"신입사원 정체가 北해커" 위장 취업 '비상'...네이버 광고도 악용

북한 기반 해커 조직들의 해킹 시도/그래픽=이지혜

원격 IT(정보기술) 근로자로 속여 취업한 뒤 기업 내부 데이터와 인사 정보를 빼돌리는 해킹 사건이 늘어 기업의 주의가 요구된다. 북한 기반인 이들 조직은 해킹으로 가상자산 지갑 시드 및 개인키를 탈취하기도 한 것으로 나타났다.

20일 ASEC(안랩 시큐리티 인텔리전스 센터)에 따르면 북한 기반 해커 조직 'Famous Chollima(페이머스 천리마)'는 미국 및 유럽 일부 기업을 대상으로 해킹을 시도했다. 페이머스 천리마는 해커들을 원격 IT 근로자로 취업시켜 기업 내부 시스템에 접근했다.

페이머스 천리마는 해커들을 위장 취업시키는데 필요한 신원은 전부 도용하고 채용 인터뷰에 대한 답변은 생성형 AI(인공지능)를 활용해 얻은 것으로 전해졌다. 해커들은 입사한 뒤 북한에서 배운 대화법 등 사회공학 기법으로 신뢰를 구축하고 내부 데이터를 빼돌렸다.

또 다른 북한 기반 해커 조직 '라자루스'는 가상자산 사용자 또는 개발자를 해킹했다. 라자루스는 개발자에게 일자리를 제안한 뒤 면접을 통해 코드 과제를 풀게 했다. 이 코드 과제에는 악성 코드가 포함돼 있어 면접자가 과제를 내려받으면 감염되는 식이다. 또 라자루스는 가상자산 투자자에게 좋은 투자 기회가 있다고 속인 뒤 악성코드가 포함된 줌 링크를 보내주기도 했다.

이 밖에도 보안 기업 지니언스 시큐리티 센터에 따르면 북한 기반 해커 조직 '코니'는 최근 네이버(NAVER)와 구글의 광고를 공격 통로로 해킹을 시도하고 있다. 사용자가 광고를 클릭하면 겉으로는 광고 주소를 거쳐 최종 목적지 사이트로 이동하는 것처럼 보이나 실제로는 이 사이에 악성 서버가 포함돼 있다.

지니언스에 따르면 일명 '포세이돈 작전'으로 불리는 이런 해킹 시도는 무작위로 불특정 다수를 노린 것이 아니라 특정 업무 환경에 놓인 직장인들을 정밀하게 겨냥한다. 연구·기획·행정직 종사자 또는 자료 검색이 잦은 직장인들이 공격 대상이다.

라자루스는 포세이돈 작전의 일환으로 사칭 이메일도 보낸다. 금융기관이나 북한 인권 단체 등을 가장해 '금융거래 확인'이나 '소명자료 제출'과 같은 제목의 이메일을 보내는 식이다. 사용자가 이메일 본문에 포함된 링크를 클릭하면 압축 파일이 다운로드되고 이를 실행하면 문서가 열리는 것처럼 보이지만 뒤로는 악성코드가 설치된다.

보안 업계 관계자는 "최근 북한 기반 해커 조직들의 기업 내부 침투 시도가 증가해 주의가 요구된다"며 "일상에서 주의를 기울일 필요가 있다. 검색 광고 링크라고 해서 무조건 믿지 말고 링크를 누른 뒤 파일이 자동으로 다운로드되거나 실행 권한을 요구하는 경우 즉시 중단해야 한다"고 당부했다.

이정현 기자 goronie@mt.co.kr