반복내용 건너뛰기(skip to main content) 본문 바로가기(Go body) 메뉴 바로가기(Go Menu)
G03-8236672469

구글 GTIG, 北 연계 위협그룹 UNC5342 ‘이더하이딩’ 기법으로 암호자산 탈취 확인

NSP통신, 이복현 기자, 2025-10-17 12:00 KRD7 R0
#구글 #GTIG #北연계위협그룹 #UNC5342 #이더하이딩기법

(서울=NSP통신) 이복현 기자 = 구글 위협 인텔리전스 그룹(GTIG)이 북한 연계 위협 그룹 UNC5342가 공용·탈중앙화 블록체인을 악용해 악성코드 명령을 은닉하는 ‘이더하이딩(EtherHiding)’ 기법으로 암호화폐 탈취와 민감 정보 수집을 수행한 정황을 확인했다고 밝혔다.

GTIG는 이번 사례가 공개 블록체인을 이용해 악성코드 명령을 은폐·배포하는 기법이 국가 배후 위협 행위자에 의해 관찰된 사례라는 점에서 의미가 크다고 설명했다.

조사에 따르면 공격자는 팔로알토 네트웍스가 명명한 소셜엔지니어링 캠페인 ‘컨테이저스 인터뷰(Contagious Interview)’를 통해 개발자들을 유인, 다단계 악성코드를 설치하도록 유도했다.

G03-8236672469

이 악성코드는 윈도우·macOS·리눅스 등 다수 운영체제에 걸쳐 감염을 확산했으며, 명령과 페이로드를 변경 불가능한 블록체인에 보관한 뒤 읽기 전용으로 불러와 익명으로 지속 제어했다고 GTIG는 설명했다.

이 방식은 수사·차단 시도를 무력화하고 공격 지속성을 높이는 효과를 냈으며, 필요 시 페이로드를 유연하게 교체할 수 있어 대응을 어렵게 만든다.

GTIG는 이 기법이 암호화폐 탈취는 물론 민감 정보 수집 등 광범위한 악용 가능성을 열어둔다고 경고했다.

이번 조사에 참여한 구글 클라우드 맨디언트의 로버트 월레스 컨설팅 리더는 “국가 지원 위협 그룹이 수사당국의 조치에 맞서 신기술을 활용해 손쉽게 변형 가능한 악성코드를 배포하고 있다”며 위협 환경의 격화를 우려했다.

ⓒ한국의 경제뉴스통신사 NSP통신·NSP TV. 무단전재-재배포 및 AI학습 이용 금지.