구직을 시도한 북한 해커를 식별한 방법

 (blog.kraken.com)
5P by GN⁺ 1일전 | ★ favorite | 댓글 3개
  • 암호화폐 거래소 Kraken은 최근 북한 해커의 구직을 통한 침투 시도를 사전에 탐지하고 분석함
  • 지원자는 다중 신원 사용, VPN과 원격 데스크탑 조합, 도용된 신분증을 이용하여 침입을 시도
  • 보안팀은 그를 채용 과정에 일부러 참여시켜 탐지 및 정보 수집 작업을 진행
  • 이메일, GitHub 계정, OSINT 분석 등을 통해 북한 해킹 그룹과의 연관성을 입증
  • 이 사건은 생체 인증·실시간 검증의 중요성과 함께, 조직 전반의 보안 감수성 필요성을 강조

사건 개요

  • Kraken의 보안 및 IT 팀은 일상적으로 다양한 공격 시도를 차단하고 있음
  • 최근 채용 절차를 이용한 북한 해커의 침입 시도를 탐지하고 대응함
  • 해당 지원자는 엔지니어 직무에 지원했고, 단순 채용 절차가 정보 수집 작전으로 전환
  • 북한 해커는 2024년에 암호화폐 회사에서 6억 5천만 달러 이상을 훔친 것으로 추정됨

의심 정황

  • 이름이 이력서와 다른 이름으로 온라인 면접 입장 후 중간에 변경됨
  • 면접 도중 목소리가 바뀌는 등 실시간 코칭 가능성 식별
  • 북한 해커들이 암호화폐 회사에 적극적으로 지원하고 있다는 정보를 받았고, 사전에 입수한 북한 해커 이메일 리스트 중 하나와 동일한 주소로 Kraken에 지원함

내부 조사와 발견

  • Red Team이 OSINT 분석을 통해 공격자의 이메일 및 활동 이력 조사
  • 데이터 유출 기록을 분석해 다수의 가짜 신원과 관련된 이메일을 확인함
  • 다수의 가짜 신원이 다른 회사에도 채용되었으며, 일부는 제재 대상 외국 요원임

기술적 비정상 징후

  • 후보자는 VPN과 원격 Mac 데스크탑을 조합해 위치를 은폐
  • GitHub 계정에 연결된 이메일은 과거 유출된 데이터와 일치
  • 제출한 신분증은 2년 전 도용된 정보 기반으로 변조된 것으로 의심

조직의 대응 방식

  • 지원자를 탈락시키지 않고 일부러 채용 절차에 계속 참여시킴
  • 보안 테스트, 기술 과제, 검증 요청을 통해 전술 파악에 주력함
  • 최종 면접은 Kraken 보안 최고 책임자(CSO)와 진행되었으며, 실시간 검증 질문 삽입

실시간 검증 질문 예시

  • 현재 위치 인증 요청
  • 정부 발급 신분증 실물 확인 요청
  • 거주 도시의 식당 추천 요구 등 즉흥적 질문을 실시간 삽입
  • 결과적으로, 지원자는 검증을 통과하지 못함함

CSO 닉 퍼코코의 발언

  • 신뢰하지 말고, 검증하라”는 원칙은 오늘날 더욱 중요해졌음
  • 가치 있는 무언가를 다루는 모든 사람과 기업은 공격 대상이 될 수 있음
  • 조직 차원의 보안 감수성과 사전 대응 전략이 핵심

핵심 교훈

  • 공격자는 정문으로 들어오려 한다: 기술적 침입 외에도 사회적 접근이 존재함
  • 실시간 검증이 강력한 무기: 생성형 AI를 통해 속일 수 있어도 진짜 검증은 못 넘김
  • 보안은 IT만의 문제가 아님: 채용팀 포함 조직 전체가 보안 감각을 가져야 함

의심스러운 지원서를 받을 때 기억하라: 가장 큰 위협은 기회로 가장해 온다

ahwjdekf 3시간전  [-]

김정은개떽끼라고 크게 말해보시겠어요? 5초 드립니다.

답변달기
GN⁺ 1일전  [-]
Hacker News 의견

  • 그들은 기본적인 질문과 배경 조사를 통해 "OSINT" 기술을 사용했다고 주장함

    • 보안 산업이 채용 시 기본적인 보안 절차가 부족하다는 인상을 줌
    • 실업 상태의 재능 있는 사람들이 일자리를 찾지 못하는 반면, 가짜 인물들이 채용되는 상황이 문제임

  • 원격 채용이 큰 약점이라는 생각

    • 뛰어난 엔지니어를 채용했으나 실제 작업을 파키스탄과 인도의 원격 근로자에게 맡긴 사례가 있었음
    • 원격 근무는 장점이 많지만 보안 문제도 큼

  • 흥미로운 기사지만, OSINT 방법으로 조사했다는 것은 단순히 구글링한 것과 같음

  • 기사에서 그 사람이 북한 사람이라는 언급이 없음

    • 과거 데이터 유출에서 노출된 이메일 주소가 GitHub 프로필과 연결되어 있었음
    • 이는 특별한 지표가 아님

  • 인터뷰 전에 북한 해커들이 암호화폐 회사에 적극적으로 지원하고 있다는 정보를 받았음

    • 해커 그룹과 연결된 이메일 목록을 받았고, 그 중 하나가 지원자와 일치했음
    • 이 단일 경고 신호는 지원자를 즉시 무효화해야 함

  • CSO Nick Percoco의 발언

    • "신뢰하지 말고 검증하라"는 원칙이 디지털 시대에 더욱 중요함
    • 국가 지원 공격은 글로벌 위협이며, 저항력은 이러한 공격에 대비하는 것에서 시작됨
    • 암호화폐 회사의 CSO가 이런 말을 하는 것이 재미있음

  • 2024년에 원격으로 프론트엔드와 백엔드 엔지니어를 채용하는 인터뷰를 많이 진행했음

    • 유럽 이름을 가진 많은 지원자들이 있었고, 그들은 모두 아시아인이었음
    • 스웨덴, 핀란드, 노르웨이 출신이라고 주장했지만 강한 아시아 억양을 가졌음
    • 이 상황이 수상하여 인터뷰를 중단했음

  • 오래된 Reddit 스레드에서 누군가가 "김정은이 얼마나 뚱뚱한가?"라는 질문을 추천했음

  • 이 이야기는 지루함

    • 그들의 호스트 장치에 임플란트를 설치하고 다른 공격자의 장치로 이동하거나, 그들을 미국 송환 가능한 국가로 유도하는 장기 계획에 참여할 때 알려달라고 함

  • 지원자의 이름, 이메일, GitHub이 과거 유출에 포함되어 있다는 것을 이미 알고 있었음

    • 더 많은 정보를 얻기 위해 인터뷰를 진행하는 계획을 이해하지 못함
    • 불일치를 직접적으로 물어보는 것이 최종 인터뷰만큼 유용했을 것임
답변달기