이 기사는 다음에서 나왔습니다: ZachXBT

Odaily Planet Daily( @OdailyChina )에서 편집; Azuma( @azuma_eth )에서 번역

편집자 주: 북한 해커들은 암호화폐 시장에 항상 큰 위협이었습니다. 과거에는 피해자와 업계 보안 전문가들이 관련 보안 사고의 리버스 엔지니어링을 통해서만 북한 해커들의 행동 패턴을 유추할 수 있었습니다. 그러나 어제, 유명 온체인 탐정 ZachXBT는 최근 트윗에서 북한 해커들을 리버스 해킹한 화이트 해커의 조사 및 분석을 인용했습니다. 북한 해커들의 "작업 방식"을 처음으로 선제적으로 폭로한 이번 사건은 업계 프로젝트의 선제적 보안 구축에 긍정적인 영향을 미칠 수 있습니다.

다음은 Odaily Planet Daily가 편집한 ZachXBT의 전문입니다.

익명의 해커가 최근 북한 IT 근로자의 기기를 해킹하여 5명으로 구성된 기술팀이 가짜 정부 발급 신분증을 사용해 30개가 넘는 가짜 신분증을 운영한 사실과 Upwork 및 LinkedIn 계정을 구매해 다양한 개발 프로젝트에 침투한 사실이 드러났습니다.

조사관들은 Google 드라이브 데이터, Chrome 브라우저 프로필, 기기 스크린샷을 입수하여 해당 팀이 업무 일정을 조정하고, 업무를 할당하고, 예산을 관리하기 위해 Google 도구를 크게 활용했으며 모든 의사소통이 영어로 진행되었다는 사실을 밝혀냈습니다.

2025년 주간 보고서는 해커 팀의 업무 패턴과 그들이 겪은 어려움을 드러냈습니다. 예를 들어, 한 멤버는 "업무 요건을 이해할 수 없고 무엇을 해야 할지 모르겠다"고 불평했습니다. 이에 대한 해결책은 "헌신하고 더 열심히 일하는 것"이었습니다.

자세한 지출 기록을 보면 지출 항목에 사회보장번호(SSN) 구매, Upwork 및 LinkedIn 계정 거래, 전화번호 임대, AI 서비스 구독, 컴퓨터 임대, VPN/프록시 서비스 구매 등이 포함되어 있는 것으로 나타났습니다.

한 스프레드시트에는 가상의 "헨리 장"이 참석한 회의 일정과 대본이 자세히 기록되어 있었습니다. 운영 과정에 따르면, 이 북한 IT 직원들은 먼저 업워크와 링크드인 계정을 구매하고, 컴퓨터 장비를 임대한 다음, AnyDesk 원격 제어 도구를 사용하여 아웃소싱 업무를 완료했습니다.

그들이 자금을 보내고 받는 데 사용한 지갑 주소 중 하나는 다음과 같습니다: 0x78e1a4781d184e7ce6a124dd96e765e2bea96f2c ;

이 주소는 2025년 6월 발생한 68만 달러 규모의 Favrr 프로토콜 공격과 밀접한 관련이 있습니다. CTO와 다른 개발자들은 위조된 신분증을 소지한 북한 IT 직원으로 확인되었습니다. 이 주소는 다른 침투 프로젝트에 연루된 북한 IT 인력을 식별하는 데에도 사용되었습니다.

연구팀은 또한 검색 기록과 브라우저 기록에서 다음과 같은 주요 증거를 발견했습니다.

"그들이 북한 출신이라는 걸 어떻게 확신할 수 있죠?"라고 물을 수도 있습니다. 위에서 자세히 설명한 모든 위조 문서 외에도, 검색 기록을 보면 그들이 자주 구글 번역을 사용하고 러시아 IP를 사용하여 한국어로 번역하는 것으로 드러납니다.

현재 기업들이 북한 IT 노동자 유입을 차단하는 데 있어 직면한 주요 과제는 다음과 같습니다.

• 체계적인 협력 부족: 플랫폼 서비스 제공자와 민간 기업 간에 효과적인 정보 공유 및 협력 메커니즘이 부족합니다.
• 고용주 감독: 채용팀은 위험 경고를 받은 후 방어적인 태도를 취하거나 심지어 조사에 협조하기를 거부하는 경우가 많습니다.
• 수적 우위의 영향: 기술적 수단이 복잡하지 않음에도 불구하고, 거대한 구직자 기반을 바탕으로 글로벌 취업 시장에 지속적으로 침투하고 있습니다.
• 자금 변환 채널: Payoneer와 같은 결제 플랫폼은 개발 작업에서 발생하는 법정 화폐 수입을 암호화폐로 변환하는 데 자주 사용됩니다.

주의가 필요한 지표들을 여러 번 소개했습니다. 관심 있으시면 제가 이전에 올렸던 트윗들을 확인해 보세요. 여기서는 다시 언급하지 않겠습니다.