북한 출신 해커들이 애플의 macOS를 목표로 삼아 새로운 사이버 공격을 전개하며 Web3 업계를 겨냥한 정교한 해킹 기법이 다시 주목받고 있다. 사이버 보안 전문 기업 센티넬원의 연구팀인 센티넬랩스는 최근 '님도어(NimDoor)'라는 이름의 악성코드를 분석하며 사용 언어와 침투 방식에서 독특한 특징을 발견했다고 밝혔다.

이번 공격의 주체는 웹3 스타트업 종사자들을 주로 노리며, '님(Nim)'이라 불리는 다소 생소한 프로그래밍 언어를 이용하여 복합적인 공격 체계를 구축했다. 이 공격은 이메일을 통해 줌(Zoom) 업데이트를 안내하는 것처럼 위장하여 맬웨어를 배포하며, 클릭 한 번으로 시스템 정보를 탈취하고 지속적인 접근을 위한 이차 코드를 동시에 실행하는 구조로 이루어져 있다. 애플리케이션에서 수집된 정보는 해커의 서버로 전송되며, 브라우저 및 텔레그램 데이터도 폭넓게 수집된다.

이 공격 기법은 다층적인 악성코드 구성을 통해 탐지를 우회하는 정교함이 특징적이다. 사전 단계에서 캘린들리(Calendly)를 통해 미팅 요청을 위장하고, 정상적인 줌 링크를 사용하여 미팅을 안내하는 방식은 사용자에게 경계심을 낮추는 효과를 가져온다. 이러한 이유로 일반적인 보안 솔루션으로는 탐지가 어려워, 헌터스(Huntress)와 Huntabil.IT 등 여러 보안 업체들이 추가 피해 사례를 확인한 바 있다.

또한, 블록체인 데이터를 추적하는 독립 분석가 잭엑스비티(ZachXBT)는 이 공격과 관련해 북한 IT 인력들의 금전적 흐름을 공개했다. 그는 지난 1월부터 12개 기업에 소속된 북한 개발자 8명이 매월 약 276만 달러(약 38억 3,640만 원)를 USDC로 송금받은 정황을 발견했다고 전했다. 이들 중 일부의 지갑 주소는 최근 테더(Tether)가 '심현섭(Sim Hyon Sop)'이라는 공모 혐의자와 관련하여 블랙리스트에 올린 주소와 유사하여 의혹을 더욱 증폭시키고 있다.

잭엑스비티는 이러한 작업자들이 스마트 계약에 접근할 수 있게 되면 해당 프로젝트에 심각한 리스크가 발생할 수 있다고 경고했다. 그는 "여러 북한 IT 인력이 포함된 팀에서 발생할 수 있는 실패 가능성은 특히 높다. 공격 기술 자체보다도 프로젝트 운영팀의 부주의가 문제가 되는 경우가 많다"고 경고하며 산업계의 경각심을 촉구했다.

이번 사건은 단순한 사기성 해킹이 아니라 장기간에 걸친 체계적인 침투 전략으로 기획된 점에서 우려를 낳고 있다. Web3 스타트업과 암호화폐 기업들은 개발자 고용 및 외부 협업 시 보안 측면에서의 사전 검증 프로세스를 강화해야 한다는 지적이 나오고 있다.