작성자: 𝙳𝚛. 𝙰𝚠𝚎𝚜𝚘𝚖𝚎 𝙳𝚘𝚐𝚎
최근 암호화폐 커뮤니티에서 사이버 보안 재난이 빈번히 발생하고 있습니다. 공격자들은 Calendly를 통해 회의를 예약하고, 정상적으로 보이는 "Zoom 링크"를 보내 피해자들을 속여 위장된 트로이 목마 프로그램을 설치하게 하며, 심지어 회의 중에 원격으로 컴퓨터를 제어합니다. 순식간에 지갑과 텔레그램 계정이 모두 탈취됩니다.
이 글에서는 이러한 공격의 작동 방식과 방어 요점을 종합적으로 분석하고, 완전한 참고 자료를 첨부하여 커뮤니티의 공유, 내부 교육 또는 자체 점검에 도움을 드리겠습니다.
공격자의 이중 목표
디지털 자산 절도
Lumma Stealer, RedLine 또는 IcedID와 같은 악성 프로그램을 사용하여 브라우저 또는 데스크톱 지갑의 개인 키와 시드 구문을 직접 훔쳐 TON, 비트코인(BTC) 등의 암호화폐를 신속하게 빼냅니다.
참고:
마이크로소프트 공식 블로그
플레어(Flare) 위협 인텔리전스
https://flare.io/learn/resources/blog/redline-stealer-malware/
신원 자격 증명 절도
텔레그램, 구글의 세션 쿠키를 훔쳐 피해자로 위장하고, 더 많은 피해자를 지속적으로 유인하여 눈덩이처럼 확산시킵니다.
참고:
d01a 분석 보고서
https://d01a.github.io/redline/
공격 체인 4단계
① 신뢰 구축
투자자, 미디어 또는 팟캐스트로 위장하여 Calendly를 통해 공식 회의 초대장을 보냅니다. 예를 들어 "ELUSIVE COMET" 사례에서는 공격자가 Bloomberg Crypto 페이지로 위장하여 사기를 시도했습니다.
참고:
Trail of Bits 블로그
https://blog.trailofbits.com/2025/04/17/mitigating-elusive-comet-zoom-remote-control-attacks/
② 트로이 목마 투입
Zoom URL을 모방(비 .zoom.us)하여 악성 버전의 ZoomInstaller.exe 다운로드로 유도합니다. 2023-2025년 여러 사건에서 이 방법으로 IcedID 또는 Lumma를 배포했습니다.
참고:
비트디펜더
https://www.bitdefender.com/en-us/blog/hotforsecurity/hackers-used-modified-zoom-installer-and-phishing-campaign-to-deploy-trojan-banker-2、Microsofthttps://blogs.microsoft.com/on-the-issues/2025/05/21/microsoft-leads-global-action-against-favored-cybercrime-tool/
③ 회의 중 권한 탈취
해커가 Zoom 회의에서 닉네임을 "Zoom"으로 변경하고 피해자에게 "화면 공유 테스트"를 요청하면서 동시에 원격 제어 요청을 보냅니다. 피해자가 "허용"을 클릭하면 완전히 침입당합니다.
참고:
Help Net Security
https://www.helpnetsecurity.com/2025/04/18/zoom-remote-control-attack/
DarkReading
https://www.darkreading.com/remote-workforce/elusive-comet-zoom-victims
④ 확산 및 현금화
악성 프로그램이 개인 키를 업로드하여 즉시 암호화폐를 인출하거나, 며칠 동안 잠복 후 텔레그램 신원을 도용하여 다른 사람을 낚습니다. RedLine은 특히 텔레그램의 tdata 디렉토리를 대상으로 설계되었습니다.
참고:
d01a 분석 보고서
https://d01a.github.io/redline/
사후 응급 조치 3단계
즉시 장치 격리
랜선 뽑기, Wi-Fi 끄기, 깨끗한 USB로 부팅하여 스캔; RedLine/Lumma가 발견되면 전체 디스크 포맷 및 재설치 권장.
모든 세션 취소
암호화폐를 새 하드웨어 지갑으로 이동; 텔레그램에서 모든 장치 로그아웃 및 2단계 인증 활성화; 이메일, 거래소 비밀번호 모두 변경.
블록체인 및 거래소 동시 모니터링
비정상적인 이체 발견 시 즉시 거래소에 연락하여 의심스러운 주소 동결 요청.
장기 방어 6대 원칙
독립된 회의 장치 사용: 낯선 회의는 개인 키가 없는 예비 노트북 또는 휴대폰으로만 참여.
공식 출처에서 다운로드: Zoom, AnyDesk 등의 소프트웨어는 반드시 공식 웹사이트에서 다운로드; macOS는 "다운로드 후 자동 열기" 비활성화 권장.
URL 엄격히 확인: 회의 링크는 반드시 .zoom.us여야 함; Zoom Vanity URL도 이 규정을 따름(공식 가이드라인 https://support.zoom.us/hc/en-us/articles/215062646-Guidelines-for-Vanity-URL-requests)。
3불 원칙: 외부 플러그인 설치 금지, 원격 제어 금지, 시드/개인 키 표시 금지.
콜드 월렛과 핫 월렛 분리: 주요 자산은 콜드 월렛에 PIN + 패스프레이즈 추가; 핫 월렛에는 소액만 보관.
모든 계정 2FA 활성화: 텔레그램, 이메일, GitHub, 거래소 전체에 이중 인증 활성화.
결론: 가짜 회의의 진짜 위험
현대 해커들은 제로데이 취약점이 아니라 뛰어난 연기력으로 승부합니다. 그들은 "매우 정상적으로 보이는" Zoom 회의를 설계하고 당신의 실수를 기다립니다.
장치 격리, 공식 출처, 다중 인증 습관만 들이면 이러한 수법은 더 이상 틈새를 노리지 못할 것입니다. 모든 온체인 사용자가 사회공학적 함정에서 벗어나 자신의 금고와 신원을 지키기를 바랍니다.
