[디지털투데이 AI리포터] 전문가들은 해커들이 구직자로 위장해 기업을 대상으로 백도어 악성코드를 유포하고 있다고 경고했다. 11일(현지시간) IT매체 테크레이더는 사이버 보안 연구원 도메인툴즈(DomainTools)가 범죄 조직 'FIN6'의 새로운 공격 방식을 포착했다고 전했다.

해커들은 먼저 가짜 링크드인 프로필과 이력서 웹사이트를 만들어 신뢰를 쌓는다. 웹사이트 도메인은 고대디(GoDaddy)를 통해 익명으로 구매하고, 아마존웹서비스(AWS)에 호스팅해 탐지를 회피한다. 이후 채용 담당자와 이메일을 통해 접촉한 뒤, 특정 조건에 맞는 방문자에게만 악성코드를 배포하는 정교한 필터링 기법을 사용한다. VPN이나 클라우드 접속자, 맥OS(macOS)·리눅스 사용자에게는 무해한 콘텐츠를 제공하지만, 타깃으로 선정된 사용자에게는 위장된 캡차(CAPTCHA) 페이지를 노출한 후 악성 파일을 다운로드하도록 유도한다.

다운로드된 ZIP 파일에는 이력서로 위장한 윈도 바로가기 파일(LNK)이 포함돼 있으며, 이를 실행하면 '모어 에그스'(More Eggs) 백도어가 설치된다. 이 악성코드는 명령어 실행, 로그인 정보 탈취, 추가 페이로드 설치, 파워셸(PowerShell) 실행 등 다양한 악성 행위를 수행할 수 있다.

AWS는 "이 같은 공격은 서비스 약관 위반이며, 보안 커뮤니티와 협력해 신속히 대응하고 있다"고 밝혔다. 기업들은 채용 프로세스에서도 보안 점검을 강화할 필요가 있다.