사이버보안업체 KnowBe4사, “모르고 원격근무자로 채용”
‘채용 직후, 세션 기록 파일 조작, 맬웨어 다운로드, 악성 SW 로딩’
“북한 해커들, 해외 기업 위장취업 사례 늘어날 것” 예상
[애플경제 이보영 기자] 미국의 유력한 사이버보안 관련업체가 자사도 모르는 새에 북한 해커를 직원으로 채용한 사실이 뒤늦게 알려져 논란을 빚고 있다. 최근 엔가젯, 비즈니스 인사이더 등에 따르면 사이버보안 기업인 KnowBe4는 ‘실수’로 인해 미국 내의 원격 근무자로 가장한 북한 해커를 고용했다고 스스로 밝혔다.
이같은 일이 가능했던 것은 북한 해커가 매우 교묘한 수법과 기술을 동원, 미국 내에서 일하고 있는 원격 소프트웨어 엔지니어로 가장했기 때문이다. 보안과 관련한 교육 프로그램도 취급하는 이 회사는 이번 일로 인해 유력한 보안업체로서의 명성과 신뢰에 금이 간 셈이다.
회사측은 사내 IT부서의 AI 팀을 강화하기 위해 새로운 엔지니어 모집에 나섰다. 그런 과정에서 해당 인물에 대해 4차례의 면접을 실시한 후, 배경 조사도 하고, 추천인을 확인한 후 비로소 채용을 확정했다. “그러나 보이는 것이 모든 것은 아니었다”는 얘기다.
북한 해커는 훔친 신원과 AI에서 생성된 이미지를 사용, 회사측의 꼼꼼한 선별과 심사를 통과할 수 있었다. 그러나 회사측으로부터 맥(Mac) 워크스테이션을 받자마자 즉시 맬웨어를 로딩하기 시작하면서 곧장 본성을 드러내기 시작했다.
이에 KnowBe4의 EDR 소프트웨어는 해당 사용자의 의심스러운 활동을 감지했고, 이에 따라 SOC 팀은 해당 직원에게 이런 비정상적인 활동에 대해 추궁했다. 해당 해커는 그러나 “단순히 라우터 가이드의 단계를 따라가며 속도 문제를 해결하고 있다”면서 “이로 인해 침해가 발생했을 수 있다”고 오히려 앞질러 상황을 설명하며, 연막작전을 펴기도 했다.
그러나 그는 다시 세션 기록 파일을 조작하고, ‘Raspberry Pi’를 사용해 맬웨어를 다운로드하고, 악성 소프트웨어를 실행하는 등 일련의 의심스러운 행동을 하는 모습이 SOC팀에 의해 관찰되었다. 이에 SOC팀이 그에게 재차 확인하면서, 해당 사용자에게 전화 통화를 통해 이를 다시 추궁하자 “통화가 어렵다”고 끊은 후, 연락이 되지 않았다. 보안 직원은 즉시 해당 기기를 격리함으로써 일단 사건은 마무리되었다.
KnowBe4사, “큰 교훈이 된 사례”
KnowBe4는 이에 사용자가 불법적인 접근 권한을 얻지 않았으며, 이 사건으로 데이터가 손실, 침해 또는 유출된 것은 없었다며 가슴을 쓰러내렸다. 그러면서도 “회사의 또 다른 학습의 순간”이라고 표현하기도 했다.
KnowBe4의 CEO이자 블로그 게시물의 저자인 스투 쇼워만은 “이 사건에서 무사히 벗어났지만 잠재적으로 파괴적일 수 있다”고 언급했다. 그는 이번 일이 전 직원에게 중요한 참고가 돠었다고 덧붙였다.
KnowBe4는 이 사건은 북한 해커들이 원격 IT 직원으로 가장, 미국 기업에 침투하려는 광범위한 사이버공격의 일부인 것으로 보인다고 언급했다. 해커는 KnowBe4가 ‘IT 뮬 랩톱 팜’이라고 설명하는 곳으로 작업 장치를 보내, VPN을 사용하여 미국에서 로그인하는 것처럼 보이게 한 것이다.
"사이버 스파이와 사이버 간첩의 새로운 시대"
이들은 만약 채용이 되기만 하면, 자신의 신분을 감추기 위해 소정의 업무를 수행하는 경우도 있다. 이들은 미국 기업에 맞춰 야간 근무를 하며 급여를 받기도 한다. KnowBe4는 이 급여가 북한에서 불법 프로그램을 추가로 지원하는 데 사용된다고 주장한다.
이에 앞으로 이런 사기수법을 방지하고, 찾아낼 수 있는 몇 가지 팁을 제시했다. 우선은 재택 근무자가 원격으로 접속하지 않는지 확인하는 ‘스캐닝 장치’와, 그가 위치하고 있다고 주장한 곳에 실제로 있는지 엄격히 확인할 필요가 있다.
또 경력 불일치 확인 등 이력서에 대한 정밀한 심사는 그런 악의적인 지원자를 골라낼 수 있다. 또 업무용 기기의 배송 주소가 실제로 거주하거나 근무한다고 주장하는 곳과 다른 경우도 마찬가지다.
특히 완전 원격 지원자를 고용하는 회사일수록 이같은 위협에 노출되기 쉽다. 사실 원격 채용은 전 세계에 걸쳐 엄청난 인재들를 확보할 수 있다는게 장점이다. 그러나 문제는 자격을 갖춘 후보자만 지원하는게 아니란 점이다. 그래서 “실제로 회사측과 소통하고 있다고 생각하는 사람을 고용하는게 중요하다”는 설명이다.
최근엔 원격근무와 출근을 겸한 기업들이 늘어남에 따라 이런 공격 수법이 갈수록 대중화될 것으로 예상된다. 그러므로 “HR 부서는 원격 근로자 고용에 대한 감시를 강화해야 한다”는 전문가의 조언이다.
이에 사이버보안 전문가들은 “이는 사이버 스파이와 사이버 간첩의 문제”라며 “HR 부서가 면접이나 채용 과정에서 원격 후보자를 조금 더 철저히 감시해야 한다. HR, 보안 팀, 내부 위협 팀 간 협업으로 신규 채용자에 대한 보다 포괄적인 배경 조사를 수립하는게 매우 중요하다”고 강조했다.