- 북한과 관련된 위협 행위자들이 화상 면접 과정에서 구직자에게 멀웨어 설치를 유도하거나, 원격 근무자로 일하는 프리랜서로 위장해 다운스트림 공격망 공격 노리는 등의 시도 발견

 

팔로알토 네트웍스는 위협 연구 기관 유닛42(Unit42)의 조사를 바탕으로, 북한의 지원을 받는 위협 행위자들이 소프트웨어 개발 구직자 및 구인 기업들을 노리는 공격을 시도하고 있다며 이에 대한 각별한 주의가 필요하다고 밝혔다.

 

유닛42가 최근 구인·구직 활동과 관련해 발견하고 추적중인 2가지 멀웨어는 “컨테이져스 인터뷰(Contagious Interview)”와 “웨이지몰(Wagemole)”이다. ‘컨테이저스 인터뷰’라고 명명된 첫 번째 멀웨어는 위협 행위자가 고용주로 위장하여 소프트웨어 개발자가 면접 과정을 통해 멀웨어를 설치하도록 유인하는 캠페인이다. 팔로알토 네트웍스의 추적 기록에 따르면, 이 캠페인은 2022년 12월 초부터 시작되어 여전히 활동중이며, 공격의 주요 목적은 암호화폐를 탈취하고, 이후의 추가 공격을 위한 준비환경을 마련하는데 있다.

 

이 공격은 위협행위자가 타깃이 되는 피해자를 화상 인터뷰에 참여하도록 초대하며 시작된다. 인터뷰 중 위협 행위자는 피해자에게 깃허브(GitHub)에서 호스팅되는 NPM 기반 패키지를 다운로드하여 설치하도록 유도한다. 위협 행위자는 피해자에게 이 패키지를 검토 또는 분석할 소프트웨어로 제시하지만, 실제로는 피해자의 호스트를 백도어 멀웨어로 감염시키도록 설계된 악성 자바스크립트가 포함되어 있는 방식이다.

 

깃허브는 소프트웨어 개발자들을 위한 협업 플랫폼으로, 기본 서비스 옵션이 무료이기 때문에 많은 개발자들이 사용하고 있으며, 그만큼 범죄자들에게도 매력적인 타깃이 된다. ‘컨테이져스 인터뷰’ 공격 배후의 위협 행위자들은 다양한 ID를 생성하여 여러 개의 깃허브 리포지토리를 호스팅함으로써 피해자의 신뢰를 얻는 인프라를 구축해 두었다.

 

‘웨이지몰’이라고 명명된 두번째 멀웨어는 구직 활동자로 위장한 공격이다. 이 공격을 추적화는 과정에서 노출된 파일에는 다양한 기술 역량이 포함된 여러 신원의 이력서가 포함되어 있으며, 이력서 내에는 링크드인(LinkedIn) 프로필 및 깃허브 콘텐츠로 연결되는 링크가 담겨 있다. 특히 깃허브 계정에는 코드 업데이트 및 다른 개발자들의 교류가 포함된 다양한 활동 기록이 남아 있는데, 정상적인 계정과 구분이 어려울 정도로 위장했다. 또한, 원격 근무를 희망한다는 내용을 남겨두기도 했다.

 

이 위협행위자들은 전 세계 여러 국가에서 프리랜서 구직을 실시하고 있는데, 구인 구직 플랫폼에서 평판이 높은 계정을 구매하거나 대여하려는 시도도 여러 곳에서 발견됐다. 이들은 소프트웨어 개발자로 위장해 IT 채용 공고를 노림으로써 다운스트림 공급망 공격의 기회를 노린다.

 

유닛42는 이 두가지 공격이 북한이 기존에 국가적 차원에서 후원했던 APT의 양상과 매우 유사하며, 이 공격과 관련된 문서의 비밀번호가 미국 키보트에서 한글을 이용해 만들어 졌다는 점, 북한에서만 사용하는 단어가 포함되어 있고, 이들의 컴퓨터에서 한국어 키보드 언어 설정이 발견된다는 점 등을 근거로 북한이 배후에 있음을 추정했다.

 

팔로알토 네트웍스는 이 같은 구인, 구직 관련 멀웨어 예방 대책으로, 개인이 구직 및 면접 등의 사적인 용도에 회사에서 지급한 컴퓨터를 사용해서는 안된다고 권고했다. 위협행위자가 개인 타깃을 통해 회사 네트워크에 침입할 수 있기 때문이다. 또한, 구인 기업에서 깃허브 계정 검토 시 업데이트가 거의 없거나 단일 리포지토리가 포함된 계정은 의심해 봐야 한다고 경고했다. 구직자의 경우 면접을 제안하는 회사의 실존 여부, 합법성 등을 확인하고, 면접관이 실제로 해당 회사와 일하고 있는지, 면접의 전제조건으로 소프트웨어 패키지를 다운로드하도록 유도하는지 등을 확인해야 한다.

 

팔로알토 네트웍스의 고객들은 확장형 탐지 대응 플랫폼 ‘코어텍스 XDR(Cortex XDR)’과 차세대 방화벽(NGFW)을 비롯해 어드밴스드 와일드파이어(Advanced WildFire), 고급형 선제 방어(Advanced Threat Prevention), 어드밴스드 URL 필터링(Advanced URL Filtering) 등의 클라우드 보안 서비스를 통해 멀웨어로부터 안전하게 보호 받고 있다.

 

#팔로알토#XDR#멀웨어#유닛42#