16개 주서 원격접속 PC 수신, 호스팅 ‘29개 노트북 팜’ 적발
200대 컴퓨터, 21개 웹 도메인, 부당 범죄수익 29개 금융 계좌 압수
[애플경제 이윤순 기자] 미국 법무부는 미국 전역에서 북한 기술 근로자 사칭을 지원하는 것으로 알려진 ‘노트북 팜’ 단속을 발표했다. 이들은 미국인 80명 이상의 신원을 도용한 것으로 알려졌다.
북한 정부는 수년간 자국민들에게 서방의 원격 기술 일자리에 비밀리에 지원하도록 함으로써 제재를 회피하는 새로운 수입원을 확보해 왔다. 미국 법 집행 기관이 최근 공개한 단속 작전은 이러한 사기를 저지르는 데 사용된 인프라의 상당 부분이 미국에 기반을 두고 있으며, 북한 사칭범들이 이를 실행하기 위해 얼마나 많은 미국인의 신원을 도용했는지를 분명히 보여주는 사례다.
30일 미 법무부는 북한의 원격 IT 인력 불법 거래에 연루된 미국 기업을 단속하기 위한 대대적인 작전을 공개했다. 이 작전에는 미국 정부가 이 작전에 연루된 것으로 추정하는 미국인 2명에 대한 기소가 포함되었으며, 그중 한 명은 FBI에 체포되었다.
또한 법무부 당국은 16개 주에 걸쳐 북한 인력이 원격으로 접속하는 PC를 수신하고 호스팅하는 데 사용된 것으로 알려진 29개의 ‘노트북 팜’을 수색했다. 이를 통해 약 200대의 컴퓨터와 21개의 웹 도메인, 그리고 작전으로 발생한 수익을 받은 29개의 금융 계좌를 압수했다.
범죄자들의 실제 작동 방식과 피하는 방법
결국 북한 해커들은 단순히 서구 기술 기업에 침투하기 위해 위조 신분증을 만드는 수준을 뛰어넘어, 80명 이상의 미국인의 신원을 도용, 100개가 넘는 미국 기업에 침투, 김정은 정권에 필요한 자금을 제공했다는 혐의를 드러냈다.
내부자 위협 전문 보안 회사인 DTEX는 “이런 ‘노트북 팜’이 있다는 사실 자체가 큰 보안의 취약점”이라며 “이렇게 여러 주에서 이러한 작전을 펼친다는 사실 자체가 엄청난 일”이라고 했다.
이에 따르면 북한 기술 직원 사칭 시도에 연루된 것으로 추정되는 미국인 6명이 파악되었다. 그러나 현재까지 신원이 확인되고 형사 기소된 사람은 뉴저지에 거주하는 케지아 왕과 전싱 왕 두 명뿐이다. 체포된 사람은 전싱 왕 뿐이다.
이들 두 사람은 북한 노동자들이 미국인 신분을 도용하도록 수십 명의 미국인 신원을 도용했다. 고용주가 보낸 노트북을 받은 후, 북한 노동자들이 전 세계에서 해당 기기를 제어할 수 있도록 원격 접속을 설정했다.
이러한 원격 접속은 종종 ‘키보드-비디오-마우스 스위치’ 또는 ‘KVM’이라는 하드웨어 장치를 이용했다. 또한 북한 정부가 자신들이 받았다고 주장하는 급여를 받을 수 있도록 페이퍼 컴퍼니와 은행 계좌를 개설했다. 법무부 기소 문서에 따르면 두 미국인이 6명의 중국 공모자와 2명의 대만인과도 협력했다고 밝혔다.
왕 씨 등 두 사람은 북한 노동자들의 위장 신분을 만들기 위해 개인 기록을 검색하여 700명이 넘는 미국인의 개인 정보에 접근했다. 신원 도용 피해자들의 운전면허증과 사회보장카드 스캔본으로 북한 노동자들이 그들의 이름으로 일자리를 신청할 수 있도록 했다.
기소 문서만으로는 해당 개인 문서가 어떻게 입수되었는지 명확하게 밝혀지지 않았다. 그러나 DTEX는 “북한의 사칭 조직은 일반적으로 다크웹 사이버 범죄 포럼이나, 데이터 유출 사이트에서 미국인의 신분증을 확보했다”면서 “실제로 그는 법무부가 인용한 80개 이상의 도난된 신원 정보는 북한 해킹 조직 인프라에서 압수된 수천 건의 미국 신분증 중 극히 일부에 불과하다”고 했다.
DTEX는 또 “북한 사칭 조직이 도난된 신원 정보에서 범죄 경력을 찾아내거나, 소득세가 없는 주에 거주하는 미국인을 사칭, 수입을 극대화하는 경우도 목격했다”고 전했다.
14개 주, 21곳의 ‘노트북 팜’ 의심되는 곳 수색
법무부가 왕커지아와 왕젠싱을 기소한 것과는 별개로, 검찰은 FBI가 미국 14개 주에 걸쳐 21곳의 노트북 팜으로 의심되는 곳을 수색했다. 그 결과 북한의 원격 근무 계획에 사용된 것으로 추정되는 약 137대의 PC를 압수했다. 또 다른 두 건의 사건에선 북한 해커들이 암호화폐 회사의 서구 기술 직원을 사칭한 내부 접근 권한을 이용, 90만 달러 이상의 자금을 훔쳤다. 이 중에는 애틀랜타에 본사를 둔 한 회사에서 훔친 약 74만 달러도 포함되어 있다.
법무부의 단속은 범죄로 훔친 자금에 초점을 맞춘 것으로 보인다. 그러나 검찰은 특히 앞서 왕을 비롯한 두 사람이 주도했다고 주장하는 작전에 주목했다. 이들 북한 해커들이 침투한 회사 중 하나가 캘리포니아에 본사를 둔 AI 관련 기술 전문 방위산업체였기 때문이다.
이들 북한 사칭범들은 국제무기거래규정(ITAR)으로 알려진 수출 통제에 따라 보호받을 만큼 민감한 정보를 포함한 기술 데이터에 접근, 이를 훔쳤을 가능성이 높다.
DTEX는 “법무부와 FBI가 수행한 단속, 기소, 체포에도 불구, 북한이 영리와 간첩 활동을 위해 서방, 특히 미국 기업에 침투하려는 시도가 끝나지 않았다”고 지적했다.
결국 법무부가 지명한 용의자 중 단 한 명만 구금되어 있을 뿐이다. 이러한 유형의 계획에 연루된 수많은 북한인들이 북한 정권의 국경과, 그들이 활동하는 중국 인근 지역에서 여전히 ‘건드리지’ 않고 있다.
그럼에도 DTEX는 “이번 조치는 북한의 활동에 큰 타격을 줄 것”이라면서도 “하지만 우리가 대응하면 그들도 대응할 것”이라고 일깨웠다.