북한의 국가 지원 해커들이 블록체인 네트워크 자체에 악성 코드를 심는 새로운 사이버 공격 방식을 실험하고 있는 것으로 드러났다.

18일(현지시각) 구글 위협정보그룹(GTIG·Google Threat Intelligence Group)은 ‘이더하이딩(EtherHiding)’이라 불리는 새로운 공격 기법이 등장했다고 밝혔다. 이 방식은 블록체인의 탈중앙화 구조를 악용해 악성 코드를 은닉·배포·제어하는 고도화된 사이버 공격 수법이다.

GTIG에 따르면 공격자는 이더리움(Ethereum)과 BNB 스마트체인 등 퍼블릭 블록체인의 스마트컨트랙트를 이용해 악성 코드를 직접 저장한다. 블록체인의 불변성(immutability) 때문에 한 번 업로드된 코드는 사실상 삭제나 차단이 불가능하다. GTIG는 “스마트컨트랙트의 변경 불가능한 구조가 혁신적이지만 공격자들은 이를 이용하고 있다”며 “차단하기 어려운 방식으로 악성 코드를 배포하고 있다”고 지적했다.

주요 공격 대상은 워드프레스(WordPress) 기반 웹사이트다. 해커들은 보안 패치가 적용되지 않은 취약점이나 도난된 관리자 계정을 통해 웹사이트에 침투한 뒤 자바스크립트(JavaScript) 형태의 로더(loader) 코드를 삽입한다. 사용자가 감염된 페이지를 열면 로더가 블록체인 네트워크와 연결돼 원격 서버에서 악성 파일을 불러오도록 설계돼 있다. 이 과정은 온체인 거래 흔적이 남지 않아 추적이 어렵고 가스비(수수료)도 거의 발생하지 않는다.

보안 전문가들은 이번 수법이 북한의 사이버 전략이 단순한 디지털자산(가상자산) 탈취에서 벗어나 블록체인 자체를 공격 인프라로 활용하는 단계로 진화했음을 보여준다고 분석했다. GTIG는 “이더하이딩은 블록체인의 본질적 특성을 악용한 차세대 불법 호스팅(bulletproof hosting) 기법”이라며 “공격자들이 새로운 기술을 빠르게 흡수해 진화하고 있다”고 평가했다.

존 스콧-레일턴 시티즌랩(Citizen Lab) 연구원은 “이더하이딩은 아직 초기 실험 단계지만 인공지능(AI) 자동화 기술과 결합될 경우 탐지가 훨씬 어려워질 것”이라며 “공격자들이 블록체인에 직접 제로클릭(Zero-click) 취약점을 삽입해 거래 시스템이나 지갑 서버를 노릴 가능성도 있다”고 경고했다.

GTIG는 디지털자산 이용자들에게 의심스러운 다운로드를 차단하고 승인되지 않은 웹 스크립트 실행을 제한할 것을 권고했다. 또 보안 연구자들에게는 블록체인 네트워크 내에 내장된 악성 코드를 탐지하고 공개적으로 라벨링하는 노력이 필요하다고 강조했다.

한편, 블록체인 분석업체 TRM랩스(TRM Labs)에 따르면 북한 연계 해킹 조직들은 올해에만 약 15억달러(약 2조원) 규모의 디지털자산을 탈취한 것으로 추정된다. 이 자금은 북한의 군사 프로그램과 대북 제재 회피 활동에 사용되는 것으로 알려졌다.

블록미디어 / 문예윤 기자

원문 : https://www.blockmedia.co.kr/archives/992678