[블록미디어 Jack Han 에디터] 보안 전문가들이 북한 해커들이 주도하는 악성 채용 사기에 대해 경고했다.
17일(현지시각) 코인텔레그래프에 따르면 해커들은 주로 디지털자산(가상자산) 개발자들에게 접근해 거짓으로 높은 연봉을 제안하며, 악성 소프트웨어를 배포해 피해자의 시스템을 공격하고 있다.
북한 정부와 연계된 것으로 알려진 해킹 그룹 ‘슬로우 파이시스(Slow Pisces)’가 최근 가짜 채용 테스트를 통한 사이버 공격을 벌이고 있다. 해커들은 링크드인(LinkedIn) 같은 네트워킹 플랫폼에서 개발자들에게 접근해 신뢰를 얻은 뒤, 깃허브(GitHub)에 업로드된 악성 문서 형태의 코딩 과제를 전달한다. 피해자가 문서를 실행하면 스틸러 멀웨어가 설치돼 클라우드 설정, SSH 키, iCloud 키체인, 애플리케이션 정보, 지갑 접근 권한 등 민감한 정보를 빼내는 것으로 나타났다.
매체는 보안 매체 더 해커 뉴스를 인용해, 이러한 악성 행위는 슬로우 파이시스를 비롯해 △제이드 슬릿(Jade Sleet) △푹총(Pukchong) △트레이더트레이터(TraderTraitor) △UNC4899 등 다양한 이름으로 불리는 해킹 그룹에 의해 자행되고 있다고 전했다.
전문 네트워킹 플랫폼 악용한 공격 증가
또한, 보안 기업 사이버스(Cyvers)의 하칸 유날 보안운영센터 리드에 따르면, 이 해커들은 주로 개발자의 인증 정보와 접근 코드를 확보하는 것을 목표로 삼는다. 이 과정에서 클라우드 설정, 애플리케이션 메타데이터, API 키 및 생산 인프라 접근 권한 등을 노린다.
보안 회사 핵켄(Hacken)의 서비스 프로젝트 매니저 루이스 루벡은 “악의적인 행위자들이 링크드인뿐 아니라 업워크(Upwork)와 파이버(Fiverr) 같은 프리랜스 플랫폼에서도 활동하고 있다”고 말했다. 루벡은 이들이 주로 디파이(DeFi)나 보안 분야 관련 높은 보수를 제안하는 계약이나 테스트를 핑계로 개발자들에게 접근한다고 설명했다.
체이널리시스(Chainalysis)의 솔루션 아키텍트 시게카와 하야토는 해커들이 거짓 이력서로 신뢰할 만한 직장 프로필을 만들어내는 등 치밀한 전략을 사용한다고 밝혔다. “이들은 결국 타겟으로 삼은 개발자가 소속된 웹3 회사에 접근해 취약점을 파악하고 이를 악용하려 한다”고 그는 평가했다.
악성 제안 경계 및 예방 조치 강조
핵켄의 온체인 보안연구원 예호르 루디치아는 “공격자들이 점점 더 창의적으로 심리적·기술적 방법을 결합해 보안 취약점을 이용하고 있다”고 말했다. 그는 교육과 보안 절차 준수의 중요성을 강조하며, 이것이 스마트 계약 점검만큼 중요하다고 지적했다.
유날은 악성 코드를 방지하기 위한 최선의 방법으로 △가상 머신과 샌드박스를 이용한 테스트 △채용 제안 독립 검증 △낯선 코드 실행 피하기 등을 추천했다. 또한, 검증되지 않은 패키지 설치를 피하고, 강력한 엔드포인트 보호도 사용해야 한다고 밝혔다.
루벡은 공식 채널을 통해 채용 담당자의 신원을 확인할 것을 권고하며, 시크릿 파일을 일반 텍스트 형식으로 저장하지 말 것을 강조했다. 그는 “너무 좋은 조건의 미확인 채용 제안에 특히 조심해야 한다”고 덧붙였다.
같이 보면 좋은 기사