북한 해커들이 링크드인으로 암호화폐 훔치는 새로운 수법

99%의 가짜 계정이 신고되기 전에 미리 탐지된다고 링크드인은 말한다. 하지만 나머지 1%가 15억 달러 규모의 암호화폐 해킹을 벌일 수 있다면?

디지털 자산 인프라 기업 파이어블록스가 최근 공개한 북한 연계 해커들의 새로운 수법이 업계에 충격을 주고 있다. 이들은 단순히 시스템을 뚫는 것이 아니라, 사람의 심리를 교묘히 이용해 암호화폐 인프라에 침투하고 있다.

가짜 면접으로 진짜 해킹하기

파이어블록스의 미카엘 샬로브 CEO에 따르면, 해커들은 회사의 채용 과정을 완벽하게 모방했다. 가짜 채용담당자로 위장해 구글 미트로 화상면접을 진행하고, 깃허브를 통해 과제까지 전달했다.

"이들은 기본적으로 합법적인 면접을 무기화해서, 지원자와 매우 합법적이고 진정성 있는 상호작용을 만들어내고 있습니다"라고 샬로브는 설명했다.

문제는 지원자가 '일상적인 설치'라고 생각하고 프로그램을 실행하는 순간, 실제로는 악성코드가 설치된다는 점이다. 이를 통해 해커들은 암호화폐 지갑, 보안키, 심지어 운영 시스템까지 접근할 수 있게 된다.

링크드인이 새로운 사냥터가 된 이유

해커들은 링크드인 프로필을 면밀히 분석해 '특별한 접근 권한'을 가진 엔지니어들을 표적으로 삼았다. 파이어블록스는 지속적으로 회사 브랜드를 바꿔가며 활동하는 12개에 가까운 가짜 프로필을 발견했다고 밝혔다.

이 사기는 최소 수년간 지속되어왔을 것으로 추정된다. 샬로브는 "해커들과 직접 상호작용하면서 그들이 사용하는 도구와 무기, 악성코드의 '침해 지표'를 수집할 수 있었다"고 말했다.

파이어블록스는 링크드인과 법 집행기관과 협력해 이들 프로필을 제거했다. 링크드인 대변인은 "우리가 제거하는 가짜 계정의 99% 이상은 누군가 신고하기 전에 미리 탐지된다"고 밝혔다.

AI 시대의 진화하는 해킹

라자루스 그룹으로 알려진 북한의 국가 후원 해킹 집단은 2017년부터 암호화폐 플랫폼을 표적으로 삼아왔다. 당시 한국의 4개 거래소를 해킹해 2억 달러 상당의 비트코인을 훔쳤다.

샬로브는 2017년 라자루스 그룹의 암호화폐 공격을 조사했던 경험을 바탕으로 놀라운 변화를 지적했다. "2017년과 2018년에는 문법 실수와 오타 때문에 이들을 식별하기가 '실제로 꽤 쉬웠다'"고 그는 회상했다.

하지만 지금은 다르다. "마치 옥스포드 대학을 졸업한 것처럼 보입니다." 샬로브는 "AI 때문에 공격자들이 훨씬 더 정교해지고 탐지하기 어려워졌다는 것이 분명하다"고 경고했다.

한국 기업들도 안전지대는 아니다

이번 사건이 한국에 주는 시사점은 크다. 삼성전자, 네이버, 카카오 등 글로벌 기술 기업들과 국내 핀테크 업체들도 비슷한 위험에 노출되어 있다. 특히 한국은 세계 최고 수준의 암호화폐 거래량을 자랑하는 만큼, 해커들에게는 더욱 매력적인 표적이 될 수 있다.

국내 기업들의 채용 과정에서도 이런 사기가 발생할 가능성을 배제할 수 없다. 링크드인을 적극 활용하는 한국의 글로벌 기업들과 스타트업들은 채용 과정에서 보안 검증을 강화해야 할 시점이다.