개발자 채용에 위장한 북한 해커를 어떻게 식별할 수 있을까?
글: TechFlow
3월 27일, 블라스트(Blast)에서 악재가 전해졌다. 웹3 게임 플랫폼 머치블스(Munchables)가 1.7만 개 이상의 ETH를 해킹당했으며, 이는 약 6250만 달러에 달하는 금액이다.
체인상 탐정 ZachXBT는 머치블스 해킹 사건이 가짜 개발자로 위장한 북한 해커를 고용했기 때문일 수 있다고 지적했다. 슬로우 미스트(SlowMist) 창립자 코사인(Cosine) 역시 "이미 최소 두 번째로 마주친 DeFi 프로젝트 유형의 사례다. 핵심 개발자가 오랫동안 위장 잠복하여 팀 내 신뢰를 얻은 후, 적절한 시기에 냉혹하게 공격을 감행한다"고 말했다.
당신이 암호화폐 프로젝트 창업자라면 원격으로 개발자 구직자를 면접할 때 북한 해커를 만날 수도 있다는 사실이 결코 낯설지 않다.
모나드(Monad) 창립자 Keone도 2022년 X(구 트위터)를 통해 그들이 Solidity 개발자 채용 정보를 많이 게시하고 많은 이력서를 받았지만, 그중 상당수가 북한 사람이라고 의심하며 다음과 같은 공통 특징들을 정리한 바 있다:
-
Github 사용자 이름으로 SuperTalentedDev726 또는 CryptoKnight415와 같은 형식을 선호하는 경향이 있음;
-
이메일 주소와 Github 사용자명에 숫자를 넣는 것을 좋아함. 이는 신원 추적 방지를 위한 방법일 수 있음;
-
일본 국적으로 위장하는 경우가 많음(한국인은 너무 눈에 띄기 때문). 종종 일본, 홍콩, 싱가포르의 명문 대학(싱가포르 국립대, 난양공과대, 홍콩대, 홍콩과학기술대 등) 출신이라고 주장함;
-
Github 저장소를 자주(항상은 아님) 복제하여 기존 프로젝트를 가져와 커밋 메시지를 자신의 이름으로 재작성함;
-
여러 개의 서로 다른 이메일 주소를 사용해 동일한 직무에 반복해서 지원하는 경향이 있음;
-
Solidity/EVM 경험 시작 시점이 너무 이르게 설정됨(예: 2015년).
최근 동향에 따르면, Munchables 공격 배후의 북한 해커로 지목된 Github 사용자는 Werewolves0493이며, 해당 계정의 이메일 주소는 seniordev1225@gmail.com이다. 이는 모나드 창립자 Keone가 제시한 특징들과 전반적으로 부합한다.
2022년에는 프라이버시 프로토콜 aztecnetwork 소속 직원 Jonwu도 면접 과정에서 북한 해커를 만난 적이 있으며, 온라인 면접 당시 상황을 직접 기술했다. 아래는 그의 증언 내용이다:
먼저, 우리는 @Greenhouse를 통해 "Bobby Sierra - Solidity Engineer"라는 지원서를 받았다.
내부 검토 후 나에게 온라인 면접 진행이 배정되었다.
간단히 이력서를 훑어보았다.
이름: Bobby Sierra
지원 직무: Solidity 엔지니어
위치: 온타리오
언어: 영어 및 일부 중국어
경험: F2pool, 일부 DAO 및 NFT 프로젝트 경력 있음.
이 점을 기억해두자. 뒤에서 중요하다.
그 다음 자기소개서를 살펴보니 다음과 같이 시작됐다. "저는 6년 이상의 풍부한 경험을 갖춘 블록체인 개발자입니다."
이후에는 모호하고 일반적인 자화자찬 문구들이 늘어섰는데, 이해는 간다. 누구나 자기소개서 작성을 잘하는 것은 아니니까.
마지막에는 이렇게 써 있었다. "세상은 제 손 안에서 위대한 성과를 보게 될 것입니다."
...
순간 나는 생각했다. '이 새끼 진짜 제임스 본드 영화의 악당 같잖아.'
팔뚝이 레이저 포대이고, 눈알은 플루토늄 같은 걸로 만들어진 녀석을 상상했다.
"세상은 제 손 안에서 위대한 성과를 보게 될 것입니다"???
정상적인 사람이 누가 그런 식으로 말해?
이건 불편했고, 바로 그의 Github를 확인했다. 지난 12개월 동안 커밋 횟수는 단 12회? 이게 무슨 "풍부한 경험"이란 말인가?
게다가 참여한 프로젝트들도 이상하게 랜덤했다:
BoredBunnies
PantherSwap
MetaverseDAO
算了, 我对自己说,Crypto 是一个奇怪而有趣的空间,里面到处都是奇怪而有趣的人!看,也许Bobby 只是个古怪的家伙。
그리고 면접을 시작했다!
