보안정보

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.

합동 주의보! 신분 위장을 조심하라!

2024.11.06

317

요 근래 글로벌 주요국들의 안보 기관들과 사이버 보안 업체들이 공통적으로 ‘北 IT 인력의 신분 위장 취업‘을 경고하는 합동 주의보를 연일 발표하고 있다.
어린 나이부터 해킹에 대한 교육을 전문적으로 받은 북한의 IT 전문가들이 북한 사람이 아닌 것으로 가장하여 다양한 국가, 다양한 산업의 다양한 회사에 취직하여 적잖은 돈을 벌어들인다는 것이다. 이는 현재 국제 제재로 말라가는 북한의 국고를 채우는 데 큰 도움이 되는 것으로 보인다. 즉 북한 정권이 탄도 미사일과 핵 등 강력한 군사 무기를 개발하는 데 직접적으로 이바지하는 것이라고 할 수 있다. 그뿐만 아니라 이들은 위장 취업 후 기업 내에서 중요 정보를 빼돌리는 역할을 담당하고 있기도 하다.
북한 IT 노동자들은 여러 가지 방법으로 자신들의 정체가 탄로 나는 것을 막고 있는데, 진짜 이름을 숨기기 위해 현지인을 고용하거나, 아예 현지에 페이퍼컴퍼니 역할을 해줄 단체를 구성하기도 한다. 어린 나이부터 해킹에 대한 교육을 철저하기 받은 이들의 신분 위장 취업은 국가 안보에 큰 위협으로 다가오고 있다. 본 기고에서는 북한의 해킹 인력 양성 방법을 시작으로 북한 IT 노동자들의 위장 취업 행위 및 관련 악성 행위에 대해 알아보고자 한다.

01. IT·해킹 인력 조기 양성에 집중하는 北 정권

美 정부와 유엔(United Nations, 이하 UN)의 강력한 대북제재가 계속되는 상황에서 북한은 이러한 상황을 타개하기 위해 가상화폐 탈취와 위장 취업을 통해 개발 자금을 조달하고 있다. 바로 핵·미사일을 개발하기 위해서다.

1) 해킹 강국 북한, 비결은 IT 조기교육?

지난 5월 29일, 美 재무부(Department of Treasury, 이하 DoT)는 ‘2024 대체불가토큰(NFT) 불법 금융 리스크 평가(2024 Non-fungible Token(NFT) illicit Finance Risk Assessment)’ 보고서를 통해 북한이 지난 ‘22년에만 최소 7억 2,000만 달러(한화 약 9,860억 원)에 달하는 가상화폐를 탈취했다고 밝혔다. 익명성이 강조되고 관리가 비교적 허술한 가상화폐의 허점을 노려 국제사회 제재망을 빠져나가고 있다는 것이다. 특히 '미끼 사이트'를 만들어 '가상자산사업자(Virtual Asset Service Provider, 이하 VASP)’들이 자산 계정 및 비밀번호를 입력하도록 유도한 다음 자금을 빼내거나, 자국 IT 기술자들을 중국인 등으로 위장시켜 세계 각지의 가상화폐 관련 사업에 참여토록 하는 수법이 사용되고 있다.

이같은 가상화폐 탈취를 위해 북한 해커들은 500개에 달하는 악성 사이트를 운영하고 있으며, 사이트 한곳만 해도 NFT 최소 1,000개를 탈취할 역량을 갖추고 있었다는 것이다. 美 재무부는 ”실제 사이트 한 곳에서만 35만 달러(한화 약 4억 8,000만 원) 가량을 도둑맞았다.”라며 "위장 IT 기술자 역시 수천 명에 달한다.”라고 덧붙였다.

[그림 1] 2024 대체불가토큰(NFT) 불법 금융 리스크 평가 보고서 (출처: 美 재무부)

美 재무부는 북한이 대량살상무기(Weapon of Mass Destruction, 이하 WMD)와 탄도미사일 개발에 사용하기 위해 이 같은 불법을 저지르고 있다고 주장했다. ‘22년 상반기에만 북한 미사일 발사 시험에 6억 5,000만 달러(한화 약 8,960억 원)가 사용된 것으로 추정되는 만큼, 천문학적인 군비를 감당하는 데 불법 탈취 자산이 흘러갔을 것이라는 점이다.

