맨디언트 “AI 통해 생성된 프로필 사진 식별할 수 있는 오픈소스 도구 활용” 권장
북한의 해커들이 위장 취업을 통해 전 세계 기업에 침투하는 사례가 최근 증가하고 있다. 이러한 활동은 주로 북한 정권의 무기 개발 프로그램을 지원하기 위한 자금 조달 목적이며, 미국과 영국을 비롯한 다양한 국가의 기업들이 그 대상이 되고 있다.
미국 법무부는 최근 미국 테네시주 내슈빌에 거주하는 매튜 아이작 누트가 북한의 원격 IT 근로자들을 돕기 위해 '노트북 팜'을 운영했다는 혐의로 체포했다고 밝혔다. 이 '노트북 팜'은 기업들이 미국 내에서 근무하는 직원으로 속여 북한 IT 근로자들이 실제로 업무를 수행할 수 있도록 돕는 방법 중 하나로 알려져 있다. 누트는 미국과 영국 기업에 북한 IT 근로자를 고용하도록 지원하고, 그들이 미국 시민의 신분을 도용하여 원격 근무를 할 수 있도록 도왔으며, 이로 인해 수백만 달러의 불법 수익이 북한의 무기 프로그램으로 유입되었다고 전해졌다.
맨디언트(Mandiant) 보고서에 따르면, 이러한 북한 해커들은 주로 중국과 러시아를 거점으로 활동하며 다수의 가짜 신원을 사용해 여러 기업에 동시에 취업하고, 암호화폐 송금과 자금 세탁 등의 수법으로 자신의 정체를 감추고 있다. 이들은 가짜 이력서와 프로필 사진, 그리고 도용한 정보를 통해 기업의 채용 과정에서 자신들의 신분을 감추는 데 성공하고 있다. 특히, 미국의 IT 기업 KnowBe4는 북한 해커가 소프트웨어 엔지니어로 취업해 입사 첫날에 악성 코드를 심으려 한 사례를 보고했다. 이는 기업들이 이들의 침투 수법에 취약할 수 있음을 보여주는 사례다.
북한 해커들의 IT 분야 위장 취업 수법은 매우 치밀하며, 다양한 방식으로 기업의 채용 절차를 회피하고 있다. 가장 흔한 방법 중 하나는 가짜 신원과 이력서를 활용해 자신을 실제 IT 전문가로 위장하는 것이다. 이들은 넷리파이(Netlify)와 같은 플랫폼을 이용해 가짜 프로필을 생성하며, 이를 통해 여러 기업에 동시에 지원한다. 특히 도용한 신원과 AI로 생성된 프로필 사진을 활용해 자신을 미국, 영국 등의 전문 엔지니어로 가장하며, 이러한 조작된 정보를 통해 기업들의 채용 과정을 성공적으로 통과한다.
또한, ‘노트북 팜’이라는 독특한 시스템을 통해 위장 취업을 돕는 조력자도 존재한다. ‘노트북 팜’은 미국이나 다른 국가에 있는 조력자가 여러 대의 노트북을 한 장소에 모아놓고 원격으로 북한 해커들이 접근할 수 있도록 하는 시스템이다. 이들은 IP 기반 KVM 장치(Keyboard Video Mouse)를 사용해 원격으로 노트북에 접근하며, AnyDesk, TeamViewer, GoToRemote 등의 원격 관리 도구를 설치해 기업의 시스템에 접속한다. 특히 이러한 노트북 팜은 기업들이 채용한 인력이 실제로 해당 지역에 거주하며 근무하고 있다는 착각을 일으키게 해 기업의 신뢰를 쉽게 얻을 수 있다.
이러한 해커들은 동시에 여러 개의 일자리를 유지하며 한 달에 여러 급여를 받는 경우도 흔하다. 실제로 한 북한 해커는 미국의 한 기업에 소프트웨어 엔지니어로 취업한 후, 입사 첫날에 회사의 시스템에 악성코드를 심으려 시도한 사례가 있었다. 이는 해커들이 기업 내부에 침투하는 데 성공하면 심각한 보안 위협을 초래할 수 있다는 것을 보여준다.
또한, 북한 해커들은 대부분 중국과 러시아를 거점으로 활동하며 이들의 활동을 감추기 위해 조력자와 위장 회사(front company)를 활용한다. 이 조력자들은 북한 IT 근로자들의 취업을 돕고, 이들이 벌어들인 수익을 세탁해 북한 정권으로 송금하는 역할을 담당한다. 이는 해커들이 자신들의 위치와 정체를 철저히 숨기며 기업에 침투할 수 있도록 돕는 주요 수단 중 하나이다.
미국 국무부는 북한의 IT 근로자들이 2020년부터 2023년 사이에 300개 이상의 미국 기업에 침투해 680만 달러 이상의 수익을 거둬들였으며, 이 자금이 북한 정권의 무기 개발 프로그램에 사용되고 있다고 경고했다. 또한, 미국 FBI와 CISA는 북한의 IT 근로자들이 주요 국가의 방위, 항공우주, 원자력, 공학 부문을 대상으로 한 스파이 활동과 사이버 공격을 통해 민감한 기술 정보를 확보하고 있으며, 이 정보를 북한의 군사 및 핵 프로그램에 활용하고 있다고 발표했다.
전문가들은 이러한 위장 취업으로 인한 위협에 대해 기업들이 몇 가지 핵심적인 사항을 주의해야 한다고 강조한다. 먼저, 채용 과정에서 지원자의 신원을 철저히 검증하는 것이 중요하다. 특히 화상 면접을 통해 지원자의 실제 신원이 이력서에 기재된 정보와 일치하는지 확인하고, 배경 조사를 통해 신원 도용 여부를 확인해야 한다. 맨디언트는 AI를 통해 생성된 프로필 사진을 식별할 수 있는 오픈 소스 도구를 활용하는 것도 좋은 방법이라고 강조했다.
또한, 기업 내부에서는 원격 관리 도구의 사용을 주의 깊게 모니터링해야 한다. 북한 해커들은 기업 노트북에 TeamViewer, AnyDesk 등의 원격 관리 소프트웨어를 설치해 원격으로 시스템에 접근하는 경우가 많다. 따라서 기업은 이러한 도구의 사용을 감시하고, 비정상적인 사용 패턴이 감지될 경우 즉시 조치해야 한다. 특히 Astrill VPN과 같은 서비스와 연관된 IP 주소의 접속을 주의 깊게 모니터링하는 것이 필요하다.
마지막으로, 기업들은 사내 교육을 통해 직원들에게 북한 해커들의 침투 수법과 위장 취업의 위험성을 알리는 것이 중요하다. 채용 담당자와 보안 팀은 이와 같은 위협을 인식하고 대응하는 방법을 습득해야 하며, 정기적인 교육과 훈련을 통해 위협을 조기에 감지하고 차단할 수 있도록 대비해야 한다고 전문가들은 강조했다. 이를 통해 기업은 북한 해커들의 침투를 방지하고 조직의 보안을 강화할 수 있을 것이다.
★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★