사실상 ‘해커’…북한 IT 위장취업자들, 유럽 등 전세계 확산

[애플경제 엄정원 기자] IT 엔지니어를 가장한 북한 출신 취업자들이 미국을 넘어 유럽으로 진출하고 있는 것으로 전해졌다. 구글은 2일 “지난 몇 년 동안 조선민주주의인민공화국(DPRK) 출신 개인이 원격 IT 직원으로 가장하고 미국 회사에 지원했다.”면서 “이들 지원자들에 의하면 이탈리아, 일본, 말레이시아, 싱가포르, 우크라이나, 미국, 베트남 등 전 세계 어디에나 (북한 출신 위장 취업자들이) 있다고 주장하고 있다”고 밝혔다.

이에 따르면 이들 근로자들은 흔히 가짜 리쿠르팅 회사를 통해 취업문을 두드리고 있다. 그러나 실제로는 서방 세계 IT업계 위장 취업은 북한 정부를 위해 돈을 세탁하는 방법의 하나다. 이들 위장 취업자들은 서방 기업의 고유한 데이터를 훔치고, 해당 기업 시스템에 맬웨어를 설치하고 몸값을 요구하는 것으로 밝혀졌다.

북한 위장 취업자들, 유럽 등 전세계로 확산

사실상의 사이버 범죄 그룹이기도 한 이들은 최근엔 그 범위와 전술을 확대하고, 해킹을 더욱 확산시키며, 기업 가상화 인프라를 겨냥한 해킹을 적극 펼치고 있다. 대상 지역도 유럽 등으로 널리 확대하고 있다.

구글은 “다양한 국가에서 활동하는 북한 IT 근로자는 이제 전 세계적 위협으로 자리 잡았다.”면서 “미국은 여전히 ​​주요 타깃이지만, 지난 몇 달 동안 북한 IT 근로자는 유럽 등에서 어렵사리 위장 취업을 하며 스파이 노릇을 하느라 안간힘을 쏟고 있다.”고 전했다.

특히 구글 사이버보안 관계자는 블로그 게시물에서 “이런 (북한 위장 취업자들의) 움직임은 해킹 그룹에 대한 미국 법무부의 공개와 기소, 위장 취업자에 대한 조사와 검증 등이 강화된데 따른 것으로 보인다”면서 “이런 이유로 (미국을 벗어나) 북한 IT 근로자들이 전 세계적으로 확산되고 있는 가운데, 특히 유럽이 그 타깃이 되고 있다”고 밝혔다.

유럽·미국서 12개의 가짜 신원으로 활개

예를 들어 작년 말에는 한 북한 출신 IT 근로자가 유럽과 미국에서 최소 12개의 가짜 신원을 갖고, 유럽 내 여러 조직, 특히 국방 및 정부 부문에서 일자리를 찾고 있었다. 유럽의 이런 북한 출신 IT 위장 취업자들은 ‘업워크(Upwork)’, 텔레그램, 프리랜서(Freelancer)를 포함한 다양한 온라인 플랫폼을 통해 모집되었다. 이들에 대한 급여는 주로 암호화폐, ‘ TransferWise’ 서비스, ‘페이오니어’(Payoneer) 등을 통해 관리되었다.

대표적으로 영국에서 이런 사례가 다수 포착되었다. 북한 IT 근로자들은 웹 개발, 봇 개발, 콘텐츠 관리 시스템(CMS) 개발, 블록체인 기술을 포함한 프로젝트에 참여하면서 광범위한 기술적 전문성을 보여주었다.

“이들 가짜 근로자들은 또 날로 전술을 발전시키고 있다”는 구글의 경고다. GTIG 데이터에 따르면, 작년 10월 말부터 이들은 더 많은 강탈 시도를 감행하고, 대규모 조직을 표적으로 삼았다.

그런 과정에서 최근 해고된 IT 근로자들은 “데이터와 내부 프로젝트의 소스 코드를 포함한 이전 고용주의 민감한 정보를 경쟁사에 공개하겠다”고 위협하곤 했다. “이런 사이버 침해가 늘어난 것은 북한 IT 근로자에 ​​대한 미국의 단속과 감시, 처벌 등이 강화된 것과 궤를 같이한다”는 설명이다.

또한 “이들 위장 취업자들은 날로 (북한 당국으로부터) 많은 몸값을 뜯어내도록 압박을 받고 있어, 갈수록 더욱 공격적이며 무차별적인 침해 행위를 하고 있다”는 것이다.

채용과정, 심사와 면접 등 엄격한 선별 중요

구글은 특히 “가짜 근로자들이 표적으로 삼고 있는 ‘BYOD(Bring Your Own Device)’ 정책에 주의하라”고 기업들에게 경고했다. 이는 개인 소유 단말기나 디바이스로 회사 업무를 보는 것으로 필요한 보안장치나 로깅 도구가 부족할 수 있기 때문이다. 특히 미 FBI는 기업들에게 이를 금지하도록 강력히 권하고 있다.

이처럼 북한 위장 취업자들이 유럽 등으로 확산되는 가운데 “기업들은 보안을 엄격하게 유지해야 하며, 최소한의 권한 원칙에 따라 비정상적인 네트워크 트래픽을 모니터링하고 조사해야 한다”고 강조한다.

특히 미 FBI에 따르면 원격 근로자의 면접이나, 온보딩 등 채용 과정 전반에 걸쳐 엄격한 신원 확인 프로세스를 사용해야 한다는 경고다. 한 사람이 동일한 이력서 내용이나, 연락처 정보를 갖고 여러 기업을 지망하는 경우, 영상 면접에서 AI 및 얼굴 바꾸기 기술을 사용하는지 등을 주의 깊게 살펴야 한다. 특히 “강탈 전술, 가상화된 인프라 사용은 모두 북한 IT 근로자들이 최근 사용하는 전략”이라고 지목했다.