북한과 연계된 것으로 알려진 해킹 그룹 ‘패이머스 촐리마(Famous Chollima, 일명 와게몰(Wagemole))’가 새로운 파이썬 기반 원격 접근 트로이 목마(RAT)인 ‘파일랭고스트(PylangGhost)’를 이용하여 암호화폐 분야 구직자들을 집중적으로 노리고 있다는 경고가 나왔다. 시스코 탈로스(Cisco Talos)의 최근 보고서에 따르면, 이들은 가짜 채용 공고와 면접 캠페인을 통해 소셜 엔지니어링 공격을 감행하고 있으며, 주로 인도 지역의 암호화폐 및 블록체인 경력자를 표적으로 삼고 있다.
공격자들은 코인베이스(Coinbase), 로빈후드(Robinhood), 유니스왑(Uniswap) 등 실제 기업을 사칭하는 가짜 채용 웹사이트를 개설하여 피해자들을 유인한다. 이후 가짜 채용 담당자가 연락하여 기술 테스트 웹사이트로 유도하고, 여기서 개인 정보를 수집한다. 결정적인 단계에서는 피해자들이 가짜 면접을 위해 화상 및 카메라 접속을 허용하도록 유도하며, 업데이트된 비디오 드라이버를 설치하는 것처럼 속여 악성 명령을 복사하고 실행하게 만든다. 이 과정을 통해 피해자의 기기가 완전히 해킹당하게 된다. 일단 시스템이 감염되면, 파일랭고스트는 원격 제어를 가능하게 하고 80개 이상의 브라우저 확장 프로그램에서 쿠키와 자격 증명을 훔쳐낸다. 특히 메타마스크(MetaMask), 팬텀(Phantom), 트론링크(TronLink), 멀티버스X(MultiverseX)와 같은 암호화폐 지갑은 물론, 1패스워드(1Password), 노드패스(NordPass) 등 패스워드 관리자 정보까지 탈취 대상에 포함되어 있어 개인 자산과 민감 정보가 심각한 위험에 노출된다. 이 악성코드는 스크린샷 촬영, 파일 관리, 브라우저 데이터 절도, 시스템 정보 수집, 감염된 시스템에 대한 원격 접근 유지 등 다양한 기능을 수행할 수 있는 다중 작업 능력을 보유하고 있다. 연구원들은 코드 내 주석을 분석한 결과, 인공지능 대규모 언어 모델(LLM)이 해당 코드를 작성하는 데 사용되었을 가능성은 낮다고 밝혔다.
북한과 연계된 해커 그룹이 가짜 채용 공고를 이용해 암호화폐 전문가들을 노린 것은 이번이 처음이 아니다. 지난 4월에도 14억 달러 규모의 바이비트(Bybit) 해킹 사건과 관련된 해커들이 악성코드에 감염된 가짜 채용 테스트를 사용하여 암호화폐 개발자들을 표적으로 삼은 사례가 있었다. 이러한 공격은 단순한 금전적 이득을 넘어 국가적 차원의 외화 벌이 또는 사이버 전쟁 역량 강화와 연계될 수 있어 더욱 심각한 위협으로 간주된다. 암호화폐 산업에 종사하는 개인 및 기업은 이러한 정교한 소셜 엔지니어링 공격에 대비하여 의심스러운 채용 제안이나 링크를 클릭하지 않고, 알 수 없는 출처의 파일을 실행하지 않는 등 각별한 주의를 기울여야 한다. 또한, 강력한 암호 사용, 다단계 인증 활성화, 최신 보안 소프트웨어 유지 등 기본적인 사이버 보안 수칙을 철저히 준수하는 것이 무엇보다 중요하며, 기업 차원에서도 임직원 대상의 보안 교육을 강화해야 할 시점이다.