고 베센트는 덧붙였습니다.
이러한 사건들은 암호화폐 섹터에 대한 북한의 사이버 공격 패턴을 강조했습니다. 2024년에 해커들은 암호화폐 기업에서 6억 5,900만 달러 이상을 훔쳤습니다.
미국, 일본, 대한민국의 공동 성명에 따르면, 북한 해커들은 소셜 엔지니어링 및 멀웨어(예: 트레이더트레이터, 애플제우스)와 같은 전술을 사용해 산업을 공격했습니다. 또한 북한 IT 근로자들이 민간 기업에 대한 내부자 위협으로 식별되었습니다.
이전에 비인크립토(BeInCrypto) 보고서는 북한 국가 후원 해킹 집단인 악명 높은 라자러스 그룹의 바이비트(Bybit)와 업비트(Upbit) 절도 연루를 강조했습니다. 또한 해당 국가의 해커 그룹은 래디언트 캐피탈(Radiant Capital) 해킹 및 DMM 비트코인 악용에도 관여했습니다.
실제로 최근 온체인 조사자 ZachXBT는 탈중앙화 금융(DeFi) 프로토콜에서 북한의 상당한 개입을 발견했으며, 일부는 월간 거래량/수수료의 거의 100%를 북한(DPRK)에 의존하고 있습니다.
