가짜 신원과 ‘가짜 구인’으로 맬웨어 링크, 다운로드 유도
이력서, 개인 깃허브 저장소 링크 요청, 신상 정보 탈취
‘적절한 문서 여부, 철자 오류, 복수의 연락 방법 은폐’로 식별

링크드인. (이미지=셔터스톡)
링크드인. (이미지=셔터스톡)

[애플경제 이윤순 기자] 국내에서도 많이 보급된 소셜미디어 ‘링크드인’(LinkedIn)이 사이버 범죄의 온상이 되고 있다. 해커들은 ‘링크드인’을 무대로 공격 대상자들을 물색하고 있다.

링크드인은 각종 구인구직 정보를 비롯해, 명함을 게시하거나 신상을 공유하는 사교 공간 역할도 하고 있다.

특히 해외 보안업계에선 링크드인 가짜 구인 게시글을 미끼로 한 사기 사례와 함께 이에 대처하는 방법이 자세히 소개되는 등 ‘링크드인 사기’가 이슈가 되고 있다. 이미 국내에서도 수 년 전부터 링크드인이 사이버 범죄자들이 공격 대상을 물색하는 ‘사냥터’로 변질되고 있다는 목소리가 간헐적으로 있어왔다. 특히 ‘구인’을 가장해 개인의 답답한 처지를 악용하는 경우가 많은 것으로 전해져 ‘링크드인’ 이메일을 아예 차단하는 사용자들이 많았다.

국내서도 ‘링크드인’ 이메일 차단 많아

그런 가운데 글로벌 보안업체인 ‘클리어 스카이’ 등이 링크드인을 악용한 사기 범죄를 직접 특정, 그 수법과 실체를 공개하고 나서 눈길을 끌고 있다. 이에 따르면 범죄자들은 링크드인에 등록된 자신들의 가짜 신원을 통해 사용자들에게 가짜 구인 광고를 제시한다. 이에 속은 사용자들은 그들이 링크를 걸어놓은 맬웨어를 다운로드함으로써 덫에 걸려들게 된다.

이 업체에 따르면 현재는 주로 이란의 사이버 위협 그룹이 주도하는 것으로 짐작된다. 그러나 본래 북한 당국이 후원하는 유명 해커그룹인 ‘라자루스’ 그룹이 처음 링크드인을 악용하면서 비롯된 것으로 알려져있다.

또 다른 보안 연구소 ‘빗디펜더 랩스’(Bitdefender Labs)의 관찰 결과도 이를 뒷받침하고 있다. 해당 연구소는 실제 사례를 지목, 특정 해커가 링크드인을 통해 자사의 한 연구원에게 접근, 유혹하는 수법을 자세히 설명하고 있어 눈길을 끈다.

해커는 먼저 해당 연구원에게 “분산형 암호화폐 거래소에서 일할 수 있는 기회가 있다”고 제안하며 접근했다. 또 “최종 ‘최소 실행 가능 제품’(MVP)이 이미 완성되어 있고 프런트엔드 개발자로 고용될 것”이라며 그다지 부담이 없을 것이라며 친절하게 안내했다. 그런 다음 연구원이 관심을 보이는 척 하자, “이력서나 개인 깃허브 저장소 링크를 제공해 달라”고 요청했다. 이는 개인 신상 정보를 수집하고 구인 제안이 마치 진짜인 것처럼 보이도록 하는 수법이다.

북한 당국 후원 ‘라자루스’가 원조?

이러한 정보를 입수한 후 해커는 MVP 또는 프로젝트와 저장소를 공유하고, ‘후보자 평가 및 피드백 대상’이라는 레이블이 붙은 피드백 문서를 공유한다. 여기에는 “타겟이 데모를 실행하지 않는 한 답할 수 없는 질문이 포함된다”는 설명이다.

이에 해당 연구소가 심하게 난독화된 코드를 분석한 결과, 타사 엔드포인트에서 악성 코드를 동적으로 로드하는 것으로 나타났다. 또 “페이로드는 다양한 인기 있는 암호화폐 지갑을 타겟으로 설계된 ‘크로스 플랫폼 정보 도용기’라는 것을 발견했다”고 했다. 그 다음 페이로드에선 대상 시스템에서 지속성을 보장하고, 명령 및 제어(C2)를 확립해 감지를 피하기 위해 종속성을 삭제했다.

(사진=셔터스톡)
(사진=셔터스톡)

빗디펜더가 또 공격자가 사용한 맬웨어와 운영 전술에 대한 분석 결과, 이는 북한 당국이 후원하는 라자루스 그룹이 수행한 대규모 사이버공격의 일부임이 밝혀졌다. 이는 또 “공격 목표가 데이터 도난을 넘어선다”면서 “항공, 방위, 핵 산업과 같은 민감한 부문에서 일하는 피해자를 표적으로 삼아 기밀 정보, 독점 기술, 기업 자격 증명을 빼내는 것을 목표로 하는 것으로 관찰되었다”는 것이다.

또한 다른 지역에 있는 원격 IT 근로자로 가장한 해커가 기업 네트워크에 접속하는 도구로 악용되기도 한다. 즉 가짜 구직자 사기로 기업을 표적으로 삼는 것으로 기록되고 있다.

‘링크드인’에서 속지 않는 방법

링크드인은 본래 전문가 직군의 네트워크다. 이를 통해 흔히 스카웃이나 구직 제의를 받는 경우가 많다. 해당 플랫폼에는 아예 구인 게시판이 내장되어 있어, 많은 기업들도 구인 공지를 올리기도 한다. 그러나 “특정 개인이 구인을 명분으로 접속하면 사이버 범죄자의 먹잇감이 될 수도 있으므로 특히 조심해야 한다”고 밝혔다.

그러면서 플랫폼에 게시된 기존 구인 공고와 일치하지 않는 모호한 직무 설명이 있는 제안을 포함, 개인이 주의해야 할 일련의 위험 신호를 소개했다.

이에 전문가들은 이곳은 특히 ‘무작위 이름’ 등 불투명한 신상 정보가 난무하고 있다면서 ‘가짜’나 사기 식별법을 조언하기도 한다. 우선 적절한 문서 형식이나 내역이 없는 공지 등은 발신자가 악의적인 의도를 가지고 있는 경우가 많다. 또 게시글을 올린 발신자와 주고받은 모든 서신이나 문서에서 철자 오류를 찾아봐야 한다. 복수의 연락 방법을 제공하지 않는 등 의사소통 채널이 부족한 경우도 의심해봐야 한다는 주문이다.

빗디펜더는 또 사용자들이 유사한 사기에 걸릴 위험을 최소화하기 위해 따를 수 있는 모범 사례도 권장하고 있다. 여기에는 “가상 머신, 샌드박스 또는 온라인 코드 테스트 플랫폼 외부에서 검증되지 않은 코드를 실행하지 않는 것 등이 포함된다”고 소개했다.

키워드

#링크드인 #사이버보안 #사이버공격 #해킹 #해커
저작권자 © 애플경제 무단전재 및 재배포 금지