카스퍼스키, AI 도구 활용 ‘BlueNoroff’ 해킹그룹 공격

2025년 11월 05일

글로벌 사이버 보안 리더 카스퍼스키(www.kaspersky.co.kr 지사장 이효은)의 GReAT(글로벌 연구 분석팀)이 해킹 그룹인 BlueNoroff의 최신 APT활동을 공개했다.

BlueNoroff의 활동은 ‘GhostCall’과 ‘GhostHire’라는 두 가지 고도화된 표적형 공격으로, 지난 2025년 4월부터 인도, 터키, 호주 및 유럽·아시아의 여러 국가에 걸쳐 Web3 및 암호화폐 관련 기관을 대상으로 진행되고 있다.

BlueNoroff는 Lazarus 그룹의 하위 조직으로, 글로벌 암호화폐 산업을 겨냥한 금전적 탈취를 목적으로 하는 공격인 ‘SnatchCrypto’를 지속적으로 확장하고 있다. 새롭게 포착된 ‘GhostCall’과 ‘GhostHire’ 공격은 블록체인 개발자와 임원진을 침해하기 위해 새로운 침투 기법과 맞춤형 악성코드를 사용하며, 윈도우 및 macOS 시스템을 주요 공격 대상으로 삼고 통합 명령제어 인프라를 통해 관리되고 있다.

GhostCall: 정교한 사회공학 기반 macOS 공격

GhostCall 캠페인은 macOS 디바이스를 주요 대상으로 하며, 정교하게 설계된 맞춤형 사회공학 공격으로 시작된다. 공격자는 텔레그램을 통해 접근하며, 벤처캐피탈 투자자로 위장하거나, 실제 기업가나 스타트업 창업자의 탈취된 계정을 이용해 투자 또는 파트너십 제안을 가장한다. 피해자는 줌 또는 마이크로소프트 팀즈를 위장한 피싱 사이트로 초대되어 “오디오 문제를 해결하기 위한 업데이트”를 요청받는데, 이를 실행하면 악성 스크립트가 다운로드되어 기기에 멀웨어가 설치된다.

카스퍼스키의 류소준 GReAT 보안 연구원은 “이번 캠페인은 매우 치밀하게 계획된 기만 행위에 기반하고 있다. 공격자들은 이전 피해자들의 영상 자료를 재생해 실제 화상회의처럼 연출하며 새로운 표적의 신뢰를 얻는 방식으로 속였다. 이 과정에서 수집된 데이터는 초기 피해자뿐 아니라 후속 및 공급망 공격에도 활용되어 더 넓은 범위의 조직과 사용자를 위협한다”라고 말했다.

공격자는 총 7단계의 멀티 스테이지 실행 체인을 배포했으며, 이 중 4개는 이전에 보고되지 않은 새로운 형태였다. 이를 통해 암호화폐 탈취기, 브라우저 자격 증명 탈취기, 비밀정보 탈취기, 텔레그램 인증정보 탈취기 등의 다양한 맞춤형 페이로드를 유포했다.

카스퍼스키 이효은 한국지사장은 “AI 기반 공격 도구를 무기화한 BlueNoroff과 같은 APT의 등장은 한국의 디지털 경제에 커다란 위협으로 다가오고 있다. GhostCall과 GhostHire 공격은 공격자들이 텔레그램과 같은 신뢰 기반 플랫폼을 악용해 Web3 및 암호화폐 산업 내부로 침투하는 과정을 보여준다. 공격의 정교화가 가속화되는 만큼 한국 기업들은 AI 기반 위협 인텔리전스와 제로 트러스트 프레임워크를 우선적으로 도입해야 한다. 카스퍼스키의 XDR솔루션과 MDR 서비스는 조직이 고도화된 공격을 조기에 탐지하고 대응할 수 있도록 지원하며, 위협 인텔리전스를 통해 공급망 침해까지 선제적으로 방어할 수 있다. AI 기반 사이버 범죄의 시대에 경계심과 다계층 보안은 그 어느 때보다 중요하다”라고 말했다.

