[디지털투데이 AI리포터] 북한 해커 조직 '슬로우 피시스'(Slow Pices)가 링크드인을 활용해 암호화폐 개발자를 대상으로 고도화된 해킹 공격을 벌이고 있다고 22일(현지시간) IT매체 테크레이더가 전했다.

해당 조직은 트레이더트레이터(TraderTraitor) 또는 제이드 슬리트(Jade Sleet)라는 이름으로도 알려져 있으며, 링크드인에서 개발자들에게 접근해 가짜 채용 제안과 코딩 챌린지를 미끼로 악성 코드를 심고 있다.

2023년 한 해에만 이들은 10억달러 이상의 암호화폐 탈취에 연루된 바 있다. 두바이 거래소에서 15억달러, 일본 기업에서 3억800만달러를 빼돌린 사건도 이들의 소행으로 추정된다. 

공격 수법은 먼저 PDF 문서로 채용 정보를 보낸 후, 깃허브에 악성 코드를 숨긴 코딩 과제를 업로드해 이를 다운로드하게 유도하는 방식이다. 피해자들은 이를 통상적인 개발 테스트로 착각하고 다운로드하지만, 실제로는 ‘RN 로더’와 ‘RN 스틸러’ 같은 악성 코드가 포함돼 있다.

이 악성 코드는 대부분의 보안 솔루션을 우회하도록 설계돼 있으며 YAML 역직렬화 기법을 활용해 탐지를 피한다. 로더가 실행되면 추가 페이로드를 메모리에 직접 로드하게 돼 있어 제거가 어려우며, RN 스틸러는 특히 macOS 시스템에서 자격 증명, 클라우드 설정 파일, SSH 키 등을 탈취하는 데 최적화돼 있다. 깃허브와 링크드인은 해당 악성 계정과 저장소를 삭제했지만, 보안 전문가들은 원격 근무 제안이나 코딩 테스트를 받을 때 주의할 것을 당부하고 있다.

테크레이더는 "개발자들은 강력한 보안 소프트웨어를 사용하고, 낯선 코드 실행 시 안전한 환경에서 테스트해야 한다"고 강조했다. 특히 암호화폐 산업처럼 민감한 분야에서는 더욱 철저한 보안 조치가 필요하다고 덧붙였다.

북한 해커들의 공격이 점점 더 정교해지고 있다. 링크드인과 깃허브 같은 신뢰 기반 플랫폼을 악용해 개발자들을 노리는 만큼, 보안업계와 개발자들의 경계가 더욱 필요하다.