사이버 보안 회사, 북한 해커를 잘못 고용하고 해킹 공격에 직면하다

KnowBe4, 미국에 본사를 둔 보안 인식 교육 회사는 최근 직원의 새로 제공된 컴퓨터가 악성코드에 감염된 후 북한의 가짜 IT 직원을 수석 소프트웨어 엔지니어 역할로 잘못 고용했음을 발견했습니다.

화요일에 발표된 내부 위협에 대한 사건 보고서 요약에서 KnowBe4의 CEO이자 사장인 Stu Sjouwerman은 소프트웨어 엔지니어로 가장한 북한 해커가 AI 부서를 위한 표준 채용 과정을 통해 고용되었으며, 이 과정에는 여러 차례의 인터뷰, 배경 조사 및 참고 확인이 포함되었다고 전했습니다.

“우리 인사팀은 별도의 경우에 네 번의 화상 회의 기반 인터뷰를 진행하여 해당 개인이 신청서에 제공된 사진과 일치함을 확인했습니다. 또한 배경 조사와 모든 다른 표준 사전 고용 조사가 수행되었고, 도용된 신원을 사용했기 때문에 모두 클리어로 돌아왔습니다. 이는 유효하지만 도용된 미국 기반 신원을 사용하는 실제 인물이었습니다. 사진은 AI로 ‘향상’되었습니다.”라고 Sjouwerman은 사건 보고서 요약에서 밝혔습니다.

모든 것이 승인된 후, 가짜 IT 직원이 고용되었고 그가 작업을 시작할 수 있도록 Mac 워크스테이션이 제공되었습니다.

기계를 받은 후, 2024년 7월 15일 오후 9시 55분 EST부터 새로운 직원의 기계에서 일련의 의심스러운 활동이 감지되어 KnowBe4의 정보 보안 보안 운영 센터(SOC) 팀에 경고가 발령되었습니다.

KnowBe4의 SOC 팀이 사용자에게 비정상적인 활동과 가능한 원인에 대해 문의했을 때, ‘XXXX’로 식별된 직원은 SOC에 라우터의 속도 문제를 해결하기 위한 단계를 따르고 있으며, 그것이 타협을 초래했을 수 있다고 응답했습니다.

SOC 팀이 그에게 추가 정보를 얻기 위해 연락을 시도했지만 그는 통화에 응답하지 않았고 나중에 반응이 없었습니다. 오후 10시 20분 EST경, Sjouwerman은 회사가 감염된 Mac 워크스테이션을 격리했다고 말했습니다.

KnowBe4의 SOC 팀에 의한 내부 조사 결과, 약 25분 동안 위협 행위자가 세션 기록 파일을 조작하고, 잠재적으로 해로운 파일을 전송하며, Raspberry Pi를 사용하여 악성코드를 로드하는 등 다양한 작업을 수행한 것으로 나타났습니다.

기계를 압수한 후, 회사는 데이터와 발견 사항을 글로벌 사이버 보안 전문가인 Mandiant 및 FBI와 공유했으며, 가짜 IT 직원이 실제로 북한 해커라는 사실을 알게 되었습니다.

“이것이 작동하는 방식은 가짜 직원이 자신의 워크스테이션을 기본적으로 ‘IT 밀 농장’ 주소로 보내달라고 요청하는 것입니다. 그런 다음 그들은 실제로 있는 곳(북한 또는 중국 국경 너머)에서 VPN을 통해 접속하고, 미국의 주간에 일하는 것처럼 보이기 위해 야간 근무를 합니다.”라고 Sjouwerman은 덧붙였습니다.

“사기의 핵심은 그들이 실제로 일을 하고 있으며, 잘 보수를 받고 있고, 북한에 불법 프로그램을 자금 지원하기 위해 많은 금액을 송금하고 있다는 것입니다. 이로 인한 심각한 위험에 대해 말씀드릴 필요는 없습니다.”

이러한 상황에도 불구하고 Sjouwerman은 불법적인 접근이 이루어지지 않았으며, KnowBe4 시스템에서 데이터가 손실되거나 타협되거나 유출되지 않았다고 강조했습니다.

“해당 주체는 믿을 수 있는 커버 신원을 생성하고, 채용 및 배경 조사 과정의 약점을 악용하며, 조직의 시스템 내에서 발판을 마련하려는 높은 수준의 정교함을 보여주었습니다.”라고 Sjouwerman은 사건 요약에서 말했습니다.

“이는 잘 조직된 국가 지원 대규모 범죄 집단으로, 광범위한 자원을 보유하고 있습니다. 이 사건은 보다 강력한 심사 프로세스, 지속적인 보안 모니터링, HR, IT 및 보안 팀 간의 개선된 협력의 필요성을 강조합니다.” 왼쪽은 원본 스톡 사진입니다. 오른쪽은 HR에 제출된 AI 가짜입니다.

이러한 유형의 사기를 방지하기 위해, Sjouwerman은 조직을 위한 몇 가지 팁을 제공했습니다. 여기에는 내부 원격 장치 스캔, 강력한 심사 프로세스, 경력 불일치에 대한 더 나은 이력서 스캔, 화상 인터뷰 실시, 신규 채용에 대해 이메일 참조만 의존하지 않고 보다 철저한 배경 조사를 수행하는 것이 포함됩니다.