임종철 디자이너 /사진=임종철 디자이너
글로벌 보안 기업 팔로알토 네트웍스는 위협 연구기관 유닛42의 조사를 바탕으로 북한의 지원을 받는 위협 행위자들의 공격에 각별한 주의가 필요하다며 30일 이같이 밝혔다.
유닛42는 최근 구인·구직활동과 관련한 2가지의 멀웨어를 확인했다. 이 중 '컨테이저스 인터뷰'라는 멀웨어는 위협 행위자가 고용주로 위장해 SW 개발자 면접을 통해 멀웨어를 설치하도록 유인하는 식으로 공격이 진행된다. '컨테이저스 인터뷰' 방식의 공격은 지난해 12월초부터 시작돼 현재까지도 이어지고 있다.
깃허브는 SW 개발자들을 위한 협업 플랫폼으로 기본 서비스 옵션이 무료이기 때문에 많은 개발자들이 사용한다. '컨테이저스 인터뷰' 공격을 자행하는 위협 행위자들은 다양한 아이디를 만들고 여러 개의 깃허브 리포지토리(디지털 스토리지)를 호스팅하면서 피해자의 신뢰를 얻는 인프라를 구축해둔다. 컨테이저스 인터뷰 공격은 암호 화폐 탈취 및 이후의 추가 공격을 위한 준비환경 마련 등에 쓰인다.
유닛42는 '컨테이저스 인터뷰' 및 '웨이지몰' 등 두 가지 방식의 공격이 북한에서 기존에 국가적 차원으로 후원했던 APT(지능형 지속 공격) 양상과 매우 유사하다고 지적했다. 또 이 공격과 관련한 문서의 비밀번호가 한글을 이용해 만들어 진 점, 북한에서만 사용하는 단어가 포함돼 있는 점, 이들의 컴퓨터에서 한국어 키보드 언어 설정이 발견된다는 점 등을 근거로 북한이 이같은 공격의 배후에 있다고 판단했다.
팔로알토는 "이같은 구인·구직관련 멀웨어를 예방하려면 개인이 구직·면접 등 사적인 업무를 할 때 회사에서 지급한 컴퓨터를 사용해서는 안된다"며 "위협 행위자가 개인 타깃을 통해 회사 네트워크에 침입할 수 있기 때문"이라고 했다.
이 시각 인기 뉴스
또 "구인 기업에서 깃허브 계정을 검토할 때 업데이트가 거의 없거나 단일 리포지토리가 포함된 계정은 의심해 봐야 한다"며 "구직자는 면접을 제안하는 회사의 실존 여부와 합법성 등을 확인하고 면접관이 실제로 해당 회사와 일하고 있는지, 면접의 전제 조건으로 SW 패키지를 다운로드하도록 유도하는지 등을 확인해야 한다"고 했다.