인간관계 마당 ‘링크드인’이 해커들의 천국?

[애플경제 이윤순 기자] 글로벌 소셜네트워크 링크드인(LinkedIn)이 IT기업이나 빅테크 등에 위장취업을 시도하는 해커들의 ‘천국’이 되다시피했다는 우려다. 특히 세계적으로 악명높은 북한 해커들은 이를 단골처럼 악용하며, 미국 등 서방기업에 침투하는 통로로 삼고 있다. 명함과 신상정보를 주고받으며, 취업과 구인의 채널이 되고 있는 ‘링크드인’의 속성을 십분 악용하고 있는 셈이다.

교류와 인재추천 등 ‘링크드인’ 속성 악용

그렇다보니 북한 해커들의 플레이북을 본떠, 이란 등 다른 비서방 국가 해커들도 가짜 구인공고를 제시, 구직자들을 속이는 짓도 한다. 최근 마이크로소프트, 보안업체 클리어 스카이(Clear Sky Security) 등에 따르면 이란에서도 이처럼 ‘링크드인’에 올린 가짜 구인 정보에 접속하도록 유인, 맬웨어를 다운로드하도록 하는 소셜 엔지니어링 사기수법이 드러나기도 했다.

특히 ‘링크드인’에선 최근 항공우주 산업이 ‘꿈의 직업’으로 떠오르면서 이 분야 구직자들이 폭주하고 있다. ‘클리어 스카이’는 이를 표적으로 삼는 해커들의 수법과 도구를 자세히 조사, 그 실태를 공개해 눈길을 끈다.

이에 따르면 ‘Charming Kitten’이라는 이란 해커들의 하위 그룹으로 묘사한 TA455가 대표적이다. 이는 앞서 ‘Smoke Sandstorm’과 ‘APT35’라는 이름으로도 추적되고 있다. TA455는 경쟁이 치열한 항공우주 산업의 일자리란 점을 악용, 멜웨어의 일종인 ‘SnailResin’ 바이러스를 살포했다. 이를 위해 ‘링크드인’을 사용, 겉보기엔 합법적이고 그럴듯한 일자리를 제안하며, 피해자들에게 접근했다.

피해자가 유인되면 해커들은 스피어 피싱 이메일을 사용한다. 이 경우 이메일에 악성 첨부 파일이 포함되어 있을 가능성이 높다. 이는 정상적인 ‘ZIP’ 아카이브 파일 사이에 숨겨져 보안 검사와 바이러스 백신 소프트웨어의 레이더를 피하도록 설계되었다.

이 맬웨어는 실행되면 피해자의 IP 주소를 확인하고, 일련의 깃허브 계정에서 C2 서버 정보를 검색한다. “이로 인해 공격의 전체 범위를 감지하고 분석하기가 더 어렵다”는 지적이다. 특히 TA455는 탐지를 피하고, 정체를 감추기 위해 독특한 위장술책을 동원하는 것으로 드러났다. 다른 해커를 사칭하거나, 특히 가짜 구인 사기를 저지른 것으로 알려진 북한의 악명높은 해커그룹 ‘라자루스’ 그룹으로 위장하기도 한다,

또한 ‘클라우드페어’나, 깃허브, 마이크로소프트 애저와 같은 여러 합법적인 기능을 이용, 인프라와 C2 통신을 숨기기도 한다. 또 고급 난독화 기술과 사용자 지정 코드를 사용, 보안 도구를 우회하곤 한다.

DLL 사이드로딩 공격 통한 맬웨어 배포 수법

‘클리어 스카이’와 맨디안트 등에 따르면 이런 움직임은 지난 2023년 9월부터 특히 두드러진 것으로 나타났다. 맨디안트 역시 “이란의 해커 그룹이 이스라엘, UAE, 그리고 잠재적으로 터키, 인도, 알바니아를 포함한 중동 국가의 항공우주, 항공 및 방위 산업을 표적으로 삼고 있다”고 경고한 바 있다. ‘클리어 스카이’는 또 지난 2022년 8월 북한 라자루스 그룹이 조직한 최초의 해킹 작전 ‘꿈의 직업’의 전모를 밝혀내기도 했다.

이들 해거들의 공통점은 이른바 DLL 사이드로딩 공격을 통한 맬웨어 배포 수법이다. 이런 점에서 북한이 이란 해커들과 공격 방법이나 도구를 공유했을 가능성이 클것이란 추측도 가능하다.

앞서 마이크로소프트는 지난 22일 자체 기술 컨퍼런스 ‘이그나이트 2024’와 별도의 보고서를 통해 “북한 해커들이 소셜 엔지니어링 공격을 통해 1,000만 달러 이상의 암호화폐를 훔쳤으며, 이 중 많은 공격이 ‘링크드인’을 통해 피해자들에게 접근한 케이스”라고 밝혔다. 이에 따르면 북한 해커들은 진짜와 흡사한 링크드인 계정으로 대상에게 접근했다. 피해자가 악성 첨부 파일을 열거나, 손상된 웹사이트로 연결되는 링크를 클릭할 가능성을 높인 것이다.

특히 TA455는 신뢰와 전문적인 연결을 기반으로 하며 사회적 공신력을 얻고 있는 ‘LinkedIn’을 활용하여 의심을 피하는 수법을 즐겨 쓴다. 이를 통해 “의심스러운 이메일이나 웹사이트를 표시할 수 있는 기존 보안 조치를 우회할 수 있다.”는게 전문가들의 경고다.