"화상면접 한다며" 일자리 찾다 난데없는 해킹 공격…IT 구직자 노린다

임종철 디자이너 /사진=임종철 디자이너

북한 지원을 받는 해커들이 SW(소프트웨어) 개발 구직자와 구인기업을 노린다는 조사 결과가 나왔다.

글로벌 보안 기업 팔로알토 네트웍스는 위협 연구기관 유닛42의 조사를 바탕으로 북한의 지원을 받는 위협 행위자들의 공격에 각별한 주의가 필요하다며 30일 이같이 밝혔다.

유닛42는 최근 구인·구직활동과 관련한 2가지의 멀웨어를 확인했다. 이 중 '컨테이저스 인터뷰'라는 멀웨어는 위협 행위자가 고용주로 위장해 SW 개발자 면접을 통해 멀웨어를 설치하도록 유인하는 식으로 공격이 진행된다. '컨테이저스 인터뷰' 방식의 공격은 지난해 12월초부터 시작돼 현재까지도 이어지고 있다.

위협 행위자는 타깃이 되는 피해자를 화상 인터뷰에 참여하도록 초대하면서 공격을 시작한다. 피해자는 깃허브에서 호스팅되는 패키지를 다운로드해 자신의 단말기에 멀웨어를 설치한다. 이 멀웨어가 깔리면 피해자의 호스트는 백도어 멀웨어로 감염된다.

깃허브는 SW 개발자들을 위한 협업 플랫폼으로 기본 서비스 옵션이 무료이기 때문에 많은 개발자들이 사용한다. '컨테이저스 인터뷰' 공격을 자행하는 위협 행위자들은 다양한 아이디를 만들고 여러 개의 깃허브 리포지토리(디지털 스토리지)를 호스팅하면서 피해자의 신뢰를 얻는 인프라를 구축해둔다. 컨테이저스 인터뷰 공격은 암호 화폐 탈취 및 이후의 추가 공격을 위한 준비환경 마련 등에 쓰인다.

또 다른 멀웨어는 '웨이지몰'이라는 이름이 붙었다. 구직 활동자로 위장한 위협 행위자가 전 세계 여러 나라에서 프리랜서 일자리를 찾는다. 유닛42는 웨이지몰 멀웨어를 추적하는 과정에서 여러 이력서 파일을 확인했다. 이력서 내에는 링크드인 프로필과 깃허브 콘텐츠로 연결되는 링크가 담겨 있다. 이 깃허브 계정에는 코드 업데이트와 다른 개발자들과의 교류가 포함된 다양한 활동 기록이 담겨 있다. 이들은 SW 개발자로 위장해 원격 근무 등 방식으로 근무하면서 SW 공급망 공격의 기회를 노리는 것으로 알려졌다.

유닛42는 '컨테이저스 인터뷰' 및 '웨이지몰' 등 두 가지 방식의 공격이 북한에서 기존에 국가적 차원으로 후원했던 APT(지능형 지속 공격) 양상과 매우 유사하다고 지적했다. 또 이 공격과 관련한 문서의 비밀번호가 한글을 이용해 만들어 진 점, 북한에서만 사용하는 단어가 포함돼 있는 점, 이들의 컴퓨터에서 한국어 키보드 언어 설정이 발견된다는 점 등을 근거로 북한이 이같은 공격의 배후에 있다고 판단했다.

팔로알토는 "이같은 구인·구직관련 멀웨어를 예방하려면 개인이 구직·면접 등 사적인 업무를 할 때 회사에서 지급한 컴퓨터를 사용해서는 안된다"며 "위협 행위자가 개인 타깃을 통해 회사 네트워크에 침입할 수 있기 때문"이라고 했다.


또 "구인 기업에서 깃허브 계정을 검토할 때 업데이트가 거의 없거나 단일 리포지토리가 포함된 계정은 의심해 봐야 한다"며 "구직자는 면접을 제안하는 회사의 실존 여부와 합법성 등을 확인하고 면접관이 실제로 해당 회사와 일하고 있는지, 면접의 전제 조건으로 SW 패키지를 다운로드하도록 유도하는지 등을 확인해야 한다"고 했다.