이원영 기자
보안 소프트웨어를 개발하는 KnowBe4에서 소프트웨어 엔지니어로 채용한 인물이 실제로는 북한 해커였다는 보고가 있다.
피싱 공격과 사이버 공격의 위협에 대한 보안 인식 향상 프로그램을 개발하는 KnowBe4는 소프트웨어 엔지니어를 모집하고 있었다. KnowBe4는 지원자에게 이력서 제출을 요구하고 원격으로 여러 차례 면접을 실시하며 신원 조사를 진행했고 한 지원자가 이 과정을 통과했다고 한다.
KnowBe4 원격 소프트웨어 엔지니어로 채용된 이 직원에게 KnowBe4는 맥을 지급했다. 하지만 맥이 직원에게 도착한 직후 맥에 악성코드가 로드되기 시작한 게 확인됐다. KnowBe4는 악성코드로 인해 내부 시스템이 위험에 노출되기 전에 해당 맥 활동을 원격으로 제한했다고 한다. KnowBe4가 해당 직원에게 연락을 취하자 직원은 속도 문제를 해결하기 위해 라우터 가이드 지침을 따르고 있었다고 보고했다. 하지만 이후 조사에서 해당 직원이 세션 기록 파일을 조작하고 유해한 소프트웨어를 전송하고 라즈베리 파이를 이용해 악성코드를 다운로드하는 등 부정 행위를 저질렀다는 게 밝혀졌다.
이후 직원은 전화에 응답하지 않았다고 한다. FBI와 구글 보안 팀인 멘디언트(Mandiant)와 공동 조사 결과 해당 소프트웨어 엔지니어는 실제로 IT 노동자로 위장한 북한 해커였다고 결론 내려졌다. KnowBe4는 이 직원이 VPN을 통해 북한에서 접속하고 있었다고 보고했다.
북한 해커에게 원격 소프트웨어 엔지니어라는 직책을 얻는 건 기업 기밀 정보를 빼내고 새로운 공격 방법을 고안하는 데 중요한 수단이 되고 있다. 이전에도 FBI가 미국 등 외국 기업과 계약을 맺은 북한인 수천 명이 연간 수십억 원대에 달하는 임금을 비밀리에 북한으로 송금하고 있다는 조사 결과를 보고한 바 있다.
이번 KnowBe4 사례에서 북한을 거점으로 하는 해커는 스톡 이미지를 AI로 편집해 KnowBe4의 면접 과정을 통과했다고 한다.
KnowBe4는 이번 사례는 고도화되고 지속적인 위협으로부터 기업을 보호하기 위해 더 견고한 심사 과정과 지속적인 보안 모니터링, 인사·IT·보안팀간 협력을 개선하는 게 중요하다는 점을 부각시켰다고 말했다. 또 KnowBe4는 업계 다른 기업들에게 화상 통화를 사용해 내정자와 면접하고 해당 인물이 실제인지 확인해야 한다고 조언하고 있다. 또 단순히 후보자에게 이메일을 보내는 것 뿐 아니라 그 사람에 대한 추천서를 세심히 확인할 걸 권장하고 있다. 관련 내용은 이곳에서 확인할 수 있다.
정용환 기자
이석원 기자
