NPM 라이브러리 위장 접근, 원격 면접이나 재택근무로 맬웨어 심기
‘BeaverTail’ 등 맬웨어, 코드 난독화나 무작위 식별자로 은닉 배포
[애플경제 김예지 기자] 서방 IT기업 등에 입사를 지원, 구직 면접을 통한 사이버공격이 최근 북한 해커들의 트렌드가 되고 있다. 이런 수법은 특히 미국과 유럽 등의 많은 기업들에게 큰 골칫거리가 되고 있다. 워낙에 광범위하게 퍼지다보니 이젠 ‘구인’과 면접 과정을 사이버보안 차원에서 엄격하게 관리하는 기업들이 많다. 인재 채용 자체가 이들 기업들로선 또 다른 ‘스트레스’가 되고 있는 것이다.
시장조사기관 체이널리시스와 데이터 분석·보안업체인 데이터독 등에 의하면 보안 전문가들이 최근 노드 패키지 관리자, 즉 NPM 소프트웨어 라이브러리에서 백도어가 설치된 소프트웨어 패키지를 발견했다. 북한 해커들이 업무절차나 인간관계 등 이른바 ‘사회 공학적’ 코더기를 통해 정보 도용기를 설치하도록 하는 사이버공격임이 드러났다.
데이터독은 특히 NPM 라이브러리를 위장한 악성 소프트웨어 패키지를 발견했다. 해당 악성패키지는 업무를 위해 많이 쓰는 익스프레스(Express) 애플리케이션에 공신력있는 인증 프레임워크를 제공하는 ‘패스포트’를 모방한 것으로 밝혀졌다.
데이터독, 팔로앨토 등 북한 해커 소행 탐지
치밀한 탐지 노력을 통해 데이터독은 323건의 다운로드가 포함된 3개의 패키지를 식별했으며, 면밀한 조사 끝에 NPM 라이브러리를 위장한 자바스크립트 정보 도용기와 다운로더로 가장한 맬웨어 샘플 ‘BeaverTail’을 식별해냈다. 이런 수법을 발견한 건 데이터독 뿐이 아니다. 이미 10월 초순경 팔로앨토 네트워크도 맬웨어 ‘BeaverTail’을 이용한 북한의 가짜 구직자 해커들 소행을 탐지해낸 적이 있다. 당시 이들 해커들은 구직자로 가장해 해당 맬웨어를 이용, 구인 업체 담당자가 특정 소프트웨어 패키지를 설치하도록 유도하는 수법을 동원했다.
데이터독은 특히 “해커들이 NPM 패키지에 숨겨진 맬웨어를 숨기기 위해 코드 난독화 기술을 사용했다”고 밝혔다. 이 경우 가짜 ‘패스포트’ 패키지는 ‘의미 있는 식별자’가 아닌, ‘무작위 식별자’를 사용했다. 또 코드 서식을 제거하고, 코드 구조를 복잡하게 만드는 ‘쓸모없는 행위’를 구사하거나, 비표준 텍스트 인코딩, 암호화로 코드를 숨기는 등의 수법을 쓰곤 한다.
이를 통해 ‘BeaverTail’은 암호화폐 지갑과 Unix 및 윈도우 시스템의 브라우저 캐시와 로그인 키체인에 저장된 신용 카드 정보를 표적으로 삼는다. 이를 통해 북한 해커들은 돈을 훔치고, 기술 산업을 강탈하는 등 갖가지 범죄를 저지르고 있다.
최근에도 이처럼 정체 불명의 코더로 하여금 ‘원격 코딩’ 직책을 얻도록 도와준 서방 기업체 관계자들이 보안 당국에 적발, 체포되기도 했다.
오픈소스 활용, 공격 대상 맞춤형 프로파일링
원격 재택 근무 조건으로 북한 출신 인물을 직원을 고용하다가 입은 피해 정도는 날로 심해지고 있다. 코더를 악용해 정보를 빼내는데 훔치는데 그치지 않고, 아예 노골적으로 몸값을 위해 온갖 사기수법을 동원 기업체를 공격하고 있다.
실제로 덴마크 전기 자동차 제조업체인 ‘피스커’도 그런 사례다. 북한 해커인줄을 모르고 재택 근무 조건의 직원을 고용했다가, 뒤늦게 미국 보안당국으로부터 경고를 받은 후에야 그를 해고한 적도 있다.
ETH 취리히의 선임 사이버 연구원인 유제니오 베닌카사는 체이널리시스에 “북한이 일자리 고용주-구직자라는 두 가지 측면을 모두 활용하는 것은 핵무기 프로그램때문”이라며 “지속적인 자금 흐름을 보장하기 위해 국제 제재를 회피하는 방법의 또 다른 수법”이라고 분석했다.
이에 동원되는 북한 해커들의 수법과 기술은 매우 정교하고 수준 높은 것으로 평가된다. “그들이 구사하는 스피어 피싱은 전통적인 피싱 이메일보다 더욱 수준이 높다”면서 “특히 링크드인(LinkedIn)과 소셜 미디어에서 공유하는 광범위한 오픈소스 정보의 이점을 활용해, 공격 대상을 특정해 맞춤형 프로파일링을 구사한다”고 소개했다.
체이널리시스는 결론적으로 “국경을 넘나드는 일자리 시장은 이들 북한 해커가 가장 집요하게 노리는 ‘사냥터’가 되고 있다”고 우려했다. 즉 “북한 해커들은 목표를 달성하기 위해 디지털 환경의 새로운 취약성을 악용할 수 있는 기술력과 의지가 매우 높다”면서 “그렇게 갈취한 데이터는 금융 계좌와 암호화폐 지갑에 액세스하는 데 사용될 수 있으며, 이는 정교한 사이버기술로 돈을 갈취하는 전형적인 해킹 범죄”라고 규정했다.