출처: 토큰포스트
북한 연계 해커 조직 라자루스 그룹이 암호화폐 업계의 채용 시장을 악용해 취업 희망자를 노리는 악성코드 캠페인 ‘클릭픽스’를 본격화하고 있다.
5일(현지시간) 크립토포테이토에 따르면, 이 수법은 마치 기술 지원처럼 위장해 피해자가 자발적으로 악성코드를 설치하게 만드는 사회공학적 공격 기법이다.
사이버보안 기업 세코이아(Sekoia)의 최신 보고서에 따르면, 라자루스 그룹은 최근 중앙화 금융(CeFi) 분야의 취업 희망자들을 겨냥해 새로운 유형의 사이버 공격을 감행하고 있다. 이번 캠페인은 기존 개발자·엔지니어 중심의 ‘감염된 인터뷰(Contagious Interview)’ 작전에서 진화한 형태로, 마케팅 및 사업개발 인력 등 비기술직군까지 범위를 확대하였다.
공격자들은 코인베이스(Coinbase), 쿠코인(KuCoin), 크라켄(Kraken), 테더(Tether) 등 유명 암호화폐 기업을 사칭해 정교하게 제작된 가짜 채용 사이트를 운영한다. 피해자는 진짜 구직 절차처럼 보이는 온라인 신청서와 영상 인터뷰 요청에 응하며 신뢰를 가지게 된다. 그러나 영상 녹화 과정에서 의도된 오류 메시지를 보여주고, 카메라 또는 드라이버 문제 해결을 명목으로 파워셸(PowerShell) 명령어 실행을 유도해 악성코드를 감염시킨다.
클릭픽스(ClickFix) 수법은 ‘기술 문제 해결’이라는 착각을 이용해 피해자가 보안 경계를 낮추게 만드는 점에서 기존보다 심리적으로 더 정교하다. 세코이아는 이번 캠페인에서 최소 14개 주요 기업을 언급한 184건의 가짜 인터뷰 초대장이 활용되었음을 확인하였다.
이와 같은 전략은 단순한 시스템 침입을 넘어서 내부 기밀이나 권한에 접근 가능한 비개발 인력까지 겨냥한 것으로, 라자루스가 암호화폐 생태계 내 다양한 지점에서 공격을 모색하고 있음을 시사한다. 특히 사회공학 기반의 공격 방식은 피해자가 악성코드에 직접 감염되도록 유도하는 구조로, 기술적으로는 복잡하지 않지만 방어가 어려운 점이 특징이다.
한편, 세코이아는 기존의 감염된 인터뷰 캠페인도 여전히 활성화 상태라고 전했다. 라자루스는 이 두 전략을 병행 사용하며 목표군에 따라 맞춤형 전술을 적용하는 것으로 분석된다. 이들의 궁극적 목표는 공통적으로 사용자 기기 내 정보를 훔치고, 블록체인 지갑 키 탈취 등을 통해 금전적 이익을 취하는 데 있다.
이와 별개로, 미국 연방수사국(FBI)은 암호화폐 거래소 바이비트(Bybit)에서 발생한 15억 달러 규모 해킹 사건의 배후로 라자루스를 지목하였다. 당시 라자루스는 ‘트레이더트레이터(TraderTraitor)’라는 악성 트레이딩 소프트웨어를 통해 내부 직원을 속이고 시스템 침투에 성공한 것으로 드러났다.
