Lazarus의 ClickFake Interview 캠페인이 LinkedIn을 통해 15억 달러 Bybit 탈취로 이어진 경로를 분석합니다. 이메일 보안의 사각지대인 소셜미디어 피싱의 구조와 엔드포인트 탐지 전략을 확인하세요.
MITRE ATT&CK: T1566.003 (Spearphishing via Service) | 전술: Initial Access | 플랫폼: Google Workspace, Linux, macOS, Office 365, SaaS, Windows
2024년 말, 암호화폐 업계 종사자들에게 LinkedIn과 X(구 트위터)를 통해 채용 제안 메시지가 도착했다. 발신자는 유명 기업의 HR 담당자를 자칭했고, 프로필에는 경력과 추천인까지 갖춰져 있었다.
면접을 위해 안내된 ReactJS 기반 웹사이트는 실제 채용 플랫폼과 구별이 어려웠다. 카메라 테스트를 위해 드라이버를 다운로드하는 순간, GolangGhost 백도어가 설치됐다. Windows와 macOS 모두 감염 대상이었다.
공격자는 Lazarus 그룹의 Contagious Interview 캠페인이다. Sekoia의 분석에 따르면 이 캠페인은 ClickFix라는 사회공학 기법을 활용해 표적을 유인했다. 이 캠페인은 2025년 3월 15억 달러 규모의 Bybit 암호화폐 탈취로 이어진 것으로 알려졌다.
기업 보안 모니터링 경계
이메일 기반 스피어피싱(T1566.001, T1566.002)은 SPF, DKIM, DMARC 검증과 첨부파일 스캔을 거친다. 서드파티 서비스 경유 피싱은 이 방어 체계가 아예 적용되지 않는 채널을 사용한다.
LinkedIn, Facebook, WhatsApp은 업무 소통에 사용되는 정상 플랫폼이다. 이 채널로 온 메시지는 이메일보다 경계심이 낮고, 기업 보안팀의 로그 수집 범위 밖에 있는 경우가 많다.
Lazarus가 비기술 직군을 표적으로 삼은 것도 전략적이다. 개발자는 의심스러운 파일 다운로드에 경계하지만, 마케팅이나 경영 담당자에게 채용 면접용 소프트웨어 설치는 자연스러운 요청이다. SecurityScorecard의 분석에 따르면 Lazarus는 이 캠페인에서 DevOps 엔지니어뿐 아니라 비기술 직군까지 폭넓게 공격했다.
Lazarus가 기업 직원을 LinkedIn으로 유인했다면, Dark Caracal은 Facebook과 WhatsApp으로 개인을 공격했다.
Lookout의 분석에 따르면 Dark Caracal은 소셜 미디어를 통해 군 관계자, 기자, 활동가에게 접근한 후 악성 파일을 전달했다. 21개국 이상의 개인이 표적이었다. 기업 인프라가 아닌 개인 디바이스를 노린 점이 Lazarus와 근본적으로 다르다.
| 비교 항목 | Lazarus (Contagious Interview) | Dark Caracal |
|---|---|---|
| 채널 | LinkedIn, X | Facebook, WhatsApp |
| 표적 | 암호화폐 업계 (기업 직원) | 군/기자/활동가 (개인) |
| 감염 방식 | 가짜 면접 사이트 → 드라이버 설치 | 직접 악성 파일 전달 |
| 사회공학 수준 | ReactJS 사이트 + 카메라 테스트 시나리오 | 단순 파일 전달 |
| 피해 규모 | 15억 달러 (Bybit) | 21개국 개인 |
| 플랫폼 | Windows + macOS | 주로 Android |
두 캠페인의 공통점은 기업 이메일 보안의 사각지대를 노렸다는 것이다. 공격 경로가 이메일이 아니기 때문에, 전통적인 게이트웨이 보안으로는 탐지가 불가능하다.
서드파티 서비스 경유 피싱은 네트워크 경계에서 잡히지 않는다. 탐지 가능한 지점은 엔드포인트뿐이다.
T1566.003 탐지 전략
MITRE의 공식 탐지 전략(DET0115)은 서드파티 서비스 로그인 후 발생하는 비정상 파일 쓰기 작업과 의심스러운 자식 프로세스를 상관 분석한다.
T1566.003에는 SigmaHQ 전용 룰이 없다. 현실적인 탐지 접근은 두 가지다.
첫째, 비인가 앱 설치 모니터링. 브라우저나 메신저에서 다운로드된 실행 파일(.exe, .dmg, .pkg)의 실행을 추적한다. 특히 사용자의 다운로드 폴더에서 직접 실행되는 바이너리는 높은 의심 대상이다.
둘째, OAuth 동의 요청 감사. LinkedIn이나 Google 계정으로 서드파티 앱에 권한을 부여하는 요청을 모니터링한다. 비정상적인 권한 범위(메일 읽기, 파일 접근)가 요청되면 차단한다.
| 기법 | 링크 |
|---|---|
| T1566 Phishing (상위 기법) | Kimsuky의 딥페이크 군무원증부터 Lazarus의 가짜 면접까지 |
| T1566.001 Spearphishing Attachment | Andariel의 Word 첨부파일: 한국 방산을 노린 침투 경로 |
| T1566.002 Spearphishing Link | AppleJeus와 NOBELIUM: 링크 1개로 시작된 암호화폐 탈취 |
AI 활용 안내 이 글은 AI(Claude)의 도움을 받아 작성되었습니다. 인용된 통계와 사례는 참고 자료에 명시된 출처에 근거하며, 설명을 위한 일부 표현은 각색되었습니다.
면책 조항 본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다. 언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라 처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.