북한 연계 해킹조직으로 지목돼 온 블루노로프가 가상자산 탈취 수법을 한층 정교하게 진화시킨 것으로 나타났다. 단순히 암호화폐 지갑만 노리는 수준을 넘어, 화상회의와 채용 절차, 클라우드 계정, 메신저, 브라우저 자격증명까지 한꺼번에 장악하는 방식으로 공격 범위를 넓히고 있다는 분석이다.

글로벌 보안업체 카스퍼스키는 16일 이 같은 내용을 담은 심층 보고서를 공개하며 Web3·블록체인 업계 종사자들의 각별한 주의를 당부했다.

이번 분석의 핵심은 ‘고스트콜(GhostCall)’과 ‘고스트하이어(GhostHire)’라는 두 갈래 공격이다.

카스퍼스키가 공개한 자료에 따르면 블루노로프는 적어도 2025년 4월부터 이들 캠페인을 추적당해 왔으며, 공격 대상은 블록체인 개발자와 벤처캐피털, 스타트업 경영진 등으로 좁혀졌다.

텔레그램을 기반으로 접근한 뒤 투자자나 채용 담당자로 신분을 속이고, 신뢰를 확보한 후 악성코드 실행을 유도하는 방식이 공통적이다.

고스트콜은 화상회의를 미끼로 한 공격이다.

피해자는 투자 논의나 파트너십 미팅처럼 꾸며진 가짜 Zoom 또는 Teams 페이지로 유도된다.

이 과정에서 공격자는 딥페이크가 아니라 과거 피해자의 실제 회의 영상을 재생해 ‘지금 연결된 진짜 미팅’처럼 보이게 만든다.

이후 오디오 문제나 프로그램 오류를 해결해야 한다며 가짜 업데이트 설치를 유도하고, 사용자가 이를 실행하면 감염 사슬이 시작된다.

특히 카스퍼스키는 이 캠페인이 주로 macOS 환경을 겨냥했다고 설명했다.

고스트하이어는 채용 절차를 위장한 침투 방식이다.

공격자는 미국 금융회사나 글로벌 기업의 리크루터를 사칭해 Web3 개발자에게 접근하고, 기술 평가 과제를 수행하라고 요구한다.

피해자는 텔레그램 봇이나 GitHub 링크를 통해 압축파일 또는 저장소를 전달받는데, 대개 “30분 안에 제출하라”는 식의 시간 압박이 함께 주어진다.

짧은 제한 시간은 검증 여유를 빼앗고, 결국 악성 프로젝트를 그대로 실행하게 만드는 심리전으로 작동한다.

보고서는 이번 공격이 단순 피싱이 아니라 다단계 악성코드 체인을 통해 진행된다고 지적했다.

카스퍼스키는 최소 7개 이상의 감염 흐름과 여러 신규 악성 구성요소를 확인했다고 밝혔다.

여기에는 브라우저 자격증명 탈취, 텔레그램 계정 수집, 암호화폐 지갑 정보 유출, 각종 비밀키와 API 키 수집 기능이 포함된다.

공개 자료에는 공격자가 OpenAI 관련 디렉터리를 노려 ChatGPT 계정 사용 흔적까지 확보하려 한 정황도 담겼다.

특히 눈에 띄는 것은 생성형 AI의 활용이다.

카스퍼스키는 블루노로프가 가짜 프로필 이미지 제작, 악성 스크립트 작성, 코드 정교화 등 공격 여러 단계에서 AI 도구를 쓴 정황을 포착했다고 밝혔다.

이는 공격 준비 시간을 단축하고, 새로운 프로그래밍 언어와 난독화 기법을 더 빠르게 도입하게 만드는 요소로 작용할 수 있다는 분석이다.

카스퍼스키는 피해자가 일본, 이탈리아, 프랑스, 싱가포르, 인도, 홍콩 등 여러 지역에서 확인됐다고 밝혔다.

특히 Web3와 블록체인 산업에 종사하는 기술기업 임원, 벤처캐피털 관계자, 개발자들이 주요 표적이었다.

회사 측은 텔레그램을 통한 갑작스러운 투자 제안이나 채용 연락, 그리고 빠른 실행을 재촉하는 코드 테스트 요청에 대해 경계해야 한다고 강조했다.