여기서 ‘북한은 어떻게 해킹에 대한 높은 역량을 가질 수 있었을까?’라는 궁금점이 발생한다. 북한의 높은 해킹 역량의 배경에는 바로 ‘IT 조기 교육‘이 자리 잡고 있다. 지난해 7월, ‘北 대학생들, 美 IT기업 주최 해킹대회 1,2위 휩쓸어’라는 보도자료가 공개됐다. 인도계 美 기업인 해커어스(HackerEarth)가 같은 해 5월에 개최한 코딩 및 해킹 대회인 ‘May Circuits 2023’에서 北 김책공업종합대학(이하 김책공대) 학생이 800점(만점)으로 1위를 차지한 것이다.

[그림 2] 코딩 및 해킹 관련 국제대회 수상 소식을 올린 북한 김책공대 (출처: 김책공대 홈페이지)

김책공대는 북한의 공과대학으로, 대한민국의 포항공과대학교(포스텍)와 유사한 명문 공과대학이라고 할 수 있다. 2위는 北 김일성종합대학 학생이 차지했고, 3위와 4위에도 김책공대 학생들이 이름을 올리며 북한 대학생들이 상위권을 기록했다. 심지어 대회에는 전 세계에서 무려 1,700명이라는 많은 인원이 참가한 만큼 이들의 실력은 입증된 것이나 다름없다. 북한의 대학 중에서도 명문이라고 여겨지는 대학들(김책공대 등)에 IT 인력 조기 양성을 통해 배출된 학생들이 진학하는 것이다. 북한은 중·고등학교 시기부터 IT 영재를 발굴하는 것으로 유명한데, 중·고등학교 시기에는 IT에 대한 지식을 공부한다면 대학에 진학한 이후부터는 실질적으로 북한 정권에게 금전적인 이득을 가져다 주는 ‘해킹‘에 대한 전문적인 교육을 받는다.

2) 북한의 대표적인 해킹 인력 양성소

[그림 3] 금성학원의 해킹 인력 양성 관련 보도자료 (출처: KTV)

이와 관련해 국가정보원(이하 국정원)은 지난 ‘22년 12월 21일 열린 기자간담회에서 “한국은 공부 잘하는 학생들이 의대에 가지만 북한은 IT 분야로 진학해 군(軍) 산하에서 집중 훈련을 받는다.”라며 “북한의 영재들은 IT 쪽을 전공해야 해외로 나갈 기회가 있는 만큼 이를 선호한다.”라고 설명했다.

실제로 외교부가 지난 5월, 암호화폐 해킹 등과 관련해 추가 제재 대상으로 지정한 북한 기관에는 진영정보기술개발협조회사와 동명기술무역회사라는 조직 2곳과 북한의 특목고로 불리는 금성학원이 포함됐다. 금성학원은 IT 분야에서 최고 수재 학교로, 북한의 ‘사이버 전사 사관학교’ 역할을 수행하고 있다. 전국 초등학교에서 뽑힌 수학·과학 영재들은 금성학원 컴퓨터반에서 최고 사양의 컴퓨터 등으로 최상급 교육을 받는데, 이곳 상위 인재들이 김일성종합대학과 평양콤퓨터기술대학, 김책공대 등으로 진학해 해킹 능력을 키운다. 마치 옛 냉전시절 동유럽 공산권 국가들이 올림픽 메달리스트를 키워내는 방식처럼, 북한은 유소년 시절부터 사이버 분야 재목을 발굴해 특별 관리하면서 엘리트로 육성하고 있는 것이다. 그리고 이렇게 키워진 북한 젊은 해커들의 실력이 세계 대회에서 입증되고 있는 상황이며, 더 나아가 핵·미사일 개발 자금 확보를 위한 암호화폐 탈취와 국가 기밀을 탈취하는 스파이로 성장하는 것이다.

