북한과 연계된 해킹 조직 라자루스 그룹(Lazarus Group)이 전문 인맥 네트워크 링크드인(LinkedIn)을 악용해 가상화폐 및 여행 산업 종사자들을 표적으로 한 사이버 스파이 활동을 벌이고 있다. 이들은 가짜 채용 제안을 미끼로 삼아 윈도우(Windows), 맥OS(macOS), 리눅스(Linux) 등 다양한 운영체제를 감염시키는 악성코드를 유포하는 것으로 확인됐다.
가짜 채용 절차를 이용한 정교한 공격
공격은 링크드인을 통해 피해자에게 원격 근무, 높은 연봉 등 매력적인 조건을 내세운 채용 제안을 보내는 방식으로 시작된다. 피해자가 관심을 보이면 공격자는 이력서 제출을 요청하거나 깃허브(GitHub) 저장소 링크를 요구하며 피해자의 신뢰를 얻는다.
이후 피해자에게 분산형 거래소(DEX) 프로젝트의 최소 기능 제품(MVP)이 담긴 저장소 링크를 보내고 코드 검토를 요청한다. 하지만 해당 코드에는 난독화된 스크립트가 포함되어 있으며, 이를 실행할 경우 원격 서버에서 추가 악성 페이로드가 다운로드된다. 이 악성코드는 피해자의 브라우저에 설치된 암호화폐 지갑 확장 프로그램에서 데이터를 탈취하는 한편, 파이썬(Python) 기반 백도어를 설치해 원격 접속 유지, 클립보드 모니터링, 추가 악성코드 배포 등의 기능을 수행한다.
진화하는 해킹 전술과 변종 악성코드
보안업체 비트디펜더(Bitdefender)는 이번 캠페인이 과거 ‘컨테이저스 인터뷰(Contagious Interview)’ 공격과 유사한 점이 많다고 분석했다. 이 캠페인은 브라우저 데이터를 탈취하는 자바스크립트 기반 ‘비버테일(BeaverTail)’과 파이썬 기반 악성코드 ‘인비저블페렛(InvisibleFerret)’을 활용하는 것이 특징이다.
또한 보안업체 시큐리티스코어카드(SecurityScorecard)의 STRIKE 팀은 ‘오퍼레이션 99(Operation 99)’로 명명된 또 다른 해킹 작전을 발견했다. 해당 작전에서는 프리랜서 개발자를 대상으로 악성 깃 저장소를 복제하도록 유도한 뒤, 피해자의 시스템에 명령제어(C2) 서버와 연결되는 악성코드를 설치했다. 해당 악성코드는 윈도우, 맥OS, 리눅스 환경에서 작동하며, 키로깅, 클립보드 모니터링, 브라우저 자격 증명 탈취 등의 기능을 수행하는 것으로 밝혀졌다.
글로벌 해킹 확산과 경고
라자루스 그룹은 링크드인뿐만 아니라 레딧(Reddit) 등 다양한 플랫폼에서 유사한 방식으로 공격을 시도하고 있으며, 가짜 채용 담당자의 프로필과 저장소 이름을 지속적으로 변경하며 탐지를 회피하고 있다.
이들은 2014년 소니 픽처스 해킹 사건, 2017년 워너크라이(WannaCry) 랜섬웨어 공격 등으로 악명을 떨쳤으며, 2024년에도 6억 5,900만 달러 상당의 암호화폐 탈취 사건의 배후로 지목됐다. 특히 인도 암호화폐 거래소 와지르엑스(WazirX)와 일본 DMM 비트코인(DMM Bitcoin)에서 각각 2억 3,500만 달러, 3억 800만 달러를 탈취했으며, 이로 인해 DMM 비트코인은 결국 폐쇄됐다.
미국 연방수사국(FBI)은 라자루스 그룹이 가짜 기업 제안서, 피싱 이메일 등 다양한 사회공학적 기법을 활용해 공격을 시도하고 있으며, ‘트레이더트레이터(TraderTraitor)’, ‘애플제우스(AppleJeus)’ 등의 악성코드를 유포하고 있다고 경고했다.
보안 전문가들은 가상화폐 및 금융업계 종사자들에게 채용 제안과 관련한 의심스러운 접근에 각별한 주의를 기울일 것을 당부하고 있다.
About the Author
