리플(Ripple)이 크립토 ISAC(Crypto ISAC)에 북한 사이버 위협 정보 — 사기 도메인, 지갑 주소, 침해 지표 등 — 를 독점적으로 전달하고 있다. 업계는 정교한 사회공학 공격의 연속에 대응하고 있는 상황이다. 이 정보에는 북한 IT 노동자로 의심되는 인물들의 강화된 프로필이 포함되어 있으며, 링크드인 계정, 이메일, 위치, 연락처 등이 광범위한 사이버 캠페인과 연결되어 있다. 이번 조치는 드리프트(Drift) 해킹이 공격자들이 수개월에 걸쳐 신뢰를 쌓아 멀티시그 지갑을 손상시키고 전통적인 보안 조치를 우회할 수 있음을 보여준 지 몇 주 후에 이루어졌다.
정보 공개 내부
리플의 기여는 단순한 원시 데이터 이상이다. 자료에는 북한(DPRK)과 연계된 IT 노동자로 의심되는 인물들의 프로필이 포함되어 있어, 기업들이 채용 및 공급업체 실사 과정에서 교차 확인할 수 있다. 크립토 ISAC의 전무이사는 공유된 정보가 이제 선택 사항에서 암호화폐 업계 보안의 '골드 스탠다드'로 전환되었다고 말했다. 이 기관은 한 기업에서 배경 조사에 실패한 위협 행위자들이 같은 주에 다른 세 곳에 지원하는 경우가 많아, 공유 데이터가 실질적인 필수 요소이지 단순한 부가 사항이 아니라고 경고한다.
드리프트 사례 연구
드리프트 해킹은 단순한 급습이 아니었다. 공격자들은 멀티시그 지갑 통제를 악용하기 전에 목표와 신뢰를 쌓는 데 수개월을 보냈다. 전통적인 경계 방어 — 방화벽, 안티바이러스, 표준 엔드포인트 모니터링 — 는 이 장기적인 사기극을 잡아내지 못했다. 이것이 바로 공유 정보가 가장 큰 이점을 제공하는 위협 유형이다: 단일 기업만으로는 볼 수 없는 패턴을 여러 기업 간에 발견하는 것이다.
정보 공유 방식
리플, 코인베이스(Coinbase) 및 기타 크립토 ISAC 창립 멤버들은 새로운 API를 통해 위협 데이터를 통합하고 있으며, 이 API는 Web2 및 Web3 환경 모두에서 지표를 표준화하여 보안 운영에 활용한다. 이 API를 통해 회원사들은 강화된 위협 프로필을 자체 SIEM 및 사고 대응 워크플로우로 직접 가져와, 악성 행위자를 식별하고 네트워크 전반에서 차단하는 시간을 단축할 수 있다.
크립토 ISAC은 앞으로 몇 달 안에 더 많은 회원사들이 API에 연결될 것으로 예상한다. 현재로서는 북한(DPRK) 데이터를 가장 표적이 될 가능성이 높은 기업 — 거래소, 수탁사, DeFi 프로토콜 — 의 손에 전달하는 데 초점을 맞추고 있다. 드리프트의 전략은 공격자들이 인내심을 가지고 있음을 보여준다. 업계의 대응도 그만큼 지속적이어야 한다.
