구직 시도한 북한 해커 식별

• Kraken은 최근 북한 해커가 자사에 취업하려는 시도를 발견했음
• 이 사건은 채용 과정에서 정보 수집 작전으로 전환되었음
• 해커는 여러 가짜 신원을 사용하여 여러 회사에 지원했음
• Kraken은 해커의 접근 방식을 연구하기 위해 채용 과정을 전략적으로 진행했음
• 이 사건은 조직의 보안을 강화하는 데 중요한 교훈을 제공함

Kraken의 북한 해커 식별 사례

• Kraken은 보안과 IT 팀이 다양한 공격을 방어하는 데 성공적인 경험을 가지고 있음
• 최근 북한 해커가 Kraken에 취업하려는 시도를 발견했음
• 이 사건은 채용 과정에서 정보 수집 작전으로 전환되었음
• 북한 해커는 2024년에 암호화폐 회사에서 6억 5천만 달러 이상을 훔친 것으로 추정됨
• Kraken은 이러한 사건을 공개하여 다른 회사들이 방어를 강화할 수 있도록 돕고자 함

후보자의 의심스러운 징후

• 후보자는 이력서와 다른 이름으로 인터뷰에 참여했으며, 목소리를 바꾸는 등 의심스러운 행동을 보였음
• 북한 해커들이 암호화폐 회사에 적극적으로 지원하고 있다는 정보를 받았음
• 후보자의 이메일 주소가 해커 그룹과 연결되어 있었음
• OSINT 방법을 사용하여 후보자의 이메일이 가짜 신원 네트워크의 일부임을 발견했음

후보자의 기술적 불일치

• 후보자는 원격으로 연결된 Mac 데스크톱을 사용하고 VPN을 통해 다른 구성 요소와 상호작용했음
• 이력서에 연결된 GitHub 프로필의 이메일 주소가 과거 데이터 유출에 노출된 적이 있었음
• 신분증이 변조된 것으로 보였으며, 2년 전 신원 도용 사건에서 도난당한 세부 정보를 사용한 것으로 추정됨

Kraken 팀의 대응 전략

• Kraken은 후보자를 고용하지 않고 그들의 접근 방식을 연구하기 위해 채용 과정을 전략적으로 진행했음
• 여러 차례의 기술 정보 보안 테스트와 검증 작업을 통해 후보자의 신원과 전술에 대한 주요 세부 정보를 추출했음
• 최종 면접에서는 Kraken의 CSO와의 인터뷰를 통해 후보자의 신원을 테스트했음
• 후보자는 기본적인 검증 테스트에서 실패하고, 거주지나 시민권에 대한 실시간 질문에 답변하지 못했음

주요 교훈

• 모든 공격자가 침입하는 것은 아니며, 일부는 정문을 통해 들어오려 함
• 생성 AI는 속임수를 쉽게 만들지만, 진정한 후보자는 실시간 검증 테스트를 통과할 수 있음
• 생산적인 편집증 문화가 중요하며, 보안은 IT의 책임이 아니라 조직의 사고방식임
• 의심스러운 지원서를 받을 때 기회로 위장된 가장 큰 위협이 될 수 있음을 기억해야 함