미국 현지 시간 5월 16일, 미 법무부가 전 세계 수사기관과 협력해 북한 IT 인력의 위장 취업 및 사이버 활동을 지원한 혐의를 받는 용의자들을 사기 혐의 등으로 기소했다고 발표했다. 이들은 북한으로부터 돈을 지불 받아 노트북을 구입했으며, 이후 북한 인력이 이 노트북으로 원격 접속해 구직 활동을 한 것으로 나타났다.

기소된 용의자들이 지원한 것으로 의심되는 북한 위협 그룹은 지난달, 민간 연구 기관 스팀슨 센터(Stimson Center)가 글로벌 스트리밍 플랫폼의 애니메이션 제작 프로젝트에 참여했다고 발표한 위협 그룹과 동일하다.

다음은 구글 맨디언트(Mandiant)의 연구원들이 북한 IP 클라우드 스토리지 서버를 찾아내고 접속 로그를 조사하면서 드러난 사실이다.

가상 사설망(VPN) 서비스와 관련된 인터넷 주소에서 여러 차례 로그인한 흔적이 발견되었다. 하지만 이 중 VPN과 관련이 없는 주소는 스페인의 IP 주소 한 개와 중국의 IP 주소 세 개였다. 중국 주소 중 두 개는 북한과 인접한 랴오닝성에 등록된 것으로 단둥, 다롄, 선양이 포함되어 있었다. 세 도시 모두 북한이 운영하는 기업이 많고 해외에 거주하는 북한 IT 노동자들의 주요 거점인 것으로 알려져 있다.

서버에서 다양한 프로젝트와 관련된 파일들이 발견됐는데, 여러 명의 애니메이터가 작업에 관여한 것으로 보였다.

맨디언트는 한 달 동안 이 트래픽을 관찰한 결과 일부 프로젝트의 정체가 분명해졌다.

캘리포니아에 본사를 둔 스카이바운드 엔터테인먼트에서 제작한 아마존 오리지널 애니메이션 시리즈인 '인빈서블' 시즌 3. 서버에 있는 문서에는 이 시리즈의 이름과 Skybound 그룹의 일부인 것으로 보이는 '빌트루민트 팬츠 LLC'라는 회사명이 적혀 있었다.

또 메릴랜드에 본사를 둔 유닉 스튜디오가 제작한 슈퍼히어로에 관한 애니메이션으로, 2024년 HBO Max에서 방영하기 위해 라이온 포지 엔터테인먼트가 제작 및 애니메이션을 제작하고 있는 작품도 확인됐다.

그리고 2024년 7월부터 방영 예정인 일본 애니메이션 시리즈 '달리아 인 블룸'. 일본 홋카이도에 있는 애니메이션 스튜디오인 에카치 에필카의 이름이 포함된 "猫"(고양이)라는 이름의 파일.

BBC 어린이 만화인 "옥토넛"에서 가져온 것으로 보이는 비디오 파일 등 이들 파일도 있었다. 또 다롄의 양치기 소년 애니메이션을 언급하는 문서가 포함된 미확인 애니메이션 시리즈도 있었다.

이미지에서 확인된 회사들이 프로젝트의 일부가 북한 애니메이터에게 하청을 줬다는 사실을 알고 있었다는 증거는 없다. 실제로 미국에 기반을 둔 애니메이션 관련 파일을 포함한 모든 파일의 편집 주석이 중국어로 작성된 것으로 보아 계약은 주요 제작사보다 몇 단계를 거친 하청으로 이루어졌을 가능성이 높다.

또한 신원이 확인되지 않은 여러 애니메이션 파일, 농구에 관한 중국 영화로 보이는 비디오 특수효과 편집 지침이 포함된 파일, 말의 유지 및 관리와 관련된 여러 러시아어 동영상 파일과 PDF도 발견되었다.

이 서버가 주로 애니메이션 관련 파일을 저장하는 데 사용되었다는 사실은 소프트웨어 개발과 같은 다른 작업을 수행하는 북한 조직을 위한 추가 중계 서버가 존재할 가능성이 있음을 시사한다.

2022년 중반, 미국 정부는 기업들이 원격 계약업체를 찾을 때 애니메이터를 포함한 북한 IT 근로자를 실수로 고용할 수 있다고 경고했다. 그렇게 할 경우 미국 및 유엔 제재 위반의 위험에 처할 수 있다고 경고한 바 있다.

이 보고서는 북한 근로자들이 종종 "외국 또는 미국 기반 원격 근무자로 신분을 속이고" VPN이나 기타 방법을 사용해 마치 다른 나라에서 왔고 거주하는 것처럼 보이게 할 수 있다고 지적했다.

이에 대응하기 위해 회사는 고용된 근로자가 프로젝트의 업무를 수행하는 사람인지 확인하기 위해 업무 문서 확인, 화상 인터뷰, 신원 조회 및 지문 로그인 등 여러 가지 안전 장치를 마련할 것을 권고했다.

이러한 확인 절차는 고용한 근로자가 다른 사람의 대리인이 아니라 실제 업무를 수행하는 사람인지 확인하기 위해 마련된 것이다.

작년에 미국 법 집행 기관은 북한 노동자들이 한 달에 400달러를 지불하고 4대의 노트북을 인터넷에 연결해 준 사례를 공개했다. 북한 노동자들은 원격 데스크톱 소프트웨어를 통해 노트북에 접속한 다음 미국 인터넷에 접속했다. IP 주소를 분석해 보면 기존의 미국 국내 서비스 제공업체에서 나온 것으로 보인다.

이 사건을 계기로 미국은 북한 IT 인력을 탐지하기 위한 지침을 업데이트했다.

그러나 북한 스튜디오가 국제 프로젝트에서 계속 일할 수 있는 것으로 보이는 것은 글로벌 산업에서 현재 미국의 제재를 집행하는 데 어려움이 있음을 말해준다. 또한 미국 애니메이션 회사들이 프로젝트에 참여하는 모든 회사에 대한 정보를 더 잘 파악해야 할 필요성이 있다는 것도 말해준다.

이번 미 정부의 북한 위협 그룹 활동을 지원한 용의자 기소와 관련해 구글 클라우드 맨디언트 수석 애널리스트 마이클 반하트(Michael Barnhart)는 “북한은 IT 인력이 서방 기업에 취업하도록 지시함으로써 기술 인재를 무기화하고 궁극적으로는 내부 위협을 만들어냈다. 이들은 자신들의 급여로 북한 핵 프로그램 자금을 지원해 제재를 우회했다. 동시에, 보다 발전된 북한 위협 그룹이 주요 조직에 침투할 수 있는 발판을 제공했다”고 밝혔다.

또 “북한 IT 인력은 수많은 진입 지점(entry point)을 보유하고 있으며, 자신의 진짜 신분을 숨기고 다른 국적으로 위장하고자 이 사실을 알지 못하는 조력자의 도움을 받고 있다”며 “계속 증가하는 이러한 적응력이 뛰어난 이중 위협에 효과적으로 대처하기 위해서는 사법 당국과 정보 기관이 이번 조치와 같이, 주요 단계에서 선제적으로 대응하고 활동을 중단시키는 것이 반드시 필요하다”고 말했다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★