북한 연계 해킹조직 라자루스(Lazarus)가 중앙화 금융(CeFi) 기반 암호화폐 기업 구직자를 노린 새로운 공격 수법을 선보였다. 사이버보안 기업 세코이아(Sekoia)에 따르면, 라자루스는 최근 '클릭픽스(ClickFix)'라 불리는 악성코드 유포 수법을 새롭게 운용하고 있으며, 이는 과거 기술 인력을 겨냥한 '감염된 인터뷰' 캠페인의 확장판으로 평가된다.
이번에는 개발자나 엔지니어가 아닌 마케팅, 사업개발 등의 비기술직 종사자가 주요 표적이다. 라자루스는 코인베이스, 크라켄, 쿠코인, 테더 등 유명 암호화폐 기업을 사칭해 가짜 채용 사이트를 만들고, 이를 통해 면접 제안을 유도하고 있다. 이들 사이트는 실제 구직 페이지처럼 정교하게 구성됐으며, 영상 자기소개 요청 등으로 신뢰도를 높인다.
피해자가 영상 녹화를 시도할 경우 카메라 오류를 가장한 팝업 메시지가 뜨고, 웹캠 또는 드라이버 문제 해결을 명분으로 사용자의 PowerShell에 명령어 입력을 유도한다. 실상은 악성코드 다운로드를 실행시키는 트리거다. 세코이아는 이번 캠페인에서 최소 14개 주요 업체의 명의를 도용한 184건 이상의 가짜 면접메일이 사용됐다고 밝혔다.
기존 전략이 개발자나 인프라 접근 권한이 있는 이들을 겨냥했다면, 이번 수법은 구직자의 심리를 자극해 비인가 사용자를 통한 내부 접근 가능성까지 노리고 있다는 점에서 진화된 형태다. 실제 내부 문서나 인사 정보 등 민감한 데이터에 접근할 수 있는 마케팅 분야 종사자도 위험에 노출될 수 있다는 점에서 우려가 크다.
한편, FBI는 이전에 발생한 바이비트(Bybit) 해킹 사건도 라자루스의 소행으로 판단하고 있다. 당시 피해 규모는 약 15억 달러(약 2조 1,900억 원)로, 해당 조직은 '트레이더트레이터(TraderTraitor)'라는 악성 소프트웨어를 위장된 구직 제안을 통해 유포했다. 이 프로그램은 자바스크립트와 Node.js로 개발돼 합법 거래 소프트웨어처럼 보였지만, 실제로는 개인 키 탈취와 블록체인 상 불법 거래를 실행하도록 설계됐다.
세코이아는 현재까지도 '감염된 인터뷰' 캠페인이 병행 운영 중임을 확인했으며, 여러 기법을 동시에 실험하며 공격 효율성을 비교하는 전략이 명확히 드러난다고 진단했다. 이들은 공통적으로 피해자가 자발적으로 악성코드를 설치하게 만드는 '신뢰 기반 감염' 기법을 활용하고 있다.
암호화폐 산업 전반에 대한 위협 수준이 높아지는 가운데, 라자루스는 보다 정교한 사회공학적 수법을 통해 새로운 타겟층으로 공격 범위를 넓히고 있다. 보안 전문가들은 기업뿐 아니라 개인 구직자도 의심스러운 채용 제안에 각별히 주의할 필요가 있다고 경고하고 있다.