안녕하세요, Aztec의 jon입니다. Bobby 맞으세요?
"Yes. This is...Bobby Sierra."
내가 관찰한 점들:
카메라가 꺼져 있었음;
뒤에서 5명 이상이 큰 소리로 대화 중;
뚜렷한 한국식 발음;
왜 소리가 그리 큰지 물어봤다.
"아, 제가 오피스에 있어요."
WTF, 그런데 왜 또 5명이 넘는 사람들이 한국어와 영어를 섞어가며 떠드는 거야?
어떻게 내가 그가 한국인인지 알았냐고 묻겠지?
흐흐, 내 친한 친구 중 한국인이 많아서 한국식 억양에 익숙한데, 이건 평범한 한인 미국인이거나 캐나다인, 혹은 다른 한인들의 억양이 아니다.
“Bobby”는 물론 영어를 하지만, 평범한 영어가 아니다. 딱딱하고 형식적이며 거의 알아듣기 어려울 정도였다.
그래서 말했다. “Bobby, 자기 소개 좀 해줘.”
“저는 블록체인 개발과 토큰 발행에 많이 참여했고, 성공한 프로젝트도 많고, 매우 성공적이었으며, 블록체인 경험도 풍부하고, 모두 아주 좋은 결과를 냈습니다. Okay?”
잠깐 분석해보자:
1) 첫 부분부터 완전히 말이 안 되는 소리. 이것 하나만으로도 면접을 취소하고 싶었다.
2) “Okay”
“Okay”라는 표현이 이 자가 한국인이라는 확신을 갖게 했다. 어떻게 알았냐고?
내 친구 어머니도 뜨거운 갈비탕을 줄 때마다 이런 식으로 말하거든.
“이거 맛있어요, 식기 전에 드세요, Okay?”
이제 경고등이 켜졌다. 최근 북한 해커들의 공격이 빈번하다는 사실을 알고 있었다.
더 깊이 파보기로 결정했다.
Where are you based, Bobby?
Bobby: “Based?”
지금 어디 있냐는 뜻이야.
“아, 홍콩.”
“홍콩? 마지막으로 어디서 일했어?”
“아, Ateke.”
그게 뭐야?
“독일 회사, 아니면 프랑스 회사. 잘 몰라요.”
이력서에 F2pool에서 일했다고 했는데, F2pool에 대해 설명해줄래?
“음음음, 잠깐만요?”
그리고 나에게 5분 동안 마이크를 끄라고 했다.
Bobby가 돌아왔을 때, 마치 다른 사람이 된 것 같았다.
“안녕하세요, 계신가요?”
응, Bobby, 여기 있어.
“저는 경험이 풍부한 블록체인 개발자로서 새로운 일자리를 원합니다. 저는 매우 유능하며 귀사에 가치를 제공할 수 있고, 현재 엔지니어 직무를 원합니다. Okay?”
어쨌든 나는 전화를 끊었다.
라자루스 그룹(Lazarus Group) 같은 북한 해커들이 주요 프로토콜과 개인들을 공격하고 있다는 것을 알고 있다.
론인(Ronin)에서 6억 달러를 도난당했고, Arthur0x, Mgnr 및 수많은 유명 계정들이 공격받았다.
공격 매개체가 무엇인지 나는 모른다.
-
피해를 입힌 .docx 이력서 파일을 다운로드하게 만들었을까?
-
화면 공유를 요청해 메타마스크(Metamask)로 이동하게 했을까?
-
코드베이스 접근 권한을 얻어 악성 수정사항을 푸시했을까?
이건 인터넷이 추측하게 맡기겠다.
사실 나는 이 사람들이 정말 북한 해커인지 알 수 없다. Bobby가 단지 무능한 사람일 수도 있지만, 내 몸의 모든 세포가 그렇지 않다고 말한다.
두려움과 오락 외에도, 이 이상한 상호작용을 통해 나는 많은 것을 배웠다.
1) 우리 전체 세계는 신뢰 위에 세워져 있다. 누군가 이력서와 Github를 보여주면, 우리는 그것을 믿는다.
-
스마트 계약의 위험보다 더 큰 건, 채용, 행사, 여행 등 어떤 것도 공격의 매개체가 될 수 있다는 점이다.
-
첨부파일을 함부로 다운로드하지 말고, 지갑은 별도의 기기에서 관리하는 등 보안 조치를 취하라.
나중에 "Bobby"는 자신의 Github를 업데이트했는데, 이제는 전혀 새로운 계정을 가리키며 더 많은 코드 커밋 기록이 생겼다.
이 사람들이 학습하고, 적응하며, 점점 더 교묘해지고 있다고 확신한다.
다행히도, 그들이 얼마나 비현실적이고 무능한지는 결코 해결할 수 없을 것이다.
우리는 단지 현명하게만 행동하면 된다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
深潮TechFlow
