라자루스, 'ClickFix' 전술로 가상화폐 구직자 노려 신종 백도어 'GolangGhost' 유포

북한 정찰총국(RGB) 소속 해킹 조직 라자루스(Lazarus) 그룹이 새로운 사회공학적 공격 수법 ‘ClickFix’를 활용해 가상화폐 산업 구직자들을 타깃으로 한 사이버 공격을 전개하고 있는 것으로 드러났다. 이번 캠페인은 윈도우와 맥OS 환경을 모두 겨냥하며, 'GolangGhost'라는 신종 백도어 악성코드를 배포하는 것이 핵심이다.

#‘가짜 인터뷰’에서 ‘ClickFix’로 진화한 전술

이번 공격은 프랑스 사이버보안 기업 세코이아(Sekoia)에 의해 'ClickFake Interview(가짜 클릭 인터뷰)' 캠페인으로 명명됐다. 이는 과거 ‘Contagious Interview(전염성 인터뷰)’ 또는 ‘DeceptiveDevelopment’, ‘DEV#POPPER’, ‘Famous Chollima’로 알려진 캠페인의 연장선상에 있다. 이 시리즈의 공통점은 허위 구인 공고와 인터뷰를 미끼로 한 사회공학 기법이다.

공격자는 주로 링크드인(LinkedIn)이나 X(구 트위터) 플랫폼을 통해 구직자에게 접근한 후, 화상 인터뷰를 준비하라는 명목으로 악성 프로그램을 다운로드하게 유도한다. 인터뷰 도중 사용자에게 ‘카메라 접근 오류’ 팝업을 띄우고, 이를 해결하기 위해 특정 드라이버 또는 시스템 권한을 활성화하라고 안내하는 방식이다. 이 과정에서 사용자는 실제로 악성코드를 설치하게 된다.

#정교해진 감염 메커니즘…OS 따라 다른 방식

ClickFix 전술은 사용자의 운영체제에 따라 다른 명령어를 안내한다. 윈도우 사용자의 경우, 명령 프롬프트(CMD)에서 curl 명령어를 입력하도록 유도해 Visual Basic Script(VBS) 파일을 실행하고, 이 파일이 다시 배치(batch) 스크립트를 호출해 GolangGhost 백도어를 설치한다.

맥OS 환경에서는 터미널을 통해 curl로 셸 스크립트를 다운로드하고, 연쇄적으로 또 다른 셸 스크립트를 실행해 FROSTYFERRET로 명명된 정보 탈취 모듈과 함께 백도어를 작동시킨다.

FROSTYFERRET는 ‘Chrome 업데이트를 위해 카메라 접근이 필요하다’는 가짜 경고창을 띄운 뒤 사용자에게 시스템 비밀번호 입력을 요구한다. 입력된 비밀번호는 유효 여부와 무관하게 드롭박스(Dropbox) 경로로 유출되며, 이는 아이클라우드 키체인 접근을 위한 것으로 분석된다.

#'GolangGhost', 파일 전송부터 브라우저 데이터 탈취까지

GolangGhost는 이름 그대로 Go 언어로 제작된 백도어로, 원격 명령을 통해 파일 업로드 및 다운로드, 시스템 정보 전송, 웹 브라우저 데이터 탈취 등 다양한 기능을 수행한다. 해당 악성코드는 감염된 시스템을 장기적으로 통제할 수 있도록 설계돼 있으며, 공격자는 이를 통해 암호화폐 지갑 정보나 로그인 자격증명 등 민감 데이터를 탈취할 수 있다.

특이한 점은 이번 캠페인의 타깃이 기술직군이 아닌 비개발자 중심이라는 점이다. 세코이아에 따르면, 공격자는 주로 자산관리, 사업개발, 디파이(DeFi) 전략 기획자 등 관리·비즈니스 직군을 대상으로 했다. 이는 이전에 개발자와 소프트웨어 엔지니어를 주로 노리던 기존 라자루스 전략과는 다른 양상이다.

