3월 말에 저는 Fortune의 IT 관리자로부터 우려스러운 메시지를 받았습니다. 그는 “취약점을 노출시키는 프로세스가 있습니다”라고 말하면서 누군가가 내 컴퓨터 주변에 숨어 있을 수 있다고 말했습니다. “그 사람을 죽여야 해요.” 나는 당황했다. 나중에 Fortune의 IT 부서에서 검토한 로그에 따르면 오전 11시 4분에 다운로드한 파일에는 키보드 키 입력을 모니터링하고, 컴퓨터 화면을 기록하고, 비밀번호를 보고, 애플리케이션에 액세스할 수 있는 기능이 있었습니다.
노트북을 끄고 브루클린 아파트에서 뛰쳐나와 가장 가까운 지하철역으로 달려갔습니다. IT의 도움을 받아 노트북을 청소할 예정이었던 Fortune 사무실로 가는 기차를 기다리는 동안 나는 편집자에게 문자를 보냈습니다. “내가 북한에 사기를 당한 것 같습니다.”
그는 조선민주주의인민공화국에 대해 보도한 적이 있었고 그 나라가 미국 투자자들을 표적으로 삼는 것을 좋아한다는 것을 알고 있었습니다. 그러나 나는 그들의 악명 높은 해커들이 나를 쫓아와서 그들의 속임수에 대해 직접적으로 교훈을 줄 것이라고는 결코 생각하지 못했습니다.
‘사기 분위기’
Hermit Kingdom은 수년간 암호화폐 산업을 괴롭혀왔습니다. 제재로 인해 글로벌 금융 시스템에서 단절된 국가는 청구서 지불을 돕기 위해 국가가 후원하는 암호화폐 절도에 눈을 돌렸습니다. 암호화폐 분석업체 체이널리시스(Chainalytic)의 데이터에 따르면 2025년에만 북한군과 연계된 해커들이 도난당한 암호화폐로 20억 달러를 모았는데, 이는 전년도보다 약 50% 증가한 수치이다.
조선민주주의인민공화국은 피해자를 속이기 위해 검증된 전략을 개발해왔습니다. 여기에는 회사를 설득하여 자신을 IT 직원으로 채용하도록 하는 것과 나를 속이는 데 사용되는 기술이 포함됩니다.
북한군은 3월 중순에 함정을 설치했다. 미끼는 암호화폐 업계가 선호하는 메시징 앱인 텔레그램을 통해 헤지펀드 투자자가 보낸 메시지 형태로 나왔습니다. 제가 쓴 이야기의 익명 출처이기 때문에 이름을 밝히지 않은 투자자는 비트코인 채굴업체 MARA Holdings의 최고 전략 책임자였던 Adam Swick이라는 사람을 만나고 싶은지 물었습니다.
나는 “물론입니다”라고 대답했고(내 정보원은 역사적으로 친절하고 도움이 되었습니다) 그들은 나를 그룹 채팅에 연결했습니다. 내 소식통에 따르면 Swick은 새로운 디지털 자산 재무부를 만드는 방법을 모색 중이며 “초기 투자자의 잠재적인 잠재력이 크다”고 합니다.
회사가 의심스러운 것 같았어요. 그럼에도 불구하고 그는 적어도 Swick의 말을 기꺼이 들어줄 의향이 있었습니다. 텔레그램에서 그는 나에게 통화 일정을 잡아달라고 요청했고, 일주일 후 내 헤지펀드 소스가 Zoom 링크로 보이는 것을 나에게 보냈습니다. 나는 그것을 클릭했다.
출시된 프로그램은 제가 매일 사용하는 Zoom과 비슷해 보였지만 디자인이 조금 이상하고 오디오가 작동하지 않았습니다. 나는 사운드 문제를 해결하기 위해 소프트웨어를 업데이트하라는 요청을 받았고 동시에 Swick은 나에게 다음과 같은 편지를 보냈습니다. “Zoom이 당신을 대신하여 행동하는 것 같습니다.” 업데이트를 다운로드하기 위해 클릭했습니다.
내 브라우저의 링크가 텔레그램에서 나에게 전송된 링크와 동일하지 않다는 것을 보고 회의를 또 다른 화상 회의 서비스인 Google Meet으로 옮겨달라고 요청했을 때 아드레날린이 치솟았습니다. 나는 Swick과 헤지 펀드 투자자인 제 정보원에게 “이것이 나에게 사기꾼 같은 느낌을 주고 있습니다”라고 썼습니다.
Swick은 “걱정하지 마세요. PC에서 시도해 보았습니다.”라고 주장했습니다.
나는 MacBook에서 스크립트를 실행하려고 시도하지 않았고 Zoom 회의를 떠나기로 결정했습니다. “나와 대화하고 싶다면 구글 미트를 통해 하자”고 텔레그램으로 썼다. 내 소식통이 나를 그룹 채팅에서 빨리 쫓아냈습니다.
바이러스 트릭
IT를 방문하기 위해 아파트에서 뛰쳐나오면서 나는 베테랑 보안 연구원인 Taylor Monahan에게 메시지를 보냈습니다. 그는 암호화폐 공격 피해자를 돕는 자원봉사자 그룹인 SEAL 911의 회원입니다. 나는 그에게 내가 다운로드한 대본과 내가 받은 화상회의 링크를 보냈다.
그는 잠시 후 “그건 북한이다”라고 대답했다.
내가 스크립트를 실행했다면 해커는 내 비밀번호, 텔레그램 계정, 내가 가지고 있는 모든 암호화폐를 훔쳤을 것입니다. (다행히도 저는 무시할 만큼의 비트코인과 기타 암호화폐를 소유하고 있습니다.)
