시큐리티팩트
이력서가 스파이 도구.. 北 IT 인력, '합법 서류'로 미 기업 침투
기업 계정 생성 후 내부 시스템과 민감한 데이터 저장소에서 민감 파일 유출
댓글 0
기사입력
: 2025.09.25 11:04
[시큐리티팩트=최석윤 기자] 최근 몇 달 동안 사이버 보안 업계를 긴장시키는 새로운 유형의 위협이 나타났다. 북한 IT 근로자 고용 사기를 활용하는 정교한 공격 방식이다. 이는 전통적인 보안 통제가 어떻게 쉽게 우회될 수 있는지를 여실히 보여준다. 24일(현지 시각) 사이버시큐리티뉴스에 따르면, 공격자들은 악성코드 대신, '합법적인 입사 지원서'를 무기로 삼았다.
원격 엔지니어로 가장, 합법적 이력서 제출
공격자들의 수법은 치밀했다. 그들은 원격 소프트웨어 엔지니어로 가장했다. 합법적으로 보이는 이력서를 제출했다. 코딩 평가까지 완벽하게 마쳤다. 궁극적으로 기업 환경에 적응하는 데 성공했다.
초기 징후는 미묘했다. 무해한 이메일들이 오갔다. 코딩 테스트 결과는 정품 코드 제출이었다. 즉각적인 경보를 울리지 않는 표준 채용 커뮤니케이션이었다.
캠페인 초기, '카일 랭크포드(Kyle Lankford)'라는 가명을 쓰는 한 후보자가 미국의 한 주요 의료 서비스 제공업체에 지원했다. 직책은 수석 소프트웨어 엔지니어였다. 채용 프로세스는 너무나 정상적으로 진행됐다. 모든 상호 작용은 G메일과 코드 시그널(CodeSignal) 같은 일반적인 플랫폼을 통해 이뤄졌다. 악성 URL은 공유되지 않았다. 멀웨어가 포함된 첨부 파일도 전혀 없었다.
글로벌 사이버 보안 기업 트렐릭스(Trellix) 분석가들은 바로 이 점에 주목했다. 통신 과정에서 기술적 이상 현상이 전혀 없었다. 공격자가 엔드포인트 방어 시스템을 우회할 수 있었던 이유다.
북한 운영 계정에 1400개 이상의 이메일 주소 연결
2025년 7월 16일 코딩 평가를 마친 지원자는 8월 4일에 채용 담당자에게 정중한 후속 이메일을 보냈다. 이메일은 지극히 평범했다. "[채용 담당자 이름]님, 주말 잘 보내셨기를 바랍니다. 수석 소프트웨어 엔지니어 직책에 관해 후속 연락을 드리고 싶었습니다"라는 내용이었다. 메시지에는 특이한 헤더나 첨부 파일은 숨겨져 있지 않았다.
겉으로는 무해해 보이는 이메일이었다. 하지만 트렐릭스 연구원들은 사전 위협 헌팅 과정에서 이 캠페인의 정체를 밝혀냈다. 그들은 오픈 소스 정보를 기반으로 조사를 시작했다.
보안팀은 북한이 운영하는 계정에 연결된 1400개 이상의 이메일 주소를 포착했다. 이를 내부 이메일 원격 측정 데이터와 연관시켰다. 여러 위험 지표와 일치하는 계정을 감지했다. 추가 분석 결과, 구직자가 합법적인 기업 자격 증명을 획득한 것으로 확인됐다. 이를 통해 내부 시스템과 민감한 데이터 저장소에 대한 접근 권한이 부여되었다.
입사 지원서가 새로운 형태의 사이버 공격 경로로
이 위협 행위자는 악성 페이로드(악성코드가 포함된 파일)에 의존하는 기존 멀웨어 캠페인과 완전히 달랐다. 대신 자격 증명 기반 침투를 악용해 발판을 마련했다. 사기꾼의 기업 계정이 시스템에 생성되자 공격자는 자유로워졌다.
그들은 SSH(Secure Shell)나 RDP(Remote Desktop Protocol) 같은 표준 원격 액세스 프로토콜을 사용했다. 합법적인 관리 도구를 사용해 네트워크를 탐색했다. 디렉터리 구조를 매핑했다. 접근 가능한 리포지토리(Repository)에 저장된 서비스 계정 자격 증명까지 수집했다. 리포지토리는 소프트웨어 개발에서 소스 코드, 문서, 버전 기록 등 모든 프로젝트 자산들을 저장하고 관리하는 중앙 저장소다. 이들은 탐지 가능한 멀웨어를 배포하지 않았다. 대신 민감한 프로젝트 파일만 유출했다.
이러한 방식은 서명 기반 탐지(알려진 악성코드 패턴을 찾는 방식)를 회피한다. 또한 환경 내 기존 신뢰 관계를 이용한다. 따라서 공격자와 실제 직원을 구별하기가 매우 어려워진다. 공격자는 조직의 채용 프로세스를 교묘하게 악용한 것이다. 경계 방어와 내부자 위협 모니터링을 모두 우회했다.
트렐릭스는 이 사례가 보안의 새로운 과제를 제시한다고 강조했다. 이러한 비(非)멀웨어 중심 공격을 막기 위해서는 행동 분석, 지속적인 신원 검증, 엄격한 배경 조사를 보안 워크플로에 반드시 통합해야 한다. 이제 입사 지원서도 단순한 서류가 아니다. 그것은 새로운 형태의 사이버 공격 경로가 될 수 있다.
