"사회공학적 기법과 AI 딥페이크가 결합된 새로운 차원의 위협"
북한과 연계된 사이버 위협 그룹 블루노로프(BlueNoroff)가 인공지능 기반 딥페이크 기술을 활용해 실시간 줌(Zoom) 회의를 조작하고, 가상화폐 기업 직원의 맥(mac)OS 장비에 악성코드를 설치한 사건이 발생했다. 이번 공격은 보안업체 헌트러스(Huntress)의 분석으로 지난 6월 11일 공개됐다.
공격은 텔레그램(Telegram) 메시지로 시작됐다. 외부 인사로 가장한 공격자는 피해자에게 대화를 요청하며 구글 미팅으로 위장한 캘린들리(Calendly) 링크를 보냈다. 하지만 해당 링크를 클릭하면 사용자는 공격자가 조작한 가짜 줌 도메인으로 리디렉션된다.
몇 주 후, 피해자는 다수의 외부 인사와 회사 고위 임원들로 보이는 인물들이 참석한 줌 회의에 접속했다. 하지만 이 참석자들은 실제 인물이 아닌, AI로 생성된 딥페이크 영상이었다. 회의 도중 피해자가 마이크가 작동하지 않는다고 말하자, 딥페이크 임원들은 줌 확장 기능을 설치하라고 유도했고, 이를 텔레그램을 통해 전달했다.
해당 파일은 'zoom_sdk_support.scpt'라는 이름의 애플스크립트 파일이었다. 이 스크립트는 처음에는 줌의 공식 SDK 웹페이지를 여는 것처럼 보였지만, 수천 줄의 공백 후에는 은밀하게 셸 명령어를 실행해 공격을 개시한다. 이 과정에서 bash 히스토리 로깅을 비활성화하고, 애플 실리콘 장치에서 x86 기반 악성코드를 실행할 수 있도록 Rosetta 2를 설치하며, 숨김 파일(.pwd)에 사용자 인증 정보를 저장하고, /tmp/icloud_helper 경로에 추가 악성코드를 다운로드한다. 또한 시스템 권한 요청을 반복하며 사용자 비밀번호를 얻고, 모든 명령 실행 기록을 삭제한다.
헌트러스는 피해 장비에서 최소 8개의 악성 바이너리를 발견했다고 밝혔다. 각각은 다음과 같은 기능을 수행했다.
-Telegram 2: Nim 언어로 작성된 백도어로, 시스템에 상주하며 지속적인 원격 제어를 지원함.
-Root Troy V4: Go 언어 기반의 고급 백도어로, 쉘 명령 실행, AppleScript 전달, 추가 악성코드 다운로드 수행.
-InjectWithDyld: C++ 기반 로더로, 암호화된 페이로드를 정상 프로세스에 은폐시켜 실행.
-Base App: Swift로 제작된 정상 애플리케이션처럼 보이는 호스트 애플리케이션.
-두 번째 Nim 임플란트: 비동기 명령 및 제어(C2) 기능 수행.
-XScreen: Objective-C로 작성된 키로거로, 키 입력, 클립보드, 화면을 감시하여 외부 서버로 전송.
-CryptoBot: Go 언어 기반 정보 수집기로, 암호화폐 관련 파일 및 지갑 데이터 탈취.
-NetChk: 공격을 숨기기 위한 용도의 무해한 숫자 생성 프로그램.
블루노로프는 라자루스 그룹(Lazarus Group)의 하위 조직으로, TA444, Sapphire Sleet, Copernicium 등 다양한 이름으로 불린다. 주로 금융기관, 암호화폐 거래소, ATM 등을 겨냥한 금전 탈취 목적의 공격을 수행하며, 대표적인 사례로 2025년 2월의 바이빗(Bybit) 해킹과 2022년 3월의 엑시 인피니티(Axie Infinity) 사건이 있다.
보안 전문가들은 이번 공격을 "사회공학적 기법과 AI 딥페이크가 결합된 새로운 차원의 위협"으로 평가했다. 또 “실시간 화상회의에서 AI로 생성된 인물이 등장하고, 자연스러운 대화와 사기성 행위가 결합되면, 보안 인식이 높은 사용자조차 속을 수 있다”고 지적했다.
이와 유사한 공격은 시스코 탈로스(Cisco Talos)에서도 관찰되고 있다. 이들은 ‘ClickFake Interview’라는 이름의 캠페인을 통해 가짜 채용 인터뷰 사이트에서 사용자에게 악성 명령어 입력을 유도하는 수법을 사용하며, 맥OS에는 Go 언어 기반 ‘GolangGhost’, 윈도우에는 Python 기반 ‘PylangGhost’를 배포해 다중 플랫폼을 노린다.
이번 공격은 AI 기반 딥페이크, 맥OS 전용 악성코드, 다단계 백도어 등 다양한 기술이 조합된 복합 공격 사례로, 블루노로프 조직의 정교함을 보여주는 동시에 전통적인 보안 방어만으로는 대응이 어려운 시대라는 것을 말하고 있다.
기술적 방어뿐 아니라 '사람을 노리는' 공격에 대한 인식과 훈련이 그 어느 때보다 중요한 시점이다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
