크립토 업계 노린 북한 해킹, 맥에서 자산·계정 탈취

• 1.4조원 탈취 시도한 라자루스, 가짜 화상회의 초대·클릭픽스(ClickFix) 맥용 자동 탈취 악성코드로 글로벌 핀테크 타격
• 브라우저·키체인 자격증명·지갑 정보 자동 탈취, 흔적 완전 삭제…100,000달러 탈취 시도, Bybit 거래소 등 실제 피해 급증

2026년 4월 22일 Cointelegraph에 따르면 북한 라자루스 조직이 맥용 자동 탈취 악성코드를 활용해 글로벌 크립토 및 핀테크 기업 임직원을 대대적으로 노린 공격을 감행한 것으로 보도됐다. 라자루스는 1.4조원 규모의 가상자산 탈취 시도 전력이 있는 집단으로, 이번엔 가짜 화상회의 초대장과 클릭픽스(ClickFix) 지원 요청을 전방위적으로 활용하면서, 사회공학 기반의 정교한 침투 방식이 업계에 큰 충격을 안겼다.

이번 공격은 글로벌 기업 임직원을 대상으로 가짜 Zoom, Google Meet 화상회의 초대장 또는 클릭픽스(ClickFix) 지원 요청처럼 ‘실제와 구분이 어려운 공식 사내 외부 커뮤니케이션’을 위장해 배포하면서 시작됐다. 피해자들은 이에 속아 안내된 AppleScript 실행파일이나 명령 프롬프트 코드 입력을 허용했고, 이 시점에서 맥 환경에 특화된 자동 탈취 악성코드가 은밀히 설치됐다. 이 악성코드는 macOS의 보안체계를 우회하고, 브라우저 저장소와 키체인 등에서 지갑 정보·저장된 패스워드·세션 쿠키 등 민감 자산을 마치 양동이로 퍼담듯 자동 추출했다. 추출 데이터는 압축을 거쳐 바로 텔레그램을 통해 공격자에게 전송됐고, 이어지는 과정에서 AppleScript와 맞춤형 코드, Mach-O 실행파일들이 동원돼 탐지망을 교묘히 회피했다. 특히 마지막 단계에선 rm 명령어의 반복 실행으로 시스템 상 모든 흔적과 로그, 감염파일 자체가 ‘초 단위’로 완벽히 삭제되어, 피해자는 침해 여부를 알 길이 없는 황당할 정도의 흔적 인식 불가 상황에 빠졌다.

라자루스는 2025년 Bybit 거래소 등에서 이미 14억 달러(약 1.4조원) 상당 자산을 해킹으로 탈취한 바 있다. 또, 최근에는 마우로 엘드리치 BCA Ltd 창업자 등 글로벌 크립토·핀테크 관계자 100,000달러 상당 피해까지 실제로 발생한 것이 확인되면서, macOS 환경이 더 이상 안전지대가 아니라는 경고가 업계 전반에 퍼졌다. 기술적으로는 ‘가짜 페이크 미팅 초대→사회공학적 스피어 피싱→안내된 스크립트 실행→완전 자동화 탈취 및 흔적 삭제’로 이뤄진 고도화된 공격 루틴이 반복됐다.

이런 연쇄 침투로 인해, 크립토·핀테크 업계는 계정·인프라·블록체인 자산·공급망 연쇄 피해 등 실질적 타격과 신뢰 하락에 직면했다. 기업들은 사용자 보안교육, AppleScript/Mach-O 실행차단, 외부 채널 데이터모니터링, 브라우저와 지갑의 추가 암호화 등 종합적 보안 강화책 마련이 절실해진 상황이다.

2026년 4월 22일 15시 8분(UTC) 기준, 네오는 코인마켓캡에서 2.35% 상승해 2.903달러에 거래되고 있다. 24시간 거래량은 직전 대비 –3.22% 감소했다.