구글 로고

구글이 북한 연계 해킹 그룹이 암호화폐 탈취를 위해 블록체인에 악성코드를 숨기는 신종 공격 기법을 사용한 사실을 처음 확인했다.

17일 구글 위협 인텔리전스 그룹(GTIG)은 북한 해킹 그룹 'UNC5342'가 '이더하이딩(EtherHiding)'이라는 수법을 쓴다고 밝혔다. 

국가 지원 위협 그룹이 탈중앙화된 블록체인을 악성 명령 은닉에 사용한 첫 사례다.

이들은 개발자에게 접근해 악성코드를 직접 설치하게 유도하는 '컨테이저스 인터뷰'라는 사회 공학적 방식을 썼다.

이더하이딩은 윈도우, 맥OS, 리눅스 등 다양한 운영체제를 가리지 않고 침투한다. 공격자는 악성 명령을 블록체인 네트워크에 저장한 뒤 '읽기 전용'으로 불러온다. 

블록체인의 '변경 불가' 속성을 이용해 기존 보안망을 우회하고, 추적과 차단을 원천적으로 어렵게 만드는 것이다.

구글은 이 기법이 기존의 지휘·통제(C2) 서버 제거 방식으로는 막을 수 없다고 분석했다. 공격의 근원을 찾아내도 블록체인에 남은 명령이 계속 작동하기 때문이다.

로버트 월레스 구글 맨디언트 컨설팅 리더는 "위협 환경이 격화되고 있다는 증거다. 국가 지원 위협 그룹이 수사당국에 맞서 손쉽게 변형 가능한 신기술을 적극 활용하고 있다"고 경고했다.

구글은 글로벌 보안 커뮤니티와 협력해 UNC5342의 활동을 추적하고, 유사 공격 탐지를 위한 정보 공유를 강화할 방침이다.