북한의 사이버 공격 세력이 링크드인(LinkedIn)을 이용해 암호화폐 업계 종사자들을 겨냥한 새로운 악성코드 배포 시도를 벌이고 있다는 분석이 나왔다.
미국 해커뉴스에 따르면 미국 잼프 위협 연구소(Jamf Threat Labs)는 북한 해커의 이런 사이버 공격 실태가 담긴 보고서를 발표했다.
보고서에 따르면 북한 해커 그룹은 링크드인에서 합법적인 암호화폐 거래소(DEX) 기업 관계자를 사칭해 암호화폐·금융업 종사자 링크드인 계정에 접근했다. 관계자들과 링크드인을 통해 지속적인 연락을 주고받았다.
일레로 북한 해커는 분산형 암호화폐 거래소인 STON.fi(스톤파이)의 합법적인 인사 담당자로 가장해 피해자에게 접근했다.
이후 해커는 관련 종사자들에게 코딩 작업과 테스트를 진행해 달라는 메시지를 보낸다. 이때 회사에서 사용하는 기기나 네트워크에 접근할 수 있는 컴퓨터에서 특정 코드 실행을 유도한다.
특히 ‘사전 고용 테스트’나 ‘디버깅 수행’을 빌미로 피해자에게 평소 사용되지 않거나 의심스러운 프로그래밍 패키지, 스크립트, 깃허브 코드를 실행하도록 요청하는 특징이 있었다.
이러한 공격 수법은 전형적인 사회공학적 방식과 멀웨어 유포를 결합한 형태인 것으로 파악됐다. 사람 심리와 취약점을 이용해 정보를 탈취·불법적 행동을 유도하는 방식이다.
공격자들은 피해자에게 면접 또는 코딩 과제라는 명목으로 악성코드를 다운로드하도록 유도했다.
이러한 북한 해커들의 공격은 북한 정권의 지원을 받는 사이버 공격자들이 네트워크에 침투하기 위한 일련의 다각적인 캠페인의 일환으로 이뤄진 것으로 분석됐다.
이를 통해 불법 수익을 창출하거나 북한 정권의 목표를 달성하려는 것으로 보인다.
잼프 위협 연구소는 “북한 해커 그룹은 최근 암호화폐나 금융업에 종사하는 사람을 노리기 시작했다”며 “회사는 개발자를 포함한 직원들이 이런 속임수에 넘어가지 않도록 교육하는 것이 중요해졌다”고 설명했다.이어 “이러한 공격을 예방하기 위해서는 암호화폐 및 디파이 관련 기업의 개발자와 직원들이 소셜 엔지니어링 공격에 대한 경각심을 가져야 한다”면서 “의심스러운 소프트웨어 실행 요청을 주의 깊게 살펴야 할 필요가 있다”고 당부했다.