Open DID 커뮤니티

HOME

닫기 닫기
문의하기

산업동향

[정책 및 기술동향] AI 기반 APT 공격, 블록체인 생태계 침투 가속...기업 경계 태세 ‘레드존’
2025.11.05

AI 기반 APT 공격, 블록체인 생태계 침투 가속...기업 경계 태세 ‘레드존’

카스퍼스키 GReAT, 생성형 AI 기반 맞춤형 악성코드와 다단계 침투 기법 공개

 

 

카스퍼스키(Kaspersky, 지사장 이효은)의 글로벌 연구 분석팀 GReAT가 BlueNoroff의 최신 APT 활동을 사실 기반으로 한 보고서를 발표했다. 보고서에 따르면 BlueNoroff는 2025년 4월부터 인도, 터키, 호주 및 유럽·아시아의 여러 국가에서 Web3 및 암호화폐 관련 기관을 표적으로 GhostCall과 GhostHire 캠페인을 전개했다.

 

두 캠페인은 텔레그램 초기 접촉과 탈취된 계정의 위조를 통해 표적과 신뢰를 형성한 뒤 피싱 사이트나 가짜 채용 테스트로 악성코드를 유포하는 흐름을 공통으로 보인다고 보고서는 밝힌다.

 

카스퍼스키는 공격자가 윈도우와 macOS 양쪽을 노려 통합 명령제어 인프라로 맞춤형 페이로드를 관리했다고 했다.


맥OS와 블록체인 개발자 겨냥한 GhostCall·GhostHire

 

GhostCall 캠페인은 macOS 디바이스를 주요 표적으로 삼는 정교한 사회공학 기반 공격이다. 공격자는 텔레그램을 통해 벤처캐피탈 투자자나 탈취된 창업자 계정을 위장해 접근한다. 표적은 줌 또는 마이크로소프트 팀즈를 가장한 피싱 사이트로 초대되어 “오디오 문제 해결 업데이트” 실행을 요청받는다. 사용자가 해당 업데이트를 실행하면 악성 스크립트가 다운로드되어 멀웨어가 설치되는 흐름이 보고서에 기술되어 있다.

 

카스퍼스키는 공격자가 이전 피해자의 영상 자료를 재생해 화상회의처럼 연출하는 등 신뢰를 형성하는 치밀한 기만 수법을 사용했다고 지적한다.

 

GhostHire 캠페인은 블록체인 개발자를 대상으로 채용 절차를 위장해 GitHub 저장소나 ZIP 파일 형태의 기술 테스트를 제공하는 방식으로 전개된다. 피해자는 텔레그램 봇으로 추가된 뒤 짧은 기한 내 테스트를 완료하도록 압박받으며, 실행된 파일은 운영체제별로 최적화된 악성 변형으로 설치된다고 보고서는 밝힌다.

 

총 7단계의 멀티스테이지 실행 체인 전개

 

보고서는 공격자가 총 7단계의 멀티스테이지 실행 체인을 전개했으며 그중 4단계는 이전에 보고되지 않은 새로운 형태라고 명시한다.

 

유포된 페이로드는 암호화폐 탈취기, 브라우저 자격증명 탈취기, 비밀정보 탈취기, 텔레그램 인증정보 탈취기 등으로 분류된다. 공격자는 운영체제별로 페이로드를 최적화해 Windows와 macOS에서 모두 탐지 회피와 데이터 탈취를 수행했다고 보고서는 적시한다.

 

카스퍼스키 연구진은 BlueNoroff가 생성형 AI를 악용해 악성코드 개발 속도를 높이고 탐지 회피 기법을 정교화했다고 분석한다. 공격자는 새로운 프로그래밍 언어 도입과 자동화된 코드 변형을 통해 분석 난이도를 높였으며 수집 데이터와 AI 분석을 결합해 연쇄 표적화를 수행했다고 보고서는 기술한다.

 

오마르 아민 GReAT 선임 보안연구원은 생성형 AI의 활용이 공격 준비 시간을 단축시키고 표적화 정밀도를 높였다고 평가했다.

 

탐지·대응 권고와 조직적 시사점

 

카스퍼스키는 보고서를 통해 실무적 권고를 제시하며 텔레그램·링크드인 등 소셜 플랫폼을 통한 신규 연락처는 반드시 대체 채널로 재확인할 것을 권고한다. 신뢰하는 연락처의 계정이 탈취되었을 가능성을 전제해 파일과 링크 실행 전 대체 채널을 통한 확인 절차를 운영화해야 한다.

 

조직은 실시간 보호, 위협 가시성, 조사 및 EDR·XDR 대응 기능을 제공하는 보안 솔루션을 도입해야 한다. 특히 브라우저 자격증명 및 메시지 인증정보 탈취를 방지하기 위해 행동 기반 탐지와 프로세스 행위 분석을 강화해야 한다.

 

위협 인텔리전스 연동을 통해 IoC 피드를 자동화하고 Compromise Assessment·MDR·Incident Response 등 관리형 서비스를 활용해 침해 흔적을 신속히 규명해야 한다.

 

카스퍼스키 이효은 한국지사장은 AI 기반 공격 도구의 확산이 한국의 디지털 경제에 큰 위협이라고 지적하며 제로 트러스트와 AI 기반 위협 인텔리전스 도입을 권고했다.

 

카스퍼스키 GReAT의 보고서는 BlueNoroff의 GhostCall과 GhostHire가 Web3 및 암호화폐 생태계 내부의 특정 역할과 개인을 표적으로 삼아 정교한 사회공학과 맞춤형 멀웨어로 침투하고 있음을 사실에 근거해 제시한다. 보고서는 생성AI의 악용이 악성코드 개발과 표적화의 속도 및 정교성을 증대시켰음을 명시하며 상세 침해 지표(IoC) 및 기술적 분석은 Securelist.com 보고서에서 확인할 것을 안내한다.

 

조직은 보고서의 권고를 바탕으로 검증된 커뮤니케이션 채널 사용, 스크립트 실행 금지, 실시간 탐지·대응 체계 도입 등 구체적 방어 수단을 점검해야 한다. 

 

 

GTT KOREA / 배성철 기자

원문 : https://www.gttkorea.com/news/articleView.html?idxno=22426

 

목록