북한 해커, 가짜 채용 공고와 ClickFix 수법으로 macOS 사용자 공격!

최근 Jamf의 보고에 따르면 북한 해커들이 가짜 채용 공고와 ClickFix 전술을 사용하여 macOS 사용자를 표적으로 삼고 있다고 합니다. 피해자들은 터미널에서 curl 명령어를 실행하도록 속임을 당해, FlexibleFerret 백도어 멀웨어를 설치하게 됩니다. 이번 공격 캠페인은 ‘Contagious Interview’라고 명명되었으며, 자격 증명 탈취, 파일 유출, 시스템 손상을 목표로 합니다.

macOS 사용자를 노리는 북한 해커의 진화된 공격 수법

북한의 지원을 받는 해커들이 새로운 멀웨어를 사용하여 macOS 사용자를 공격하고 있습니다. 이들은 가짜 채용 공고와 ClickFix라는 두 가지 널리 알려진 접근 방식을 결합한 전략을 사용합니다. ClickFix는 피해자에게 가짜 문제를 제시하고, 동시에 해결 방법을 제공하는 공격 방식입니다. 이는 2000년대 초반 인터넷을 장악했던 "컴퓨터에 바이러스가 있습니다" 팝업의 진화된 형태라고 볼 수 있습니다.

Contagious Interview 캠페인의 실체

Jamf는 FlexibleFerret 멀웨어 패밀리 출신의 'DPRK 연계 운영자'들이 Contagious Interview라는 더 광범위한 캠페인의 일환으로 가짜 회사, 가짜 LinkedIn 프로필, 그리고 가장 중요한 가짜 채용 공고를 만들고 있음을 확인했습니다. 이들은 주로 소프트웨어 개발자를 표적으로 삼아 링크드인 (LinkedIn)을 통해 접근합니다.

악성 Curl 명령어의 위험성

피해자들은 여러 단계를 거친 후 고용주 플랫폼을 통해 자신의 영상을 녹화하라는 요청을 받게 됩니다. 하지만 영상을 녹화하려고 하면 카메라가 제대로 작동하지 않는다는 메시지가 표시됩니다. 이때 문제 해결 방법으로 터미널에 입력해야 하는 `curl` 명령어가 제시되는데, 이는 실제 문제를 해결하는 것이 아니라 시스템에 멀웨어를 설치하는 것입니다. 이 멀웨어는 백도어 역할을 하며, 시스템 정보 수집, 파일 업로드 및 다운로드, 셸 명령어 실행, Chrome 프로필 데이터 추출, 자동 자격 증명 탈취 등을 수행합니다.

조직과 사용자를 위한 보안 권고 사항

연구원들은 "조직은 요청하지 않은 '인터뷰' 평가와 터미널 기반 '수정' 지침을 고위험으로 간주하고, 사용자들이 이러한 메시지를 따르기보다는 중단하고 보고하도록 교육해야 합니다."라고 결론지었습니다. 의심스러운 채용 제안이나 터미널 명령어를 요구하는 요청에 대해서는 각별한 주의를 기울여야 합니다.

결론

이번 북한 해커의 macOS 사용자 공격 사례는 사회공학적 기법과 기술적 공격을 결합한 고도화된 위협을 보여줍니다. 사용자들은 의심스러운 링크 클릭이나 파일 다운로드에 주의하고, 최신 보안 패치를 적용하며, 신뢰할 수 있는 보안 솔루션을 사용하는 등 기본적인 보안 수칙을 준수해야 합니다. 또한, 조직은 직원들에게 보안 교육을 강화하여 이러한 공격에 대한 인식을 높이고, 적절한 대응 방안을 마련해야 할 것입니다.