북한 연계 해킹 조직이 허위 구직 인터뷰를 미끼로 전 세계 기업과 구직자를 노리고 3,136개의 IP 주소를 표적 삼은 사이버 공작이 진행된 것으로 나타났다.
사이버 보안 매체 더 해커 뉴스(The Hacker News)에 따르면, 미국 보안업체 리코디드 퓨처(Recorded Future)의 인식트 그룹(Insikt Group)은 북한 위협 행위자 클러스터를 ‘퍼플브라보(PurpleBravo)’로 명명하고 이들이 수행한 ‘컨테이저스 인터뷰(Contagious Interview)’ 활동과 관련해 최대 3,136개의 개별 IP 주소를 식별했다고 밝혔다. 이 캠페인은 인공지능(AI), 암호화폐, 금융 서비스, IT 서비스, 마케팅, 소프트웨어 개발 등 분야의 잠재적 피해 조직 20곳을 노렸으며, 유럽, 남아시아, 중동, 중앙아메리카 지역이 포함됐다.
리코디드 퓨처에 따르면 퍼플브라보 활동은 2023년 말 처음 문서화됐으며, CL-STA-0240, 디셉티브디벨롭먼트(DeceptiveDevelopment), DEV#POPPER, 페이머스 첼리마(Famous Chollima), 귀신 갱(Gwisin Gang), 테이셔스 풍산(Tenacious Pungsan), UNC5342, 보이드 도깨비(Void Dokkaebi), 워터플럼(WaterPlum) 등 여러 이름으로도 알려져 있다. 이번에 확인된 3,136개의 개별 IP 주소는 주로 남아시아와 북미에 집중돼 있으며, 2024년 8월부터 2025년 9월 사이 공격자들의 표적이 된 것으로 평가됐다.
또한 잠재적 피해 기업 20곳은 벨기에, 불가리아, 코스타리카, 인도, 이탈리아, 네덜란드, 파키스탄, 루마니아, 아랍에미리트(U.A.E.), 베트남 등에 위치해 있는 것으로 전해졌다. 인식트 그룹은 새 보고서에서 “여러 사례에서 구직자들이 기업용 기기에서 악성 코드를 실행한 것으로 보이며, 이로 인해 개인을 넘어 조직 전체가 노출됐다”고 밝혔다.
이번 내용은 앞서 잼프 스렛 랩스(Jamf Threat Labs)가 컨테이저스 인터뷰 캠페인의 중요한 변형을 공개한 다음 날 나왔다. 잼프 스렛 랩스는 공격자들이 마이크로소프트 비주얼 스튜디오 코드(Microsoft Visual Studio Code, VS 코드) 프로젝트를 악용해 백도어를 유포하는 공격 벡터로 사용하고 있다며, 신뢰받는 개발자 워크플로를 악용해 사이버 스파이 행위와 재정적 탈취라는 두 가지 목표를 동시에 추구하고 있다고 설명했다.
마스터카드(Mastercard) 산하 회사인 잼프 스렛 랩스는 퍼플브라보와 연계됐을 가능성이 있는 4개의 링크드인(LinkedIn) 계정을 탐지했다고 밝혔다. 이들 계정은 개발자와 채용 담당자를 사칭하고 우크라이나 오데사(Odesa) 출신이라고 주장했으며, 비버테일(BeaverTail)과 같은 알려진 악성코드를 배포하기 위해 설계된 여러 악성 깃허브(GitHub) 저장소와 연계돼 있었다.
퍼플브라보는 자바스크립트 기반 정보탈취 및 로더 악성코드인 비버테일과, 해크브라우저데이터(HackBrowserData) 오픈소스 도구를 기반으로 한 고 언어(Go) 기반 백도어 골랭고스트(GolangGhost, 플렉서블페렛(FlexibleFerret) 또는 위즐스토어(WeaselStore)로도 알려져 있음)의 명령제어(C2) 서버 두 개 세트를 운용하는 것으로 관찰됐다. 이들 C2 서버는 17개 다른 서비스 제공업체를 통해 호스팅되고 있으며, 중국 내 IP 대역에서 아스트릴 VPN(Astrill VPN)을 통해 관리되고 있는 것으로 파악됐다.
더 해커 뉴스는 북한 위협 행위자들이 사이버 공격에서 아스트릴 VPN을 사용하는 사례가 여러 해 동안 꾸준히 문서화돼 왔다고 전했다. 또한 컨테이저스 인터뷰는 ‘웨이지몰(Wagemole)’ 또는 ‘퍼플델타(PurpleDelta)’로 불리는 또 다른 별도 캠페인을 보완하는 성격을 가진다고 보도했다.
웨이지몰 캠페인에서는 북한 IT 인력들이 도용되거나 위조된 신원을 이용해 미국과 전 세계 다른 지역의 조직에 무단으로 취업을 시도하며, 이를 통해 재정적 이득과 스파이 활동을 동시에 노리는 것으로 알려져 있다. 두 위협 클러스터는 별개의 활동으로 분류되지만, 북한 IT 인력 위협이 2017년부터 지속돼왔다는 점에도 불구하고 전술과 인프라 측면에서 상당한 중첩이 관찰되고 있다.
리코디드 퓨처는 이러한 중첩 사례로 퍼플브라보 운영자로 추정되는 인물이 북한 IT 인력과 유사한 활동을 보인 점, 러시아 내 북한 IT 인력과 연계된 IP 주소가 퍼플브라보 C2 서버와 통신한 정황, 퍼플델타 활동과 연관된 아스트릴 VPN 동일 IP 주소에서 관리자 트래픽이 관측된 점 등을 제시했다.
상황을 더욱 악화시키는 요소로, 퍼플브라보가 허위 구인 제안을 보내 접촉한 후보자들이 실제 코딩 테스트를 회사에서 지급한 기기를 통해 수행한 것으로 드러났다. 이로 인해 개인 기기가 아닌 기업 자산이 직접 악성 코드에 노출되면서, 결과적으로 고용주가 함께 침해되는 구조가 형성됐다는 설명이다.
리코디드 퓨처는 IT 소프트웨어 공급망이 북한 IT 인력뿐 아니라 퍼플브라보와 같은 북한 위협 행위자에 의한 침투에도 “동일하게 취약하다”고 지적했다. 회사는 “이들 잠재 피해 조직 상당수는 대규모 고객 기반을 보유하고 있다고 홍보하고 있어, 해당 지역에 업무를 외주 주는 기업에 매우 급박한 공급망 리스크를 초래한다”고 평가했다.
또한 회사는 “북한 IT 인력의 취업 위협은 널리 알려져 왔지만, 퍼플브라보가 야기하는 공급망 리스크 역시 동일한 수준의 주목을 받아야 조직들이 준비·방어하고 민감 데이터가 북한 위협 행위자에게 유출되는 것을 막을 수 있다”고 밝혔다.
헬로티|
