Google Threat Intelligence Group(GTIG)은 북한 연계 해킹조직 UNC5342가 ‘이더하이딩(EtherHiding)’으로 불리는 새로운 공격 기법을 활용해 암호화폐 탈취 및 민감 정보 수집 활동을 벌인 정황을 포착했다고 17일 발표했다.

이번 조사에서 GTIG는 퍼블릭 블록체인과 탈중앙화 네트워크를 악용해 악성코드 명령을 숨기는 ‘이더하이딩’ 기법이 국가 지원 해킹조직에 의해 실제로 사용된 사례를 최초로 확인했다고 밝혔다.

UNC5342는 보안업체 팔로알토 네트웍스(Palo Alto Networks)가 ‘컨테이저스 인터뷰(Contagious Interview)’라고 명명한 소셜 엔지니어링 기반 공격 캠페인을 수행했다. 이들은 주로 개발자나 보안 연구자를 대상으로 가짜 인터뷰나 협업 제안을 보내 피해자가 스스로 악성코드를 설치하도록 유도했다.

GTIG 분석에 따르면 이번 공격은 윈도(Windows), 맥OS(macOS), 리눅스(Linux) 등 다양한 운영체제에 영향을 미치는 다단계 감염 구조로 설계됐다. 공격자는 블록체인에 저장된 악성코드를 ‘변경 불가능한(read-only)’ 형태로 불러와 익명으로 명령을 전달했고, 이를 통해 보안 탐지나 차단을 회피하며 공격을 지속할 수 있었다. 또한, 필요한 경우 페이로드(payload)를 신속히 수정해 추가 명령을 실행할 수 있도록 구성했다.

GTIG는 UNC5342가 이더하이딩을 이용함으로써 공격 중단 시도나 차단 조치를 무력화하고 장기적 침투를 유지할 수 있는 기술적 기반을 확보했다는 점에서 이번 사례가 중요하다고 평가했다.

로버트 월리스(Robert Wallace) 구글 클라우드 맨디언트 컨설팅 리더는 “이번 사건은 국가 지원 해킹조직이 최신 기술을 얼마나 빠르게 흡수하고 변형하는지를 보여준다”며 “이들은 수사기관의 대응에 맞서 악성코드를 재구성하거나 은폐하는 등 위협 환경이 한층 복잡해지고 있다”고 말했다.

이번 연구 결과는 국가 지원 해킹조직이 블록체인 기술을 악성코드 통신 및 명령 제어(C2) 수단으로 본격 활용하기 시작했다는 점에서 사이버 보안 업계의 주목을 받고 있다.

자세한 분석 내용과 기술적 세부 사항은 GTIG의 공식 블로그를 통해 확인할 수 있다.