# 구직을 시도한 북한 해커를 식별한 방법 > Clean Markdown view of GeekNews topic #20672. Use the original source for factual precision when an external source URL is present. ## Metadata - GeekNews HTML: [https://news.hada.io/topic?id=20672](https://news.hada.io/topic?id=20672) - GeekNews Markdown: [https://news.hada.io/topic/20672.md](https://news.hada.io/topic/20672.md) - Type: GN+ - Author: [neo](https://news.hada.io/@neo) - Published: 2025-05-03T13:43:07+09:00 - Updated: 2025-05-03T13:43:07+09:00 - Original source: [blog.kraken.com](https://blog.kraken.com/news/how-we-identified-a-north-korean-hacker) - Points: 7 - Comments: 3 ## Summary 암호화폐 거래소 Kraken은 **북한 해커**의 구직을 통한 침투 시도를 사전에 탐지하고 분석하였습니다. 지원자는 **다중 신원 사용**, **VPN과 원격 데스크탑 조합**, **도용된 신분증**을 이용하여 침입을 시도하였으며, 보안팀은 그를 채용 과정에 일부러 참여시켜 **탐지 및 정보 수집 작업**을 진행하였습니다. **이메일, GitHub 계정, OSINT 분석** 등을 통해 **북한 해킹 그룹과의 연관성**을 입증하였고, 이 사건은 **생체 인증·실시간 검증**의 중요성과 함께, **조직 전반의 보안 감수성** 필요성을 강조하였습니다. **"신뢰하지 말고, 검증하라"**는 원칙은 오늘날 더욱 중요해졌으며, **조직 차원의 보안 감수성과 사전 대응 전략이 핵심**임을 보여줍니다. ## Topic Body - 암호화폐 거래소 Kraken은 최근 북한 해커의 구직을 통한 침투 시도를 사전에 탐지하고 분석함 - 지원자는 **다중 신원 사용**, **VPN과 원격 데스크탑 조합**, **도용된 신분증**을 이용하여 침입을 시도 - 보안팀은 그를 채용 과정에 일부러 참여시켜 **탐지 및 정보 수집 작업**을 진행 - **이메일, GitHub 계정, OSINT 분석** 등을 통해 **북한 해킹 그룹과의 연관성**을 입증 - 이 사건은 **생체 인증·실시간 검증**의 중요성과 함께, **조직 전반의 보안 감수성** 필요성을 강조 --- ### 사건 개요 - Kraken의 **보안 및 IT 팀은 일상적으로 다양한 공격 시도를 차단**하고 있음 - 최근 **채용 절차를 이용한 북한 해커의 침입 시도**를 탐지하고 대응함 - 해당 지원자는 엔지니어 직무에 지원했고, **단순 채용 절차가 정보 수집 작전으로 전환**됨 - 북한 해커는 2024년에 암호화폐 회사에서 6억 5천만 달러 이상을 훔친 것으로 추정됨 ### 의심 정황 - 이름이 이력서와 다른 이름으로 온라인 면접 입장 후 중간에 변경됨 - 면접 도중 목소리가 바뀌는 등 실시간 코칭 가능성 식별 - 북한 해커들이 암호화폐 회사에 적극적으로 지원하고 있다는 정보를 받았고, 사전에 입수한 **북한 해커 이메일 리스트** 중 하나와 동일한 주소로 Kraken에 지원함 ### 내부 조사와 발견 - **Red Team이 OSINT 분석을 통해** 공격자의 이메일 및 활동 이력 조사 - **데이터 유출 기록을 분석**해 다수의 가짜 신원과 관련된 이메일을 확인함 - **다수의 가짜 신원이 다른 회사에도 채용되었으며**, 일부는 제재 대상 외국 요원임 ### 기술적 비정상 징후 - 후보자는 **VPN과 원격 Mac 데스크탑을 조합해 위치를 은폐** - GitHub 계정에 연결된 이메일은 **과거 유출된 데이터와 일치** - 제출한 신분증은 **2년 전 도용된 정보 기반으로 변조된 것으로 의심** ### 조직의 대응 방식 - 지원자를 탈락시키지 않고 **일부러 채용 절차에 계속 참여시킴** - **보안 테스트, 기술 과제, 검증 요청**을 통해 전술 파악에 주력함 - **최종 면접**은 Kraken 보안 최고 책임자(CSO)와 진행되었으며, **실시간 검증 질문** 삽입 ### 실시간 검증 질문 예시 - 현재 위치 인증 요청 - 정부 발급 신분증 실물 확인 요청 - 거주 도시의 식당 추천 요구 등 **즉흥적 질문**을 실시간 삽입 - 결과적으로, **지원자는 검증을 통과하지 못함함** ### CSO 닉 퍼코코의 발언 - “**신뢰하지 말고, 검증하라**”는 원칙은 오늘날 더욱 중요해졌음 - **가치 있는 무언가를 다루는 모든 사람과 기업은 공격 대상**이 될 수 있음 - **조직 차원의 보안 감수성과 사전 대응 전략이 핵심**임 ### 핵심 교훈 - **공격자는 정문으로 들어오려 한다**: 기술적 침입 외에도 사회적 접근이 존재함 - **실시간 검증이 강력한 무기**: 생성형 AI를 통해 속일 수 있어도 진짜 검증은 못 넘김 - **보안은 IT만의 문제가 아님**: 채용팀 포함 조직 전체가 보안 감각을 가져야 함 > 의심스러운 지원서를 받을 때 기억하라: **가장 큰 위협은 기회로 가장해 온다** ## Comments ### Comment 38158 - Author: ahwjdekf - Created: 2025-05-04T10:53:57+09:00 - Points: 1 김정은개떽끼라고 크게 말해보시겠어요? 5초 드립니다. ### Comment 38143 - Author: cnaa97 - Created: 2025-05-03T15:11:59+09:00 - Points: 1 사회악 ### Comment 38140 - Author: neo - Created: 2025-05-03T13:43:08+09:00 - Points: 1 ###### [Hacker News 의견](https://news.ycombinator.com/item?id=43858462) - 그들은 기본적인 질문과 배경 조사를 통해 "OSINT" 기술을 사용했다고 주장함 - 보안 산업이 채용 시 기본적인 보안 절차가 부족하다는 인상을 줌 - 실업 상태의 재능 있는 사람들이 일자리를 찾지 못하는 반면, 가짜 인물들이 채용되는 상황이 문제임 - 원격 채용이 큰 약점이라는 생각 - 뛰어난 엔지니어를 채용했으나 실제 작업을 파키스탄과 인도의 원격 근로자에게 맡긴 사례가 있었음 - 원격 근무는 장점이 많지만 보안 문제도 큼 - 흥미로운 기사지만, OSINT 방법으로 조사했다는 것은 단순히 구글링한 것과 같음 - 기사에서 그 사람이 북한 사람이라는 언급이 없음 - 과거 데이터 유출에서 노출된 이메일 주소가 GitHub 프로필과 연결되어 있었음 - 이는 특별한 지표가 아님 - 인터뷰 전에 북한 해커들이 암호화폐 회사에 적극적으로 지원하고 있다는 정보를 받았음 - 해커 그룹과 연결된 이메일 목록을 받았고, 그 중 하나가 지원자와 일치했음 - 이 단일 경고 신호는 지원자를 즉시 무효화해야 함 - CSO Nick Percoco의 발언 - "신뢰하지 말고 검증하라"는 원칙이 디지털 시대에 더욱 중요함 - 국가 지원 공격은 글로벌 위협이며, 저항력은 이러한 공격에 대비하는 것에서 시작됨 - 암호화폐 회사의 CSO가 이런 말을 하는 것이 재미있음 - 2024년에 원격으로 프론트엔드와 백엔드 엔지니어를 채용하는 인터뷰를 많이 진행했음 - 유럽 이름을 가진 많은 지원자들이 있었고, 그들은 모두 아시아인이었음 - 스웨덴, 핀란드, 노르웨이 출신이라고 주장했지만 강한 아시아 억양을 가졌음 - 이 상황이 수상하여 인터뷰를 중단했음 - 오래된 Reddit 스레드에서 누군가가 "김정은이 얼마나 뚱뚱한가?"라는 질문을 추천했음 - 이 이야기는 지루함 - 그들의 호스트 장치에 임플란트를 설치하고 다른 공격자의 장치로 이동하거나, 그들을 미국 송환 가능한 국가로 유도하는 장기 계획에 참여할 때 알려달라고 함 - 지원자의 이름, 이메일, GitHub이 과거 유출에 포함되어 있다는 것을 이미 알고 있었음 - 더 많은 정보를 얻기 위해 인터뷰를 진행하는 계획을 이해하지 못함 - 불일치를 직접적으로 물어보는 것이 최종 인터뷰만큼 유용했을 것임