위장 구직 제안하는 ‘컨테이저스 인터뷰’ 캠페인 일환으로 개발자 단말 정조준
[보안뉴스 김형근 기자] 북한과 연계된 해커들이 개발자와 암호화폐 업계 종사자를 겨냥해 108개의 고도화된 악성 패키지와 웹 브라우저 확장 프로그램을 유포한 사실이 새롭게 드러났다.

[자료: gettyimagesbank]
사이버보안 기업 소켓(Socket)의 최신 위협 분석 보고서에 따르면, 북한 해커 그룹은 ‘폴린라이더(PolinRider)’라는 이름의 캠페인을 펼쳐 주요 오픈소스 저장소에 지속적으로 악성코드를 배포했다. 이 그룹은 가짜 구직 제안이나 화상 면접을 미끼로 개발자 단말기에 침투하는 ‘컨테이저스 인터뷰’(Contagious Interview) 전술을 전문적으로 구사하는 조직이다.
이번 조사에서 드러난 공격자들의 수법은 치밀하고 기만적이다. 이들은 구인구직 SNS나 프리랜서 플랫폼을 통해 유망한 IT 기업 인사 담당자로 위장해 개발자에게 접근한다. 이후 화상 회의로 실제 기술 면접을 진행하며 피해자의 의심을 거두고, 코딩 테스트나 실무 역량 평가를 빌미로 특정 오픈소스 패키지의 다운로드 및 실행을 유도한다.
악성 로직이 숨겨진 패키지를 설치하는 순간 백그라운드에서 악성 스크립트가 실행되며 브라우저 쿠키, 암호화폐 지갑 정보, 시스템 내부 접근 권한이 통째로 공격자에게 넘어간다.
이러한 수법으로 유포한 162개의 악성 배포물은 총 108개의 고유 패키지와 확장 프로그램으로 구성됐다. npm 라이브러리 19개와 컴포저(Composer) 패키지 10개를 비롯해 고Go 모듈, 구글 크롬 확장 프로그램 1개 등이 포함됐다. 세계적으로 널리 쓰이는 범용 소프트웨어 생태계 전반을 겨냥한 것이다.
이번 캠페인은 단순 악성코드 살포를 넘어 개발자 인프라를 직접 노렸다. 북한 해킹 그룹은 취약한 서버를 공격하는 방식에서 벗어나 오픈소스 메인테이너의 계정을 탈취해 저장소 자체를 오염시키고 있다. 이는 내부 방어망을 우회하는 루트로 공급망의 원천인 외부 패키지나 개발자의 단말기를 노리는 방식으로 진화한 것이다. 이에 따라 소프트웨어 개발 전 주기에 걸친 무결성 검증과 내부 인프라 전반에 걸친 검·인증 체계가 차세대 보안 조건으로 부상했다.
카를로 잔키 소켓 보안연구원은 “이번 캠페인은 현재진행형으로 활발히 작동하고 있으며, 위협 행위자들이 메인테이너의 계정을 침해하고 합법적인 저장소를 수정함에 따라 새로운 악성 패키지가 지속적으로 등장할 가능성이 매우 높다”며 “공격자들이 레지스트리 접근 권한을 유지하거나 획득하는 한 감염된 패키지 버전을 끊임없이 게시할 것”이라고 경고했다.
[김형근 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>














