북한의 해커가 암호화폐 거래소 크라켄에 취업 지원을 하여 회사의 시스템에 침투하려던 시도가 드러났다. 크라켄은 이번 사건을 통해 채용 과정이 어떻게 정보 수집 작전으로 변모할 수 있는지를 경고하고 있다.
지원자는 엔지니어로 가장하여 면접 중 신원 및 디지털 흔적에 대한 전면 조사가 이뤄지기 시작했고, 이 과정에서 여러 가지 불일치 사항이 발견되었다. 첫 통화에서 지원자는 이력서에 기재된 이름과 다른 이름을 사용한 후 신속하게 이를 수정했으며, 면접 중 목소리가 여러 차례 변하는 등의 이상징후가 드러났다. 이러한 상황을 통해 면접관들은 누군가가 실시간으로 그를 코칭하고 있다는 의혹을 가지게 되었다.
크라켄에 따르면, 지원자가 제출한 이메일은 암호화폐 업계 내부 관계자들에 의해 이미 차단된 것으로 확인되었고, 북한의 해커들로부터의 채용 시도가 지속적으로 이루어지고 있음을 알리기 위한 경고였다. 이 정보를 토대로 크라켄의 내부 보안팀, 즉 레드팀이 지원자의 이메일 주소에 연관된 데이터 및 침해 기록을 분석하는 심층 조사를 실시하였다.
조사 결과, 지원자는 여러 개의 가짜 신원을 만들어냈으며, 그 중 일부는 이미 다른 기업에 채용된 이력이 있었다. 그들은 이를 통해 일하는 이메일도 보유하고 있었다. 특히, 이 가짜 신원 중 한 명은 국제 제재 목록에 올라 있는 외국 요원으로 알려져 있었다. 제출된 이력서는 손상된 이메일 계정과 연결되어 있었고, 제공된 신분증도 잘못 변조된 것으로 의심되었다. 지원자는 원격으로 위치한 Mac 데스크톱을 사용했으며, 모든 트래픽을 VPN으로 우회하여 자신의 실제 위치를 숨기려는 의도가 명백했다.
크라켄은 이 신분증이 2년 전 신원 도용 사건과 관련이 있다고 확인하며, 해당 지원자를 단순한 사기꾼이 아닌 국가 차원의 침투 작전의 일환으로 간주하게 되었다. 이로써 회사는 지원자와의 커뮤니케이션을 중단하기보다는 오히려 해당 프로세스를 지속하기로 결정했다.
지원자는 여러 면접 단계를 거치게 되었고, 정보 보안 기술 평가 및 신원 확인과정을 포함했다. 최종 면접에서는 크라켄의 최고 보안 책임자 닉 퍼코코가 지원자를 만나 ‘화학 면접’이라는 이름으로 진행되었다. 면접 중 닉과 그의 팀은 지원자에게 위치 확인, 정부 발급 신분증 제시, 주장하는 거주 도시 내 레스토랑 이름 등을 묻는 등의 검증 프롬프트를 삽입하였고, 지원자는 이에 대해 제대로 대답하지 못했다.
면접이 진행되는 동안 지원자는 주저하며 불분명한 답변을 내놓았고, 자신이 주장한 고향에 대한 기본적인 질문도 제대로 이행하지 못함으로써 결국 그가 사용하고 있는 신원과 관련된 지식이 전혀 없다는 사실이 드러났다. 면접 종료 후, 크라켄은 이번 지원자가 진정한 지원자가 아니라 외국의 주도하에 조작된 신원으로 암호화폐 회사에 내부 접근을 시도하려 한 임시 대원이라는 결론을 내렸다.
닉은 공적인 성명에서 “신뢰하지 말고 검증하라. 이는 디지털 시대에 더욱 중요해진 암호화의 핵심 원칙이다. 국가 주도의 공격은 단순히 암호화폐나 미국 기업의 문제가 아니라, 전 세계적인 위협이다”라고 밝혔다. 크라켄은 이번 사건의 전체 세부 사항을 공개하여 다른 암호화폐 기업들이 전통적인 채용 프로세스가 외국 정부에 의해 침투 도구로 사용될 수 있다는 경각심을 가져야 함을 알리려고 한다.
이러한 보안 사건을 통해 크라켄은 2024년 북한 연계 해커들이 암호화폐 기업들로부터 6억 5천만 달러 이상을 훔친 사실을 강조하며, 채용 지원과 같은 기법이 새로운 추세로
