북한 해킹 조직이 암호화폐 개발자를 노리고 악성코드가 담긴 위장 채용 테스트를 유포하고 있는 것으로 나타났다. 이들은 최근 14억 달러(약 2조 440억 원) 규모의 바이비트(Bybit) 해킹 사건과 연결돼 있는 조직으로 알려졌다.
사이버보안 전문 매체 해커뉴스(The Hacker News)는 25일 관련 보고서를 인용해, 다수의 암호화폐 개발자들이 채용 담당자로 가장한 공격자들로부터 코딩 과제를 받고 있다고 보도했다. 이 과제는 실제로 악성코드 전파용 문서로, 이를 열람한 개발자들의 시스템이 해킹 위험에 노출되고 있다.
공격자는 주로 링크드인을 통해 접근해 거짓된 커리어 기회를 제안하고, 신뢰를 얻은 뒤 깃허브(GitHub)에 등록된 악성 문서를 전달하는 방식으로 공격을 수행한다. 문서를 열면 정보 탈취용 악성코드가 설치돼 시스템 보안이 무력화된다. 이 악성 프로그램은 사용자의 키 입력, 로그인 정보, 암호화폐 지갑 데이터까지 다양하게 수집할 수 있는 것으로 분석됐다.
이번 공격은 북한 해킹 조직 '슬로우 파이시스(Slow Pisces)'가 주도한 것으로 추정된다. 이 조직은 국제 보안 커뮤니티에서 제이드 슬리트(Jade Sleet), 풍천(Pukchong), 트레이더트레이터(TraderTraitor), UNC4899 등 다양한 명칭으로 불린다. 이들은 과거에도 유사한 방식으로 암호화폐 업계를 공격해 수천만 달러의 피해를 입힌 전력이 있는 것으로 알려져 있다.
전문가들은 북한 해커들이 자국의 경제 제재를 회피하고 외화를 확보하기 위해 전 세계 암호화폐 인력과 인프라를 지속적으로 노리고 있다며, 특히 개발자를 대상으로 한 '기회 위장' 수법에 각별한 주의가 필요하다고 경고하고 있다. 암호화폐 업계 관계자들은 아무리 매력적인 채용 제안이라도 출처를 확인하지 않고 열람할 경우 심각한 피해로 이어질 수 있다고 조언했다.