북한 연계 해킹조직, BeaverTail·OtterCookie 기능 통합해 공격 툴 고도화

북한 연계 해킹조직, BeaverTail·OtterCookie 기능 통합해 공격 툴 고도화

작성자: One-Day Growth · 작성일: 2025-10-19

북한 연계로 추정되는 위협조직이 구직자를 노린 '컨테이저스 인터뷰(Contagious Interview)' 캠페인에서 사용한 악성코드 두 종을 통합·확장해 보다 정교한 공격 도구로 발전시킨 정황이 보고되었다. 시스코 탈로스와 여러 보안업체 보고서를 종합하면, 정보 탈취·원격명령·지속성 확보 기능이 결합된 '올인원' 형태의 악성 인프라가 관측되고 있다.

공격 배경과 캠페인 특징

해당 캠페인은 2022년 말부터 구직자 대상의 사회공학 수법으로 알려진 '컨테이저스 인터뷰'의 연장선으로, 해커는 가짜 채용 공고와 테스트 코드를 통해 목표자의 시스템에 악성 패키지 또는 실행 파일을 설치하도록 유도한다. 이번에 보고된 활동은 'CL-STA-0240', 'Famous Chollima' 등 여러 명칭으로 추적되는 북한 연계 위협그룹의 소행으로 분석되며, 오픈소스 생태계와 채용 프로세스를 악용하는 점이 특징이다.

기술적 진화: BeaverTail·OtterCookie의 융합

기존 BeaverTail은 정보 수집과 추가 페이로드 다운로드에 강점을 보였고, OtterCookie는 원격 명령 실행(RCE) 등 원격 제어에 특화되어 있었다. 최근에 탐지된 변종은 이들 기능을 결합해 구분이 어려운 통합형 악성 도구로 진화했다.

특히 'OtterCookie v5' 계열에서는 키로깅과 화면 캡처 모듈이 추가되어 사용자의 키 입력과 스크린 정보를 수집한다. 알려진 방식으로는 공개 npm 패키지(예: node-global-key-listener, screenshot-desktop 등)의 정당한 기능을 악용해 로컬에서 키 입력과 화면을 캡처한 뒤, 이를 명령제어(C2) 인프라로 전송하는 사례가 보고되었다. 일부 변종은 클립보드 모니터링까지 수행해 가상자산 지갑 주소나 인증정보 탈취에 이용되었다.

공급망·의존성 남용: npm 악성 패키지와 ClickFix 전략

초기 감염 루트로는 악성 Node.js 패키지의 의존성 포함이 빈번하게 관찰되었다. 공격자는 정상으로 보이는 npm 패키지를 등록하거나 타깃이 사용하는 테스트용 패키지에 postinstall 스크립트를 숨겨 악성 자바스크립트를 자동 실행하도록 만들었다. 보고서에 따르면 수백 건 이상의 관련 악성 라이브러리가 확인되었고, 일부는 게시 후 짧은 기간 내 삭제되었다.

또 다른 전파 기법으로는 '클릭픽스(ClickFix)'가 있다. 인터뷰 환경에서 '카메라/마이크 오류 해결' 등 기술 지원 명분으로 사용자가 특정 커맨드를 실행하도록 유도해 악성코드를 내려받게 하는 수법이다. 이와 같은 사회공학과 기술적 트릭의 결합이 감염률을 높인다.

블록체인 기반 C2(에더하이딩) 및 추가 모듈

이번 캠페인은 블록체인 네트워크(예: BNB Smart Chain, Ethereum)를 활용해 페이로드 위치나 명령 정보를 은닉하는 '에더하이딩(EtherHiding)' 기법을 사용했다. 블록체인 상의 트랜잭션·스마트컨트랙트에 데이터를 숨겨 두고, 감염은 해당 체인에서 명령을 읽어오는 방식으로 진행된다. 이로 인해 전통적 방식으로 특정 서버를 차단해도 명령 전달이 유지되는 문제가 발생한다.

또한 AnyDesk 같은 합법적 원격접속 도구 설치, 가짜 실행파일을 통한 지속성 확보, 파이썬 기반 백도어(예: InvisibleFerret) 다운로드 등 다양한 모듈이 결합되어 있다. 최근 보고된 'OtterCandy' 등 새로운 변종은 멀티플랫폼(Windows/macOS/Linux)을 표적으로 삼고, 브라우저 지갑·확장 프로그램 탈취 및 파일·레지스트리 삭제 기능까지 포함하는 등 악성 기능이 확장되고 있다.

영향·사례

보고서에는 실제 사례로, 스리랑카에 본사를 둔 한 기업에서 구직자 대상의 악성 패키지 설치로 인한 초기 감염이 관측되었고, 이로부터 추가 내부 확산과 데이터 유출의 가능성이 확인되었다. 조사 결과 여러 해외 기업과 개발자 환경에서 유사한 악성 패키지 의존성이 발견되었다.

보안적 시사점 및 권고

전문가들은 이번 사례가 다음과 같은 보안적 시사점을 준다고 지적한다.

• 오픈소스/공급망 신뢰 검증 강화: 면접용 테스트 코드나 외부 의존성은 배포 전 무결성·출처 확인 절차를 거쳐야 한다.
• 개발환경의 최소권한·격리: 평가용 환경과 운영 환경을 분리하고, 불필요한 설치를 차단해야 한다.
• 의심스러운 postinstall 스크립트·설치행위 모니터링: 패키지 설치 시 자동 실행 스크립트를 검사하고, CI/CD 파이프라인에서 사전 검증을 수행할 것.
• 엔드포인트·브라우저 지갑 보호: 브라우저 확장 및 지갑 데이터 접근 권한을 엄격히 통제하고, 중요한 키는 하드웨어 지갑 등 오프라인 보관을 권장.
• 블록체인 기반 은닉 통신 대비: 의심스러운 트랜잭션 패턴 탐지 및 외부 데이터 소스로부터의 페이로드 검증 절차 마련.
• 사회공학 교육 강화: 채용·면접 관련 의심스러운 요청(테스트 코드 실행, 외부 패키지 설치 등)에 대해 사전 인식 제고와 승인 절차를 마련할 것.

결론

이번 보고는 사회공학(채용 사기)과 공급망(오픈소스 의존성) 공격, 그리고 블록체인 기반 은닉 통신을 결합한 '복합형 위협'의 심각성을 보여준다. BeaverTail과 OtterCookie의 기능 통합은 단순 확산을 넘어 정보 탈취·원격제어·지속성 확보를 모두 수행할 수 있는 통합형 도구로의 진화를 의미한다. 개발자와 조직은 오픈소스 의존성 검증, 테스트 환경 격리, 패키지 설치 과정의 검증, 그리고 채용·면접 프로세스에 대한 보안 통제를 우선적으로 강화해야 한다.

반응형