북한의 해킹 그룹들은 프리랜서 IT 작업을 미끼로 클라우드 시스템에 접근하여 수백만 달러 상당의 암호화폐를 훔치고 있다고 구글 클라우드와 보안 기업 위즈의 별도 연구에서 밝혀졌습니다.
구글 클라우드의 H2 2025 클라우드 위협 지평 보고서는 구글 위협 인텔리전스 그룹이 소셜 미디어를 통해 직원들에게 연락한 후 두 회사를 성공적으로 해킹한 UNC4899라는 북한 해킹 부대를 "적극적으로 추적"하고 있다고 밝혔습니다.
두 경우 모두 UNC4899는 직원들에게 작업을 부여해 직원들이 자신의 워크스테이션에서 악성코드를 실행하도록 했고, 이를 통해 해킹 그룹은 자신들의 지휘통제 센터와 대상 기업의 클라우드 기반 시스템 간 연결을 설정할 수 있었습니다.
그 결과 UNC4899는 피해자들의 클라우드 환경을 탐색하고 자격 증명 자료를 확보한 뒤 궁극적으로 암호화폐 거래를 처리하는 호스트를 식별할 수 있었습니다.
각 개별 사건은 서로 다른(이름 없는) 기업과 서로 다른 클라우드 서비스(구글 클라우드와 AWS)를 대상으로 했지만, 모두 "수백만 달러 상당의 암호화폐" 절도로 이어졌습니다.
북한 해커들의 구인 미끼 사용은 이제 "매우 흔하고 광범위하게" 퍼져 있으며, 상당한 수준의 정교함을 반영하고 있다고 구글 위협 인텔리전스 그룹의 유럽 선임 위협 인텔리전스 고문 제이미 콜리어는 디크립트(Decrypt)에 말했습니다.
"그들은 종종 구직 담당자, 기자, 주제 전문가 또는 대학 교수로 위장하여 대상에게 접근합니다"라고 그는 말하며, 대상과의 유대감을 형성하기 위해 여러 차례 오가며 소통한다고 덧붙였습니다.
콜리어는 북한의 위협 행위자들이 AI와 같은 새로운 기술을 빠르게 채택한 최초의 그룹 중 하나였으며, 이를 통해 "더욱 설득력 있는 유대감 형성 이메일"을 작성하고 악성 스크립트를 작성한다고 설명했습니다.
클라우드 보안 기업 위즈 역시 UNC4899의 공격에 대해 보고하며, 이 그룹이 트레이더트레이터, 제이드 슬리트, 슬로우 피스세스 등의 이름으로도 불린다고 언급했습니다.
트레이더트레이터는 특정 그룹이 아니라 특정 유형의 위협 활동을 나타내며, 북한 지원 단체인 라자루스 그룹, APT38, 블루노로프, 스타더스트 촐리마 등이 일반적인 트레이더트레이터 공격의 배후에 있다고 위즈는 말했습니다.
위즈의 UNC4899/트레이더트레이터 분석에 따르면, 캠페인은 2020년부터 시작되었으며 처음부터 해킹 그룹들은 직원들을 유인해 일렉트론 프레임워크를 사용하여 자바스크립트와 Node.js로 제작된 악성 암호화폐 앱을 다운로드하도록 했습니다.
위즈에 따르면, 2020년부터 2022년까지의 그룹 캠페인은 "여러 조직을 성공적으로 침해"했으며, 여기에는 라자루스 그룹의 액시 인피니티(Axie Infinity) 로닌 네트워크 6,200만 달러 해킹이 포함됩니다.
트레이더트레이터 위협 활동은 2023년에 악성 오픈소스 코드 사용으로 진화했으며, 2024년에는 가짜 구인 제안에 더욱 집중하여 주로 거래소를 대상으로 삼았습니다.
특히 트레이더트레이터 그룹은 일본의 DMM 비트코인 3,050만 달러 해킹과 2024년 말 바이비트(Bybit)의 15억 달러 해킹에 책임이 있으며, 이 거래소는 올해 2월에 이를 공개했습니다.
구글이 강조한 공격과 마찬가지로, 이러한 해킹은 다양한 정도로 클라우드 시스템을 노렸으며, 위즈에 따르면 이러한 시스템은 암호화폐에 대한 중요한 취약점을 나타냅니다.
위즈의 전략적 위협 인텔리전스 이사 벤자민 리드는 디크립트(Decrypt)에 "트레이더트레이터가 클라우드 관련 익스플로잇과 기술에 집중한 이유는 데이터, 그리고 그에 따른 자금이 있기 때문"이라며, "이는 암호화폐 산업에서 특히 그렇습니다. 기업들이 신생 기업이어서 클라우드 중심의 인프라를 구축했을 가능성이 높기 때문입니다"라고 말했습니다.
리드는 클라우드 기술을 노리는 것이 해킹 그룹이 다양한 대상에 영향을 미치고 더 많은 돈을 벌 잠재력을 높인다고 설명했습니다.
이러한 그룹들은 큰 사업을 하고 있으며, "2025년 현재 약 16억 달러의 암호화폐가 이미 도난당했다"고 말하며, 트레이더트레이터와 관련 그룹들은 수많은 때로는 중복되는 그룹에서 "수천 명의 인력"을 보유하고 있다고 덧붙였습니다.
"정확한 숫자를 제시하기는 어렵지만, 북한 정권이 이러한 능력에 상당한 자원을 투자하고 있음은 분명합니다."
결국, 이러한 투자로 북한은 암호화폐 해킹의 선두주자가 되었으며, 2월 TRM 랩스 보고서는 작년에 북한이 도난 자금의 35%를 차지했다고 결론지었습니다.
전문가들은 현재의 모든 징후가 북한이 새로운 기술을 개발할 수 있는 능력을 고려할 때 앞으로 한동안 암호화폐 관련 해킹의 주요 세력으로 남을 가능성이 높다고 말했습니다.
구글의 콜리어는 "북한의 위협 행위자들은 정권의 전략적, 재정적 목표를 충족시키기 위해 지속적으로 적응하는 역동적이고 민첩한 세력"이라고 말했습니다.
북한 해커들이 AI를 점점 더 많이 활용하고 있다는 점을 재차 강조하며, 콜리어는 이러한 사용이 "전력 증강"을 가능하게 하여 해커들이 자신들의 공격 규모를 확대할 수 있게 했다고 설명했습니다.
"우리는 그들이 속도를 늦추고 있다는 증거를 찾지 못했으며, 이러한 확장이 계속될 것으로 예상합니다"라고 그는 말했습니다.