▲ GhostCall 공격 플로우

GhostHire 캠페인: 채용을 가장한 개발자 표적 공격

GhostHire 캠페인에서는 공격자가 블록체인 개발자를 채용 담당자로 위장해 공격한다. 피해자는 기술 테스트를 가장한 GitHub 저장소를 다운로드하고 실행하도록 유도된다. GhostHire는 GhostCall 캠페인과 공통 인프라 및 도구를 공유하지만, 영상통화 대신 가짜 채용 제안을 중심으로 진행된다. 초기 접촉 이후, 피해자는 텔레그램 봇에 추가되며, ZIP 파일 또는 GitHub 링크를 전달받는다. 짧은 기한 내에 테스트를 완료하라는 압박을 받으며 파일을 실행하면, 해당 악성코드는 운영체제(OS)에 맞게 최적화된 형태로 설치된다.

▲ GhostHire 공격 플로우

AI 기반 악성코드 개발 가속화

생성형 AI의 도입으로 BlueNoroff은 악성코드 개발 속도를 크게 높이고 공격 기법을 정교화할 수 있었다. 공격자들은 새로운 프로그래밍 언어를 도입하고 탐지 및 분석을 어렵게 만드는 기능을 추가했다. 이를 통해 공격의 규모와 복잡성을 동시에 확장시키고 있다.

카스퍼스키의 오마르 아민 GReAT 선임 보안 연구원은 “이전 캠페인과 비교할 때, 위협 행위자의 공격 전략은 단순한 암호화폐 탈취나 브라우저 자격 증명 탈취를 넘어섰다. 생성형 AI의 활용으로 공격 준비 과정이 단축되고, 더 정교한 표적화가 가능해졌다. 공격자는 수집된 데이터와 AI의 분석 역량을 결합해 공격의 범위를 지속적으로 확대하고 있다”라고 말했다.

추가 정보와 침해 지표(IoC)는 Securelist.com의 보고서에서 확인할 수 있다.

카스퍼스키는 GhostCall 및 GhostHire와 같은 공격으로부터 보호받기 위해 다음 모범 사례를 따를 것을 권장한다:

과도한 혜택 제안이나 투자 제안을 경계해야 한다. 특히 텔레그램, 링크드인 또는 기타 소셜 플랫폼을 통해 접근하는 모든 신규 연락처의 신원을 확인해야 한다. 민감한 커뮤니케이션은 검증되고 안전한 기업 채널을 통해 수행해야 한다.
신뢰하는 연락처의 계정이 해킹당했을 가능성을 고려해야 한다. 파일이나 링크를 열기 전에 대체 채널을 통해 신원을 확인하고, 항상 공식 도메인에서 작업 중인지 확인해야 한다. 문제 해결을 위해 검증되지 않은 스크립트나 명령어를 실행하면 안된다.
다양한 위협으로부터 회사를 보호하려면, 실시간 보호, 위협 가시성, 조사 및 EDR과 XDR의 대응 기능을 제공하는 Kaspersky Next 제품군의 솔루션을 사용하길 권장한다. 이는 규모와 업종에 관계없이 모든 조직에 적합하다. 현재 요구사항과 가용 자원에 따라 가장 적합한 제품 등급을 선택할 수 있으며, 사이버 보안 요구사항이 변경될 경우, 다른 등급으로 쉽게 마이그레이션할 수 있다.
카스퍼스키의 관리형 보안 서비스인 Compromise Assessment, Managed Detection and Response, Incident Response 등을 도입하는 것을 권장한다. 이 서비스들은 위협 식별부터 지속적인 보호 및 복구까지 전체 사고 관리 주기를 포괄한다. 사이버 보안 인력이 부족한 기업이라도 회피형 사이버 공격으로부터 보호하고, 사고를 조사할 수 있도록추가적인 전문성을 제공한다.
조직을 겨냥한 사이버 위협에 대한 심층적인 가시성을 정보 보안 전문가에게 제공해야 한다. 최신 Kaspersky Threat Intelligence는 전체 사고 관리 주기에 걸쳐 풍부하고 의미 있는 맥락을 제공하며, 사이버 위험을 적시에 식별할 수 있도록 지원한다.