출처 : 보안뉴스

https://www.boannews.com/media/view.asp?idx=109248&page=1&kind=1

어느 날 유명 회사에서 당신을 스카우트 하고 싶다는 제안서가 왔다. 받아들이면 연봉 앞자리 수가 바뀐다. 꿈을 이룬 것 같은 기쁨에 당신은 서둘러 제안서를 열어보지만 실제 일어나는 일은 당신의 컴퓨터에 온갖 멀웨어가 설치되는 것이다. 

[보안뉴스 문가용 기자] 가짜 직업 제안서가 코로나 19가 지나가고 있는 지금 APT 단체들 사이에서 가장 인기 높은 피싱용 미끼인 것으로 분석됐다. 코로나로 인해 회사의 상황이 불투명해지고 퇴직이 유행하면서 나타난 유행인 것으로 보인다. 사이버 위협 분석 전문 업체인 PwC에 의하면 이런 식의 전략을 가장 능숙하게 활용하는 것이 북한의 해킹 단체인 라자루스(Lazarus)라고 한다.

PwC의 수석 분석가 스베바 비토리아 세나렐리(Sveva Vittoria Scenarelli)는 북한을 위주로 아태 지역의 공격 단체들을 추적 및 분석하는 전문가로, “북한만이 아니라 여러 공격 단체들이 이러한 직업 제안서를 미끼로 활용하고 있다”고 말한다. “항공우주, 국방, 제조, 화학 분야에서 이런 공격이 자주 나타납니다. 정찰을 목적으로 할 때가 많지요. 개인정보와 각 조직의 기밀을 빼오는 게 이들을 목표입니다.” 미국의 사이버 보안 전담 기구인 CISA도 여기에 동의하며 비슷한 경고를 낸 바 있다.

세나렐리는 “북한의 라자루스는 왓츠앱과 같은 메신저 앱 상에서 표적들을 부지런히 추적한다”고 설명을 추가했다. “그렇게 해서 피해자들이 정말로 악성 문서를 열거나 악성 실행파일을 실행하게 만들고 확인할 수 있습니다. 악성 메일을 보내놓고 공격에 당하길 희망하면서 마냥 기다리는 게 아니라 보다 적극적으로 성공 확률을 높이는 것이죠. 북한 해커들이 이 분야의 전문가라, 놀라운 모습들을 많이 보여줍니다.”

세나렐리에 의하면 북한 해커들은 인기 높고 유명한 직업 검색 사이트(구인 구직 플랫폼)를 본 딴 도메인들을 여러 개 만들고 비슷한 웹사이트를 만들어 둔다고 한다. 그런 후 구글이나 오라클과 같은 이름값 높은 회사에서 사람을 뽑는다는 식으로 제안서를 보내 피해자가 그런 사이트로 접속하게 만든다. 물론 URL이 조금 다르고, 가만히 보면 사이트에도 가짜 티가 나긴 한다. 하지만 보다 좋은 회사에 입사하고 싶은 사람들의 열망이 기본적으로 커서 그런 건지 공격 성공률이 높다고 세나렐리난 말한다.

PwC에서 블랙 알리칸토(Black Alicanto)라고 부르는 한 공격 단체의 경우 625억 달러어치의 암호화폐를 이런 식으로 빼돌리는 데 성공하기도 했다고 한다. “주로 돈을 훔쳐내는 데에 주요한 목적을 가지고 있는 공격 단체이며, 매우 위험합니다. 최근 MS가 오피스 문서의 매크로 자동 활성화를 막기로 했기 때문에 .lnk 파일을 오피스 문서에 삽입하는 식으로 공격 수법을 비틀 수 있습니다.”

세나렐리가 .lnk 파일을 염두에 두는 것에는 이유가 있다. “공격자들이 피해자의 시스템이나 네트워크에 최초로 접근하는 전략이 최근 조금 바뀌었습니다. .lnk 파일이나 ISO 파일, MSI 설치파일 등을 적극 활용하는 모습을 보입니다. .lnk 파일의 경우 실행될 경우 배경에서 MSHDA.exe가 실행되며, 이를 통해 원격 서버로 연결돼 악성 자바스크립트가 다운로드 되는 식입니다. 주로 캐비지로더(Cabbage Loader)라는 스크립트가 현재까지는 이런 식으로 퍼지고 있습니다.”

심지어 공격자들은 .lnk 파일을 피해자의 ‘시작 프로그램’ 폴더에 넣기도 한다. 그렇게 함으로써 피해자가 시스템을 켤 때마다 공격이 발동된다. “즉 계속해서 악성 자바스크립트 페이로드를 심을 수 있게 되는 겁니다. 이렇게 함으로써 공격 지속성을 확보할 수도 있게 되는 것이죠.”

세나렐리는 “라자루스와 여타 다른 북한의 사이버 공격 단체들은 계속해서 구인 구직과 관련된 내용으로 피싱 공격을 실시하고 있으며, 그 수법을 계속해서 업그레이드 하고 있다”고 말한다. “그리고 기술을 가진 전문가들에 대한 수요가 계속해서 높아지고 있어 북한의 이런 수법은 잘 통하고 있습니다. 피싱 예방 및 보안 강의를 아무리 해도 솔깃한 제안 한 번에 무너지기 쉽다는 것이죠. 그리고 이를 다른 공격자들도 같이 따라하고 있고요.”

그래서 세나렐리는 “이직을 꿈꾸고 있는 사람이 무척 많은 것으로 알고 있는데, 너무나 유리한 조건이나 너무나 유명한 회사에서 날아오는 제안서에 기뻐만 해서는 안 된다”고 경고한다. “북한의 해커들이 가짜 직업 제안서로 사람들을 속이는 방법을 유행시키고 있습니다. 경제 불황 속에서 꿈에 그리는 회사에서 높은 수준의 연봉을 갑자기 줄 확률에 대해 냉정하게 생각하는 것이 보안에 도움이 됩니다.”

3줄 요약
1. 현재 수많은 사람들이 이직을 꿈꾸고 있음.
2. 그래서 북한의 가짜 일자리 제안서가 꽤나 효과가 높음.
3. 이를 보고 다른 공격자들도 슬슬 가짜 일자리 제안서를 피싱 미끼로 활용하고 있음.
[국제부 문가용 기자(globoan@boannews.com)]