공격자는 또한 탈중앙화 금융(DeFi)보다는 중앙화 거래소(CeFi) 관계자들을 집중적으로 노리고 있다. 공격에 사용된 사칭 기업은 코인베이스(Coinbase), 크라켄(Kraken), 쿠코인(KuCoin), 테더(Tether), 로빈후드(Robinhood) 등 글로벌 암호화폐 거래소와 서비스 기업들이다.

#유럽으로 확산 중인 북한발 IT 위장 취업 스킴

이번 백도어 캠페인과 병행해, 북한은 유럽을 중심으로 IT 기술자 위장취업 활동도 확대하고 있다. 구글 위협 인텔리전스 그룹(GTIG)에 따르면, 최근 유럽 내에서 다수의 북한 국적자가 이탈리아, 일본, 말레이시아 등으로 국적을 위장한 채 원격 개발자 또는 웹 개발자, CMS 관리자 등으로 구직 활동을 벌이고 있다.

이들은 깃허브(GitHub)를 활용해 가짜 포트폴리오를 만들거나 과거 계정을 재활용해 이력을 조작하고 있으며, 업워크(Upwork), 텔레그램(Telegram), 프리랜서(Freelancer) 등 플랫폼에서 고용 기회를 찾고 있다.

결제는 암호화폐, 페이오니어(Payoneer), 트랜스퍼와이즈(TransferWise)를 통해 이루어져 자금의 출처를 숨기고 있으며, 유럽 내 현지 브로커와 연결해 기업 내부자 위협도 증가하고 있는 상황이다.

특히 2024년 하반기 이후에는 기업을 상대로 금전적 협박도 증가하는 추세다. 고용된 위장 IT 인력이 퇴사 후 기업의 내부 자료를 유출하거나 경쟁사에 넘기겠다는 협박으로 몸값을 요구하는 경우가 보고되고 있다.

BYOD(Bring Your Own Device)를 운영하는 기업도 주요 표적이 되고 있다. 이들 기기는 보안 솔루션과 로그 기록이 부실한 경우가 많아 공격자가 장악하기 쉬운 환경이다.

보안 전문가들은 라자루스 그룹의 공격이 갈수록 정교해지고 있으며, 기업뿐 아니라 구직자 개개인도 고도의 사회공학 기법에 노출되고 있다고 경고했다. 특히 IT, 금융 업계에 종사하는 이들은 실제 기업을 사칭한 인터뷰 요청이나 파일 다운로드 요청에 각별한 주의가 필요하다고 강조했다.

업계 전문가인 구글 GTIG의 제이미 콜리어(Jamie Collier)는 "유럽 내 위협 인식이 여전히 낮다"며, "북한의 사이버 활동은 단순 해킹을 넘어 일자리 침투, 데이터 절취, 협박 등으로 다각화되고 있으며, 미국의 압박 회피를 위해 유럽으로 활동 무대를 옮기고 있다"고 경고했다.

전문가들은 ▲공식 이메일·웹사이트 외의 채널을 통한 구직 제안은 경계할 것 ▲의심스러운 파일은 실행 전에 백신이나 샌드박스를 통해 검증할 것 ▲BYOD 환경에 대해서도 엔드포인트 보안 솔루션 도입을 검토할 것을 권고했다.

[K-CTI 2025] 국내 최대 사이버위협·침해사고대응 인텔리전스 컨퍼런스 개최(7시간 교육이수)

-주최: 데일리시큐

-일시 2025년 4월 15일(화) / 오전 9시~오후 5시

-장소: 한국과학기술회관 국제회의실 및 로비

-인원: 정보보호 실무자 700여 명(현업 보안책임자/실무자만 참석 가능)

-참가비: 현업 보안실무자는 무료

-교육이수: 공무원 및 일반기업 보안교육 7시간/CPPG, CISSP 등 교육이수 7시간 인정

-등록마감: 2025년 4월 13일 오후 5시까지

-참석불가: 학생, 프리랜서, 무소속, 정보보호 업무와 상관없는 자는 참석불가

-참관 및 참가기업 문의: 데일리시큐 길민권 기자 / mkgil@dailysecu.com

-사전등록 필수: 클릭