최근 사이버 보안 보고서를 통해 드러난 바에 따르면, 북한 연계 해킹 그룹인 라자루스 그룹이 CeFi(중앙화 금융) 분야의 구직자를 목표로 하는 새로운 전술인 ‘클릭픽스’(ClickFix)를 활용하고 있다. 이 그룹은 이전의 ‘감염된 인터뷰’ 캠페인을 변형하여, 인공지능 및 암호화폐 관련 직종의 개발자와 엔지니어에서 마케팅 및 비즈니스 개발과 같은 비기술 직종으로 초점을 전환했다.

라자루스 그룹은 Coinbase, KuCoin, Kraken 및 스테이블코인 발행사인 Tether와 같은 주요 암호화폐 기업의 신분을 사칭하면서, 비기술 직종의 전문 인력을 속이기 위해 가짜 채용 웹사이트를 만들어 놓았다. 이 사이트들은 사실적인 채용 신청 양식과 비디오 소개 요청을 포함하여 후보자들에게 심리적으로 신뢰감을 주는 방식으로 악성 코드 유포를 시도하고 있다.

사용자가 비디오를 녹화하려고 시도할 때, 가짜 오류 메시지가 나타나며 웹캠이나 드라이버의 문제를 제기한다. 이 과정에서 사용자는 문제 해결을 위한 PowerShell 명령어를 실행하라는 안내를 받게 되며, 이 명령어 실행은 악성 코드 다운로드를 유발한다. 이러한 클릭픽스 방법은 상대적으로 새로운 전술로, 심리적으로 간단하면서도 사용자로 하여금 기술 문제를 해결하는 것으로 믿게 하여 악성 코드를 실행하도록 유도한다.

사이버 보안 전문 기업인 세코이아(Sekoia)에 따르면, 이 캠페인은 최소 14개 유명 기업의 명성을 활용한 184개의 가짜 면접 초대장을 참조하여 신뢰성을 높이고 있다. 이는 라자루스 그룹이 경쟁이 치열한 암호화폐 구직 시장에서 개인의 전문적 열망을 exploit(악용)할 수 있는 솜씨를 더욱 발전시키고 있음을 나타낸다. 이러한 변화는 그룹이 단순히 코드나 인프라에 접근할 수 있는 인력만이 아니라 민감한 내부 데이터를 처리하거나 우연히 보안 침해를 유발할 가능성이 있는 직종까지 그 타겟을 확장하고 있다는 것을 시사한다.

클릭픽스 캠페인의 출현에도 불구하고, 세코이아는 기존의 감염된 인터뷰 캠페인이 여전히 활성화되고 있다고 보고하였다. 이러한 전략의 병행적 사용은 북한국가의 국가 주도 집단이 다양한 타겟 인구층에 맞춰 전술의 효과성을 시험하거나 조정하고 있다는 것을 나타낸다. 두 캠페인 모두 신뢰할 수 있는 경로를 통해 정보 탈취 악성 코드를 유포하고 피해자들이 자발적으로 감염되도록 유도하는 공통 목표를 가지고 있다.

라자루스 그룹은 최근 Bybit 해킹에 대한 책임을 FBI에 공식적으로 받아들여졌다. 해커들은 가짜 구직 제안을 통해 Bybit의 직원들을 속여 변조된 트레이딩 소프트웨어인 ‘트레이더 트레이터’를 설치하게 하였다. 이 소프트웨어는 표면상으로는 신뢰를 주지만, 실제로는 비공식 키를 도용하고 블록체인에서 불법 거래를 실행하도록 설계된 악성 코드가 포함되어 있었다.

이러한 사례를 통해 우리는 라자루스 그룹의 고도화된 사이버 범죄 기술과 전략을 목격하고 있으며, 이는 앞으로도 주의 깊게 모니터링되어야 할 중요한 경고 신호임을 알 수 있다.


crossorigin="anonymous">