꿈의 채용 제안에 숨어 있던 백도어 — 개발자를 노리는 가짜 면접 공격

좋은 채용 제안이 사실은 함정이었어요

개발자로 일하다 보면 링크드인이나 이메일로 “저희 회사에서 일해보실래요?” 하는 채용 제안을 종종 받잖아요. 좋은 연봉에 재택근무, 면접도 까다롭지 않고 “간단한 코딩 과제 하나만 풀어주세요”라고 하면 솔깃하기 마련이죠. 그런데 바로 그 친절함이 함정일 때가 있어요. 한 개발자가 자기가 직접 겪은 일을 꼼꼼히 기록으로 남겼는데, 채용 과제로 받은 코드 안에 백도어가 숨어 있었던 거예요.

백도어가 뭐냐면, 공격자가 내 컴퓨터에 몰래 드나들 수 있게 뚫어놓은 “뒷문”이에요. 현관문(로그인이나 인증)은 멀쩡해 보이는데, 건물 뒤편에 아무도 모르는 작은 문이 하나 더 있어서 그리로 도둑이 들락날락하는 셈이죠. 무서운 건, 이 뒷문이 다름 아닌 내가 직접 실행한 코드에 의해 열린다는 점이에요.

공격은 이렇게 흘러갔어요

수법은 생각보다 정교해요. 먼저 그럴듯한 회사의 채용 담당자를 사칭해서 접근하고, “실력을 보고 싶으니 이 프로젝트를 받아서 로컬에서 한번 실행해보고 버그를 고쳐달라”는 식으로 깃 저장소(코드 묶음)를 건네줘요. 받아보면 평범한 웹 프로젝트처럼 생겼거든요. React 앱이라든가, Node.js 서버라든가요.

문제는 그다음이에요. 우리가 보통 프로젝트를 받으면 별생각 없이 npm install(필요한 라이브러리 내려받기)이나 실행 명령을 치잖아요. 바로 그 순간 함정이 작동해요. 수십 개 파일 중 눈에 잘 안 띄는 설정 파일이나, 길게 한 줄로 뭉쳐서(난독화해서) 사람 눈으로는 읽기 힘들게 만든 코드 한 줄에 악성 명령이 박혀 있어요. 이 코드는 외부 서버에 몰래 접속해 2차 악성코드를 추가로 내려받고, 그걸 실행해서 내 컴퓨터의 브라우저 저장 정보, 암호화폐 지갑, SSH 키, 환경변수에 들어 있는 API 키 같은 걸 쪽 빨아가요.

핵심은 “취약점을 뚫는” 게 아니라 “내가 스스로 실행하게 만드는” 거예요. 방화벽도, 백신도 내가 직접 친 명령은 정상 행동으로 보거든요. 그래서 더 안 걸려요.

우연이 아니라 조직적인 캠페인이에요

이런 수법을 보안 업계에서는 흔히 “가짜 면접(Contagious Interview)” 캠페인이라고 불러요. 채용을 미끼로 개발자를 노리는 거죠. 특히 암호화폐나 블록체인 쪽 개발자가 단골 표적이에요. 지갑 키 하나만 털어도 큰돈이 되니까요. npm이나 PyPI 같은 패키지 저장소에 악성 라이브러리를 몰래 올려두는 공급망 공격과도 결이 비슷한데, 이번 건은 “사람의 호의와 절박함”을 파고드는 사회공학(social engineering)이 핵심이라는 점이 달라요. 구직 중이면 마음이 급하니까 의심이 무뎌지거든요.

한국 개발자도 예외가 아니에요

이런 공격은 영어권만의 이야기가 아니에요. 한국 개발자에게도 똑같이 들어오고, 오히려 외국계 채용이라 들뜬 마음에 더 쉽게 당할 수 있어요. 그래서 습관을 미리 바꿔둘 필요가 있어요.

첫째, 출처가 불분명한 코드는 절대 내 메인 컴퓨터에서 바로 실행하지 마세요. 도커 컨테이너나 일회용 가상머신(VM) 안에서, 인터넷 접근도 막아둔 채로 돌려보는 게 안전해요. 둘째, 실행하기 전에 package.json의 postinstall 스크립트나 설정 파일, 유난히 길게 뭉쳐진 코드 줄을 먼저 눈으로 훑어보세요. 셋째, “이거 실행해보고 뭐가 문제인지 알려달라”는 요청 자체를 의심하세요. 정상적인 회사는 보통 후보자 컴퓨터에서 임의 코드를 돌리게 시키지 않아요. 넷째, 중요한 키나 지갑은 평소 개발 환경과 분리해서 보관하세요.

마무리

결국 이번 사건의 교훈은 “내 손으로 실행하는 코드가 가장 위험할 수 있다”는 거예요. 멋진 제안일수록 한 박자 쉬어가며 코드를 열어보는 습관, 그게 백신보다 강력한 방어막이거든요. 여러분은 출처가 불분명한 코드를 받았을 때 어떻게 검증하시나요? 혹시 비슷한 수상한 채용 제안을 받아본 경험이 있다면 댓글로 공유해주세요.