텔레그램 기반 접근과 악성 코드 유포, 100만 달러 선투입 등 복합 전략 활용
디지털 침해 넘어 인간 관계까지 노린 ‘신뢰 기반 공격’으로 보안 대응 범위 확장 필요

[보안뉴스 김형근 기자] 솔라나 기반 탈중앙화 거래소 드리프트는 1일(현지시간) 발생한 2억8500만달러(약 3850억원) 규모 탈취 사고가 북한의 장기간 공작에 의한 것이었다고 밝혔다.


[출처: gettyimagesbank]

북한 국가 지원 해킹 그룹 UNC4736은 2025년 가을부터 퀀트 트레이딩 업체를 사칭해 드리프트 관계자들에게 접근했다. 이들은 주요 가상자산 컨퍼런스에 북한 국적이 아닌 대리인을 직접 보내 접촉하며 신뢰를 구축하는 등 오프라인 활동까지 병행했다.

또 텔레그램을 통해 수개월간 기술적 대화를 이어가며 드리프트 생태계 내부에 접근 기반을 마련했다. 이 과정에서 100만달러 이상의 자금을 실제 입금하는 등 의심을 피하기 위한 전략도 활용했다.

공격은 개발자 대상 사회공학 기법을 중심으로 진행됐다. 해커들은 악성 코드가 포함된 저장소를 공유하거나 테스트를 빌미로 가짜 지갑 애플리케이션 설치를 유도했다. 특히 VS코드의 ‘tasks.json’ 파일을 악용해 프로젝트 폴더를 여는 것만으로 악성 코드가 실행되도록 설계한 점이 특징이다.

공격 이후엔 텔레그램 대화방과 악성 소프트웨어를 삭제하며 흔적을 제거하는 등 치밀한 대응도 확인됐다.

탈취된 자금은 군함 건조, 핵잠수함 개발, 정찰 위성 발사 등 북한의 군사 목적에 활용되는 것으로 알려졌다.

드리프트는 현재 사법기관과 협력해 유출 자금의 흐름을 추적하고 대응에 나선 상태다.

이번 공격은 단순한 기술적 침해를 넘어 수개월간 대면 접촉과 자금 투입을 병행한 ‘신뢰 기반 공작’으로 분석된다. 보안 대응 역시 디지털 영역을 넘어 오프라인 접촉과 인간 관계까지 고려해야 한다는 지적이 나온다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>