[표 1] 북한 IT 인력 독자제재 추가 지정 대상 (출처: 韓 외교부)

02. 북한 IT 인력에 대한 ‘합동 주의보‘

최근에는 북한의 대표 해킹 인력 양성소인 ‘금성학원‘을 거쳐, 김책공대 등으로 진학해 능력을 키운 북한 IT 인력들에 대한 ‘합동 주의보‘가 끊이지 않고 있다. 글로벌 주요국들의 안보 기관은 물론 사이버 보안 업체들까지도 관련된 보고서를 끊임없이 발표하며 이를 경고하고 있다. 전문적인 교육(해킹)을 받은 북한 IT 인력들은 여러 곳의 기업에 동시 취직해 금전적 이익을 취했을 뿐 아니라 사내 시스템에 접속해 정보를 탈취한 것으로 드러났다. 

1) 맨디언트(Mandiant), “UNC5267을 조심하라“

[그림 4] ‘북한 IT 노동자로 인한 위협 완화’ 보고서 (출처: Mandiant)

지난 9월 29일, 美 사이버 보안 업체 맨디언트(Mandiant)가 최근 발표한 ‘북한 IT 노동자로 인한 위협 완화(Mitigation the DPRK IT Worker Threat)’ 보고서에 따르면 북한의 IT 전문가들은 북한 사람이 아닌 것으로 가장하여 다양한 국가, 다양한 산업의 다양한 회사에 취직하여 적잖은 돈을 벌어들인다고 한다. 이는 현재 국제 제재로 말라가는 북한의 국고를 채우는 데 적잖은 도움이 되는 것으로 보인다. 즉 북한 정권이 탄도 미사일 등 강력한 군사 무기를 개발하는 데 직접적으로 이바지하는 것이라고 할 수 있다. 그뿐만 아니라 이들은 위장 취업 후 기업 내에서 중요 정보를 빼돌리는 역할을 담당하고 있기도 하다.
보고서는 북한의 ‘UNC5267’이 서방 국가를 겨냥해 위장 취업을 이어가고 있다고 발표했다. 여기서 UNC5267은 위장 취업 조직으로, 지난 ’18년부터 활발한 활동을 진행하고 있다. 이 중 다수는 100% 원격 근무가 가능한 업체에 지원한 것으로 알려졌다.

이들은 중앙(정부)에서 관리하거나 지령을 받아 움직이는 조직은 아닌 것으로 파악됐다. 이와 관련해 맨디언트는 “UNC5267은 다소 느슨하게 조직되어 있는 개개인들의 집합에 더 가깝습니다. 이들은 주로 중국과 러시아에 파견되어 있으며, 그곳에서 취업 활동을 합니다. 일부는 아프리카와 동남아시아에 근거지를 마련하고 있기도 합니다. 취업을 하는 곳은 주로 미국이나 서방 국가의 기업들입니다.”라고 전했다.

UNC5267에 소속된 인력들은 가짜 신원으로 다양한 회사에 지원하고, 원격 근무가 가능한 계약직으로 고용된다. 직무는 딱히 가리지 않는 것으로 현재까지는 조사되고 있다. 이들은 여러 직위에서 여러 임무를 수행하는 데, 무조건 원격 근무가 가능한 자리에만 지원하는 것으로 나타났다. 주목할 만한 점은 한 사람이 한 회사에서만 근무하는 게 아니라는 점이다. 보통 여러 회사에서 여러 프로젝트에 참여하며, 짧은 기간 안에 많은 급여를 받아낸다는 특징을 보이고 있다.

북한 IT 인력들은 여러 가지 방법으로 자신들의 정체가 탄로 나는 것을 막는데, 진짜 이름을 숨기기 위해 현지인을 고용하거나, 아예 현지에 페이퍼컴퍼니 역할을 해줄 단체를 구성하기도 한다. 미국의 경우 미국인이지만 북한인들의 이러한 활동을 돕는 사람들이 있고(美 정부는 이들을 촉진자(Facilitator)라고 명칭), 최근 몇 년 동안 여러 촉진자들이 체포된 바 있다. 이들은 북한 IT 노동 인력이 현지에 없기 때문에 할 수 없는 일들을 대신해 준다. 회사에서 주는 업무용 노트북을 대신 수령하고, 그 노트북을 자기의 집에 연결시켜 북한 해커가 원격에서 제어할 수 있게 해주며, 심지어 도용된 신원을 사용해 현지에서 필요한 서류를 꾸미기도 한다. 자금 세탁을 돕는 경우도 있다. 이로 인해 지금까지 미국에서만 UNC5267에 속아 300개 이상의 기업이 피해를 입은 것으로 조사됐으며, 최소 680만 달러(한화 약 89억 원)의 피해가 발생한 것으로 나타났다.

