앵커: 북한 정찰총국 소속 해킹 단체인 라자루스가 코인베이스, 아치블록, 쿠코인 등 주요 암호화폐 기업의 채용 담당자로 사칭해 구직자들에게 접근하고 있는 것으로 파악됐습니다. 원격 채용 면접을 진행하는 것처럼 꾸며 전문성을 가진 구직자들의 정보를 탈취하는 건데요. 박수영 기자가 보도합니다.
라자루스가 사칭한 기업: 코인베이스, 아치블록, 쿠코인
사이버 보안업체 세코이아(Sekoia.io)가 지난달 31일 공개한 보고서에 따르면, 북한 해킹 그룹 라자루스가 정보 수집 및 암호화폐 탈취를 위해 가장 많이 사칭한 그룹으로는 코인베이스 (Coinbase), 아치블록(Archblock), 쿠코인(KuCoin)이 꼽혔습니다.
라자루스는 가짜 채용 면접 웹사이트를 통해 악성 코드를 배포하는 수법을 사용하고 있다며, 이 가짜 채용 웹사이트에서 수집한 면접 제안서 184개를 바탕으로 사칭에 이용된 14개의 회사명을 발견했다고 보고서는 설명했습니다.
14개 회사 중 9개는 중앙화된 금융(CeFi)을 제공하는 그룹으로 코인베이스, 쿠코인, 크라켄, 서클 등입니다.
아치블록(Archblock)만이 탈중앙화 금융(DeFi) 서비스를 제공하는 기업으로 분류되며, 나머지 4개 기업은 블록체인 기반 결제 솔루션 및 분석 서비스를 제공하는 업체입니다.
이는 라자루스 그룹이 암호화폐 관련 기관을 주요 표적으로 삼고 있고, 지난해 북한이 탈중앙화금융보다는 중앙화금융 그룹을 대상으로 삼은 동향과 일치한다고 보고서는 분석했습니다.
중앙화금융 그룹이 사칭의 주요 표적이 되는 이유는 높은 금전적 가치, 피해자의 신뢰 유도, 암호화폐 등 민감한 정보 접근 용이성 등이 있습니다.
자산 관리, 전략 기획 분야 구직자들 표적
세코이아는 가짜 채용 면접 사이트에서 가장 많이 구인하는 직무 유형은 자산 관리 및 교육과 사업개발 및 전략기획 분야라고 밝혔습니다.
보고서에 첨부된 그래프에 따르면 각각 자산 관리 및 교육 분야 30.8%, 사업개발 및 전략기획 분야 28.6%, 프로그램 개발 분야 13.5%를 차지했습니다.
보고서는 “모든 직무가 소프트웨어 개발 분야 기술직은 아니”라며 “주로 (표적이 되는 분야는) 사업 개발, 자산 관리, 제품 개발 또는 탈중앙화금융 전문가와 같은 관리자 직무”라고 설명했습니다.
이어 “이는 주로 개발자와 소프트웨어 엔지니어를 대상으로 했던 이전 북한의 해킹 경향과는 다른 변화”라고 덧붙였습니다.
제미나이 등 유명 채용담당자로 사칭...신종 기법 ‘클릭페이크’ 활용
가짜 채용 면접 웹사이트를 활용한 라자루스의 해킹 수법은 정교해지고 있습니다.
세코이아는 보고서에서 라자루스 그룹이 지난 2월부터 신종 기법 ‘클릭페이크(ClickFake)’ 즉, 암호화폐 관련 업체 취업 희망자들을 유인해 가짜 채용 면접 웹사이트를 접속하게 한 다음 악성코드를 배포하는 수법을 사용하고 있다고 밝혔습니다.
온라인 구직 사이트인 링크드인(LinkedIn)이나 소셜미디어 X를 통해 구직자들에게 화상 면접을 제안하고 면접을 위해 인공지능 개발 플랫폼 깃허브(GitHub)에서 악성 파일 다운로드를 유도하는 방식입니다.
보고서는 지난해 말 이를 직접 경험했다는 온라인 게시글을 예시로 들며, 채용 담당자가 구직자에게 관심을 표하면서 제3의 웹사이트를 방문해 간단한 원격 화상 면접에 참여할 것을 제안한다고 설명했습니다.
게시글에서는 개인 메시지를 보내며 본인을 크라켄(Kraken), 엠이엑스씨(MEXC), 제미나이(Gemini), 메타(Meta) 등의 유명 IT기업의 채용 담당자라고 소개한다고 덧붙였습니다.
가짜 화상 면접 웹사이트에 접속하면 연락처, 암호화폐에 대한 질문 3가지, 카메라를 이용해 자기소개 영상 촬영 등을 요구한 뒤 “카메라 또는 마이크의 접근이 차단되었다”며 ‘실행 창‘을 열어 제시된 명령어를 입력해 이를 해결하라고 지시합니다.
이는 ‘복사-붙여넣기’ 기법으로 알려진 클릭픽스(ClickFix)로 라자루스 그룹이 주로 사용하는 악성코드 배포 방식입니다.
명령어를 입력하면 악성 파일이 다운로드되고 이후 원격 제어, 데이터 유출, 브라우저 정보와 암호화폐 탈취 등이 가능해집니다.
관련 기사
“북, ‘바이비트’ 해킹 후 비트코인 보유량 세계 3위”
보고서를 공동 작성한 세코이아의 수석 사이버보안 정보분석가 콜린 샤반(Coline Chavane)은 1일 RFA에 “이번 연구 결과는 라자루스가 구직자를 대상으로 한 해킹 수법이 지속적으로 개선되고 있다는 걸 보여준다”며 “(고용에 대한) 신뢰를 바탕으로 특정 전문가들을 목표로 하고 있다”고 설명했습니다.
또 “이는 북한이 암호화폐 시장, 블록체인 기술, 잠재적인 재정적 이익에 대해 깊이 이해하고 있다는 것을 반영”하고 “이 같은 기법들이 계속해서 진화함에 따라, 현재의 위협을 탐지하고 대응하는 것을 넘어, 유사한 유형의 추후 사이버 공격을 예측하기 위해 면밀히 분석하는 것이 중요하다”고 강조했습니다.
앞서 북한은 미국과 영국 정부에 이어 비트코인 보유량 세계 3위에 올랐으며 북한의 비트코인 중 대부분은 라자루스가 탈취한 물량이라는 보도도 나온 바 있습니다.
라자루스는 지난 2월 세계 최대의 가상화폐 거래소 중 하나인 바이비트를 공격해 암호화폐의 일종인 이더리움 15억 달러 상당을 탈취했습니다.
에디터 박재우