해킹의 특성상 배후가 누구인지 100% 확신하기는 쉽지 않지만, 제가 아슬아슬하게 실수한 경우에는 링크, 대본, 심지어 Adam Swick과 관련된 가짜 계정까지 모두 북한을 가리킨다고 Monahan이 말했습니다. 수사관들은 블록체인 분석을 포함한 증거를 조합하여 사건을 북한과 연결합니다. 북한 해커를 추적하는 다른 두 명의 보안 연구원은 내가 그들에게 화상 회의의 대본과 링크를 보냈을 때 그의 평가를 뒷받침했습니다.
모나한은 나를 따라온 북한 사람을 가리키며 “테이가 인사한다고 전해주세요 ㅋㅋㅋ”라고 말했다.
Monahan과 다른 보안 연구원들은 암호화폐 산업에서 가짜 화상 회의 통화와 관련된 수백 건의 사례에 대응했습니다. 이 계획은 공식적이지만 효과적입니다.
해커는 실제 사람의 텔레그램 계정을 제어한 다음 연락처에 연락합니다. 해당 연락처에는 화상 통화에 로그인하라는 메시지가 표시되지만, 항상 오디오가 작동하지 않습니다. 피해자에게는 소리 문제를 해결하기 위해 업데이트를 실행하라는 메시지가 표시됩니다. 스크립트를 실행하면 해커는 피해자의 암호화폐, 비밀번호, 텔레그램 계정에 접근할 수 있게 됩니다. 사실, 나를 공격한 동일한 그룹의 북한 사람들이 소프트웨어 개발자 전반을 착취하기 위해 고안된 해킹의 배후에 있었다고 구글이 수요일에 발표한 보고서에서 밝혔습니다.
나는 람보르기니를 운전하는 비트코인 투자자는 아니지만 북한은 단지 부자들만 표적으로 삼는 것이 아니라고 모나한은 말했습니다. 해커들이 점점 더 많은 수의 암호화폐 저널리스트를 노리는 것을 목격했습니다. 아마도 그들의 Telegram 계정에 상당한 Rolodex가 있기 때문일 것입니다. 이러한 연락처 중 일부는 암호화폐 자산을 창출할 가능성이 매우 높습니다.
건강한 세포를 가로채는 바이러스처럼 해커는 새로 손상된 계정을 손상시키고 사용자의 연락처를 공격합니다. 그래서 감염될 뻔했어요. 아는 사람과 얘기하고 있는 것 같아서 멍한 기분이 들었습니다.
‘가짜’
노트북을 청소하고, 비밀번호를 변경하고, Fortune의 IT 관리자에게 깊은 감사를 표한 후 마침내 그의 휴대폰으로 제 정보원에게 전화를 걸었습니다. 놀랍게도 그의 텔레그램 계정은 3월 초에 해킹당했습니다. 그는 “텔레그램에는 휴대폰이나 컴퓨터에 저장하지 않은 연락처가 많았다”고 말했다. “그러나 나에게 있어서는 그보다 더 중요한 것은 누군가가 당신을 사칭하고 있다는 사실, 즉 기본적으로 당신의 이름을 사용하여 사람들을 속이고 있다는 사실을 알면 모욕감을 느끼는 것입니다.”
그는 3주 동안 텔레그램에 여러 차례 도움을 요청했지만 아무런 응답을 받지 못했습니다. (“텔레그램은 계정을 보호하기 위해 최선을 다하고 있지만 어떤 플랫폼도 속아서 악의적인 행위자에게 로그인 정보를 제공하는 사용자를 보호하는 것은 불가능합니다.”라고 대변인은 성명을 통해 말했습니다. 그리고 제가 연락한 후 이 앱이 헤지 펀드 투자자의 계정을 동결했다고 덧붙였습니다.)
나도 진짜 스윅에게 전화를 걸었다. 해커들은 2월 초부터 텔레그램을 통해 그를 사칭해왔고, 전 MARA 홀딩스 임원은 왜 회의를 주최하고 싶은지 묻는 수십 통의 문자 메시지와 전화를 받았습니다. 그는 늘 사과했다. “하지만 그들 중 일부는 나에게 ‘야, 왜 사과하는 거야?’라고 말했습니다.” Swick이 말했습니다. “그리고 나는 ‘모르겠어요. 척해서 사과드린 것 같아요. 이런 일이 일어나서 정말 미안해요.'”라고 말했습니다.
Swick은 해커들이 왜 자신을 사칭하는지 몰랐고, 헤지 펀드 투자자인 제 정보원은 그의 텔레그램 계정이 어떻게 손상되었는지도 몰랐습니다. 하지만 전화 통화가 끝날 무렵, 투자자와 저는 우연히 가능한 답변을 발견했습니다.
가짜 Swick은 투자자가 Telegram 계정이 해킹되기 전에 마지막으로 대화를 나눈 사람 중 한 명이었습니다. 내 소식통은 “나는 그와 함께 Zoom을 탔는데 그의 오디오가 연결되지 않았습니다”라고 말했습니다. “뭔가를 다운로드하려고 했던 기억이 어렴풋이 나네요.”
즉, 내 정보원은 아마도 나를 뒤따른 동일한 해커로부터 공격을 받았을 것입니다. 그와 나는 그의 노트북이 잠재적으로 손상되었다는 것을 깨닫고 나서, 헤지 펀드 투자자는 전화를 끊고 그의 컴퓨터를 지웠습니다.
텔레그램으로 가짜 Adam Swick에게 연락했습니다. “이 계정은 북한 관련 누군가가 관리하는 계정인가요?” 나는 썼다.
아직 응답을 받지 못했습니다.