맨디언트가 조사했을 때 UNC5267의 목표는 3가지로 정리되는 것으로 보인다고 한다. 다만 3번 목표의 경우, 아직까지 이러한 목적을 명확히 성취한 사례가 발견되지는 않았다.

[표 2] 北 UNC5267의 목표 3가지 (출처: Mandiant)

UNC5267이 피해 기업의 원격 접근 권한을 반드시 획득하려는 건 단지 그들이 물리적으로 다른 나라에 있어서 그런 것만은 아니다. 원격에서 업무를 하는 사람들에게 기업들이 차츰차츰 높은 접근 권한을 허용하려는 경향을 가지고 있기 때문이다. 코드 수정이나 네트워크 시스템 관리 등 IT 프로젝트를 위해 꼭 필요한 일을 원격 근무자에게 조금씩 맡기게 되면서 더 많은 권한을 허용하는 경우가 대단히 많은데, 북한 공격자들이 이를 잘 노린 것으로 분석된다.

원격 근무가 가능한 부분에 지원하기 위해 북한 IT 인력들은 이력서를 정교하게 꾸미기도 했다. 이들은 대체적으로 각종 프로그래밍 언어에 대한 숙련도를 자랑하고, CEO, 이사, 소프트웨어 엔지니어 등의 직위를 역임했음을 허위로 주장한다. 또한 링크드인(Linkedin) 프로필에서 도용된 이미지를 적극 활용하여 이력서를 가짜로 만들고, 각각의 IT 인력들이 하나의 이력서를 활용해 취업 활동을 하는 게 아니라 한두 명이 여러 개의 이력서를 만들어 회사들에 뿌리고 있었다고 한다.

[그림 5] 북한 IT 인력의 허위 이력서 (출처: Mandiant)

허위 이력서 등을 바탕으로 취업에 성공한 북한 IT 노동자는 이제 회사로부터 업무용 노트북을 지급받게 된다. 이를 현지의 촉진자가 가서 수령하는데, 문제는 이 노트북을 가지고 실제 업무를 해야만 한다는 것이다. 북한 IT 노동자는 해당 업무용 노트북에 원격으로 접근하는데, 이러한 상태로 맡겨진 일들을 처리한다. 한 사람(북한 IT 노동자)이 여러 페르소나(Persona, 외적 성격)를 운영하는데, 이를 위해 촉진자들은 다수의 노트북을 한꺼번에 켜두고 북한 IT 노동자들이 해당 노트북에 원격 접근토록 지원한다. 실제로 체포된 촉진자들의 집에는 업무용 노트북이 다량으로 발견되는 게 보통이며, 이러한 ‘컴퓨터 농장‘을 운영하는 대가로 급여(보수)를 받는 것으로 알려졌다.

UNC5267이 이러한 방식으로 활동하기 때문에 피해 기업이 지급한 노트북들과 행동 패턴에서는 몇 가지 공통된 점이 발견된다.

[표 3] 北 UNC5267의 업무용 노트북과 행동 패턴에서 발견된 공통점 (출처: Mandiant)

2) 北 위장 취업 경고하는 글로벌 주요국들의 안보 기관

단지 美 보안업체인 맨디언트의 경고 뿐만 아니라 다수의 글로벌 주요국들의 안보 기관에서도 북한 IT 인력의 위장 취업을 경고하고 있다.

