‘입사 면접’ 위장 사이버공격 ‘데브 포퍼’ 횡행

[애플경제 이윤순 기자] 최근 IT업계에서 이직을 고민하는 개발자들을 대상으로 가짜 원격 면접을 빙자한 해킹이 확산되고 있어 주의가 필요한 상황이다. 일부 외신에 의해 처음 알려진 이 수법은 비단 해외뿐 아니라 국내에도 최근 스며든 것으로 파악되어 업계가 긴장하고 있다. 특히 이는 북한의 해커들에 의해 주로 자행된 것이어서 더욱 조심해야 한다는 목소리다.

‘사회공학’적 수법, 북한 해커들 소행 추정

이들 해커는 면접용 역량 테스트를 내세운 구인광고를 보고 응모하는 개발자들을 먹잇감으로 삼고 있다. 클라우드 기반 사이버보안 업체인 ‘시큐어닉스’(Securonix)에 의해 처음 포착된 이 수법은 이른바 ‘데브 포퍼’(Dev Popper)라고 불린다. 한 마디로 이는 여느 SW를 이용한 사이버공격과는 달리, 인간이 갖는 의존성이나 상대에 대한 막연한 신뢰, 두려움 등과 같은 취약성을 악용, 속이거나 조작하는 ‘사회 공학’ 수법이라고 할 수 있다.

일단 북한 해커로 알려진 공격자는 주로 IT업계의 SW개발자를 대상으로 가짜 채용 정보를 게시하는 것부터 시작한다. 그리곤 구직자와 몇 차례 인터뷰 일정을 잡는다. 겉으로 보기엔 분명 입사 전의 까다로운 면접으로 보일 수 밖에 없다. 공격자는 다시 면접을 가장해 ‘컴퓨터 과학’ 분야에서 구직자의 능력과 역량을 테스트하는 척하며, 흔히 IT업계에서 실무 면접 과정에서 사용되는 간단한 네트워크 작업을 설정한다.

그런 다음 인터뷰 대상자에게 깃허브와 같은 ‘합법적’인 소스에서 소프트웨어를 다운로드해보라고 요청한다. 이때 내려받는 소프트웨어가 문제다. 일단 실행되면 구직자의 디바이스를 훼손하는 악성 노드 JS 페이로드가 포함되어 있는 것이다.

실무면접 가장, RAT 숨겨둔 깃허브 NPM 다운로드 유도

사이버보안 전문가들은 이때 “공격자의 깃허브 ‘zip’ 아카이브에 NPM(노드 패키지 관리자) 패키지가 포함되어 있다”고 경고했다. 이는 언뜻 안전한 것처럼 보이지만 이러한 NPM 패키지는 아카이브 파일을 다운로드하고 추출하기 위해 난독화된 코드를 사용하는 JavaScript 파일을 백엔드 디렉터리에 숨긴 것이다. 이때 ‘난독화’는 흔히 맨 오른쪽에 숨겨져 사용자가 몇 초 동안 스크롤하도록 한 것이다.

해당 파일에 묻혀 있는 파이썬 코드를 실행하면 개발자 시스템에 RAT(원격 무선 제어기술)가 설치된다. 일단 RAT가 활성화되면 구직자의 OS 유형이나, 장치 UUID, 네트워크 데이터 등의 시스템 데이터가 수집되고 그 결과가 공격자에게 유출되는 것이다.

또 두 번째 숨겨진 코드 문자열은 RAT와 유사한 방식의 스크립트를 실행, 공격자가 이미 훼손된 피해장의 디바이스를 원격으로 제어할 수 있도록 해준다. 다른 원격 사이버 공격이 그렇듯이, 공격자는 피해자의 파일을 보고, 저장된 자격 증명을 이용해 구직자의 모든 계정에 액세스할 수 있다. 이를 통해 피해자의 키 입력을 기록하고, 민감한 데이터를 전송하고, 셸 명령을 실행할 수 있다는 설명이다.

사실 입사 면접 중간에 짧은 과제를 통해 자신의 역량을 입증해 달라는 요청을 받으면 긴장하지 않을 수 없다. 마치 면접관이 매의 눈으로 지켜보고 있는 것 같은 압박감이 가중될 수 밖에 없다. 최근 ‘국제보안엑스포’에서 만난 국내 한 보안업체 관계자도 “이에 대해 들은 바 있다”면서 “그런 면접 과제들을 100% 신뢰해선 안된다”고 주의를 당부했다.

그는 “공격자들은 이런 가짜 면접을 이용, 순진한 구직자가 자신의 컴퓨터에 파이썬으로 된 원격 액세스 트로이 목마격인 ‘RAT’를 설치하도록 유인한다”면서 “해커들은 이런 방식으로 시스템 정보를 수집하고 제어할 수 있으며, 그 과정에서 구직자들의 디바이스는 잔뜩 오염된 상태가 된다”고 했다.

다급한 구직자들 심리 악용한 ‘악질적 수법’

앞서 보안업체 ‘시큐로닉스’는 아예 “‘데브 포퍼’ 공격은 북한의 사이버 공격자들과 연관이 있는 것으로 보인다”고 단정했다. 이 업체의 경우, 그 동안 포착된 대부분의 오염된 깃허브 파일이 발견되는 즉시 플랫폼에서 제거했다. 그럼에도 불구하고, 여전히 사이버 보안 커뮤니티에선 이와 유사한 파일을 찾고 있는 것으로 알려졌다.

‘시큐로닉스’는 “이런 수법은 면접 과정에서 ‘을’의 입장이 될 수 밖에 없는 구직자들의 처지를 교묘하게 악용한 것”이라고 했다. 그럴듯한 합법성을 가장해서 구직자들로 하여금 추호도 의심하지 않게 하고, 악성 코드를 수월하게 유포하는 수법이다. 만약 면접관의 요구를 거부할 경우, 취업 기회가 사라질 수 밖에 없고, 대부분의 채용 프로세스에 대한 구직자들의 신뢰를 악용하기 때문에 매우 효과적이고 악질적인 수법이다.

그럼에도 불구하고 “구직자들은 실제 이직을 위한 면접에서도 혹시 모를 RAT 위협을 최대한 경계할 필요가 있다”는 조언이다.