사이버 보안 산업은 지속적으로 정교해지는 위협에 직면하고 있으며, 특히 국가 차원의 지원을 받는 사이버 공격이 주요 도전 과제로 부상하고 있다. 기술, 금융, 암호화폐 분야가 주요 표적이 되고 있으며, 이러한 산업에서 활동하는 개발자와 엔지니어는 새로운 형태의 공격에 특히 취약하다. 이에 따라 기업들은 보안 강화와 실시간 위협 탐지 솔루션 도입을 통해 적극적으로 방어 체계를 구축하고 있다.

사이버 보안 기업 애니런(ANY.RUN)은 최근 북한이 실행한 것으로 보이는 구직 면접을 위장한 '가짜 인터뷰' 캠페인을 발견했다고 밝혔다.

이번 공격은 개발자를 주요 초점으로 기술, 금융 및 암호화폐 분야를 표적으로 삼는 조직적인 행위다. 위협 행위자는 가짜 구직 면접을 연출하여 코딩 챌린지(또는 종속성) 또는 화상 통화 소프트웨어로 위장한 맬웨어를 퍼뜨리는 것을 목표로 하며, 컨테이져스 인터뷰(Contagious Interview) 또는 데브포퍼(DevPopper)로 알려진 캠페인이다.

인비저블페럿(InvisibleFerret)은 파이썬 기반 맬웨어로, 피해자에 대한 기본 정보(예: 지리적 위치)를 수집한다. 일반적으로 사용되는 ip-api.com 과 같은 합법적인 서비스에 쿼리를 보내어 정보를 수집하고, OS 릴리스, 버전, 호스트 이름, 사용자 이름과 같은 시스템 세부 정보를 수집한 후 마지막으로 고유한 ID를 생성한다.

이 공격은 비버테일(BeaverTail)로더를 통해 시작되며, 이는 파이썬 환경을 다운로드하여 브라우저 프로세스를 방해하고, 파일을 추출하며, 인비저블페럿(InvisibleFerret) 맬웨어를 시스템에 심는 방식으로 작동한다.

이 캠페인의 또 다른 특징은 다중 데이터 탈취 방식이다. 공격자는 훔친 데이터를 FTP, SMTP 또는 텔레그램을 통해 전송할 수 있으며, 이는 기업 보안 체계에 심각한 위협을 가중시키고 있다.

애니런은 블로그를 통해 IOC(Indicators of Compromise)와 기술적 분석을 포함한 심층 보고서를 공개하며, 이를 통해 보안 업계가 새로운 공격에 대비할 수 있는 정보를 제공하고 있다. 이번 분석은 맬웨어가 일반적인 업무 활동으로 위장해 방어가 잘 갖춰진 조직조차도 방심하게 만드는 전략을 사용하고 있음을 강조한다.

기업들에게는 고급 샌드박스 분석 도구를 활용하여 의심스러운 파일을 검토하고, 개발 환경을 정기적으로 모니터링하며, 강력한 액세스 제어를 시행할 필요성이 제기된다. 이를 통해 은밀한 침투 시도를 차단하고, 기업 자산을 안전하게 보호할 수 있다.

이번 분석은 기술 및 암호화폐 기업이 당면한 위협의 심각성을 환기시키며, 보다 적극적인 보안 접근법의 중요성을 다시 한번 일깨우고 있다.

애니런 플랫폼의 실시간 타임라인 보기와 TTP(전술, 기법 및 절차) 매핑 기능은 보안 팀이 이러한 위협을 식별하고 대응하는 데 중요한 인사이트를 제공한다.