먼저 독일의 정보기관인 연방헌법수호청(Bundesamt für Verfassungsschutz, 이하 BfV)은 지난 10월 1일, 북한 IT 노동자들이 독일 기업에 위장 취업하고 있다며 ‘경제 안전 정보, 북한 IT 노동자(Sicherheitshinweis für die Wirtschaft: Nordkoreanische IT-Worker)’라는 제목의 사이버 보안 권고문을 발표했다. 북한 해커들이 한국, 일본 등 국적의 IT 노동자라고 속인 뒤 IT 비대면 일자리에 취업해 돈과 정보를 탈취한다고 경고한 것이다.

해당 사이버 보안 권고문의 발표 배경에는 北 해커조직 김수키(Kimsuky)의 독일 방산업체 ‘딜 디펜스(DIEHL Defence)’ 해킹 공격이 존재한다. 딜 디펜스는 한국의 안보와도 연관이 깊다. 바로 딜 디펜스가 국산 전투기인 KF-21용 미사일 IRIS-T를 생산하기 때문이다. 실제로 김수키의 해킹이 한국과 딜 디펜스의 IRIS-T 미사일 계약 체결 이후 발생함에 따라 국가 안보 측면에서 상당한 불안감을 가져오고 있다. 이에 독일 헌법보호청(BfV)은 지난 9월 24일 김수키가 포함된 20여 개 해킹 조직을 공개했고, 지난 1일에는 북한의 IT 인력을 활용한 해킹 범죄를 다룬 ‘북한 IT 노동자’ 문서를 공개하는 등 북한의 해킹 공격에 주의를 당부했다.

[그림 6] 딜 디펜스 로고(좌) · KF-21용 미사일 IRIS-T(우) (출처: DIEHL Defence)

앞서 UNC5267에 대한 보고서를 발표한 맨디언트가 해당 공격을 최초로 발견하고 이를 조사했는데, 이들은 북한 해커들이 사이버 공격에 AI 기술을 적극적으로 활용하고 있다고 전했다. AI와 자동화 기술을 통해 한 사람(해커)이 7~10가지 일을 해결할 수 있는 방식을 사용한다는 점이다. 이를 통해 적은 인력으로도 더 많은 공격을 수행할 수 있는 것이다.

독일 연방헌법수호청(BfV)에 더해 영국 재무부(Office of Financial Sanctions Implementation, 이하 OFSI) 역시 “북한 IT 노동자들이 영국과 미국 등의 기업에 위장 취업하고 있다.”라며 ‘주의보(Advisory on North Korean IT Workers)’를 발령했다.

영국 재무부는 주의보를 통해 “현재 영국 회사들이 북한 정권을 위한 수익 창출을 위해 제3국 프리랜서 IT 노동자로 위장한 북한 IT 노동자들의 표적이 되고 있다는 것이 거의 확실하다.”라고 밝혔다. 구체적으로 현재 북한 IT 노동자들이 영국 기업에 취업하기 위해 온라인 프리랜서 플랫폼이나 구인·구직 사이트를 이용하고 있다고 지적했다. 또 이들이 고의적으로 자신의 신분을 감추고 북한과의 연관성을 숨기기 위해 가명과 허위 또는 가상의 인물, 대리인 등을 활용하고 있으며, 군수공업부와 원자력공업부 등 북한 정부를 대신해 기업과 개인으로 구성된 복잡한 네트워크를 통해 활동하고 있다고 밝혔다. 이어 불법 고용을 통해 벌어들인 자금을 확보하기 위해 전자 화폐 기관(Electronic Money Institution, 이하 EMI)이나 자금 서비스 업체(Money Services Business, 이하 MSB), 암호화폐 거래소 제공업체의 대체 결제 수단을 활용할 가능성도 크다고 덧붙였다.

영국 재무부는 이와 함께 2가지의 사례를 소개했다.

