고액 연봉 미끼로… 北, 가짜 화상면접 통해 악성코드 유포

에스토니아 코인업체 직원 유인
지난달 해킹으로 492억원 탈취
北 해킹수법 더 교묘하게 진화

북한이 가상화폐 기업 직원에게 고액 연봉을 주겠다면서 가짜 경력직 채용 면접을 제안한 뒤 면접 과정에서 악성코드를 유포하는 수법 등을 사용해 해킹을 시도한 것으로 나타났다. 사이버 범죄를 통해 탈취한 가상화폐로 핵·미사일 개발 자금의 상당 부분을 충당하는 북한의 해킹 수법이 더욱 대담하고 교묘하게 진화하고 있는 것. 한미를 중심으로 대북 사이버 위협 공조가 강화되고 있지만 국내 기업 등에 대한 해킹 피해 우려가 커지고 있다.

에스토니아 가상화폐 환전업체인 코인스페이드는 7일(현지 시간) 홈페이지에 지난달 22일 북한 해커들의 공격으로 3730만 달러(약 492억 원)의 가상화폐를 도난당한 사건의 조사 결과를 발표했다.

발표에 따르면 이 업체 직원들은 6∼7월 구직 관련 소셜네트워크서비스(SNS)인 ‘링크트인’ 등을 통해 한 업체로부터 월 1만6000∼2만4000달러(약 2112만∼3168만 원)에 달하는 고액 연봉 조건으로 이직을 제안받았다. 가짜 채용인지 모르고 이 제안에 응한 한 직원은 화상면접 과정에서 특정 애플리케이션(앱)을 설치하라는 과제를 받고 앱을 설치했다. 이 앱에는 악성코드가 담겨 있었고, 해커들은 설치된 앱을 통해 업체 내부망에 접속할 수 있는 직원의 개인정보 등을 취득해 가상화폐를 탈취했다.

이에 앞서 해커들은 3월부터 업체 시스템의 취약점을 공략하기 위해 10여 차례에 걸쳐 스피어피싱(e메일을 통해 정보를 캐내는 피싱 수법) 공격을 감행했지만 실패했다. 이에 이번엔 SNS 등을 활용한 방식으로 해킹 수법을 바꾼 것. 코인스페이드는 “직원 컴퓨터에 대한 접근 권한을 얻지 않고선 시스템을 해킹할 수 없는 구조”라면서 “해커는 6개월간 업체 구조나 팀원들에 대한 세부 정보를 학습한 뒤 공격을 감행했다”고 밝혔다.

이 업체는 이번 해킹 공격과 관련해 “‘라자루스’와 동일한 방식의 해킹 패턴”이라고도 했다. 2007년 북한 정찰총국 산하에 창설된 라자루스는 2014년 미국 소니픽처스, 2016년 방글라데시 중앙은행 등 굵직한 해킹 사건을 주도한 조직으로 알려져 있다. 정부는 2월 사이버 분야 대북 독자제재 대상으로 라자루스를 지정한 바 있다.

신규진 기자 newjin@donga.com