○ Case 1: 자신도 모르게 북한 IT 노동자 고용, 수익 제공

[표 4 / 그림 7] 자신도 모르게 북한 IT 노동자 고용, 수익 제공 프로세스 (출처 : 영국 재무부)

○ Case 2: 북한의 자금 조달을 위한 페이퍼 컴퍼니로 운영되는 기업

[표 5 / 그림 8] 북한의 자금 조달을 위한 페이퍼 컴퍼니로 운영되는 기업 프로세스 (출처 : 영국 재무부)

영국 재무부는 이러한 프로세스를 바탕으로 북한 IT 노동자들이 얻은 수익은 유엔(UN)이 금지한 물품과 군사 장비 등에 사용되며, 북한의 대량살상무기와 미사일 개발 프로그램에 기여한다고 지적했다. 이어서 이러한 종류의 확산 자금 조달은 영국과 국제 금융 체계의 안정성을 광범위하게 위협하고 명백하게 국제 안보 위험을 초래한다고 말했다.

그러면서 북한 IT 노동자의 위장 취업은 악성코드를 유포하는 등의 대단한 해킹 기술을 필요로 하지 않으면서도 비교적 손쉽게 정보나 자금을 탈취할 수 있는 수단으로 자리 잡고 있다며, 단지 영국 정부뿐만 아니라 글로벌 정부와 개별 기업들의 주의가 필요하다고 지적했다.

03. 마무리

맨디언트는 최근 증가하고 있는 북한 IT 인력(UNC5267)의 위장 취업과 관련해 중앙(정부)에서 관리하거나 지령을 받아 움직이는 조직은 아닌 것으로 파악했다고 밝혔으나, 사실 북한 정권과 연관이 없을 수 없다. 지금껏 글로벌 안보 기관들과 사이버 보안 업체들 사이에서 북한의 IT 인력 위장 취업을 조심하라는 경고는 과거부터 지속되어 왔다. 그리고 개인이든 조직이든 항상 배후에는 북한 정권이 자리 잡고 있음 역시 강조해왔다. 단지 경고에 그치지 않고 해외 기업에 위장 취업하는 용도로 활용한 웹사이트 도메인 등의 차단 등 위장 취업을 막기 위한 시도와 노력은 지속되어 왔다.

이러한 위장 취업은 ’20년도를 기점으로 폭증했는데, 당시에는 폭등한 가상화폐의 가치로 인해 가상화폐 기업에 침투하여 금전적인 이점을 보는 경우가 다수였다. 다만 최근에는 금전 취득의 목적보다는 국가 또는 기업의 기밀을 탈취하는 데 목적을 둔 공격이 대다수다. 기밀 유출을 무기로 삼아 피해 조직에게 가상화폐를 요구하여, 직접적인 가상화폐 탈취보다 더 큰 수익을 벌어낼 수 있기 때문이다. 그리고 실제로 북한 정권은 이를 금전 주요 공급원으로 삼을 만큼 큰 수익을 내고 있기도 하다.

그렇기에 앞으로 북한 정권을 배후로 한 북한 IT 인력들의 위장 취업은 더욱 활발해질 것이다. 그리고 이를 최대한 막기 위해 각국 안보기관들과 사이버 보안 업체들 역시 보다 많은 노력을 다할 것이다. 다만 이러한 피해를 최소화시키기 위해서는 북한 IT 인력들이 삼는 타깃의 대부분이 기업체인 만큼 개별 조직에서도 이러한 잠입(위장 취업 등)이 우리 조직에게도 벌어질 수 있다는 경각심을 반드시 가져야만 할 것이다.

04. 참고자료

1.북한 IT 노동자들, 서방 국가들에 위장 취업 러시 실시해 미사일 만들어, 보안뉴스:
https://www.boannews.com/media/view.asp?idx=133075&kind=1
2.Staying a Step Ahead: Mitigating the DPRK IT Worker Threat, Mandiant:
https://cloud.google.com/blog/topics/threat-intelligence/mitigating-dprk-it-worker-threat?hl=en
3.Sicherheitshinweis für die Wirtschaft, 獨 BfV:
https://www.verfassungsschutz.de/SharedDocs/kurzmeldungen/DE/2024/2024-10-01-sicherheitshinweis-fuer-die-wirtschaft.html
4.Advisory on North Korean IT Workers, 英 OFSI:
https://assets.publishing.service.gov.uk/media/66e2ec410d913026165c3d91/OFSI_Advisory_on_North_Korean_IT_Workers.pdf