“북한 기술자 수천명, AI로 신분 도용 ‘미국 원격근무’로 돈 벌어”

왼쪽은 인터넷 이미지 저장 사이트 스톡의 원본 이미지. 오른쪽은 인사팀에 제출된 가짜 사진. 자료:KnowBe4

지난 7월15일 플로리다주 클리어워터에 있는 사이버보안회사 ‘노우비포’(KnowBe4)는 원격 근무가 가능한 소프트웨어 엔지니어 채용 공고를 냈다. 카일이라는 이름의 구직자가 지원했다. 그의 영어엔 억양이 있었지만, 업무는 능숙했다. 줌으로 그를 면접한 최고경영자 스투 쇼우버만은 월스트리트저널에 “그는 자신의 강점과 약점, 그리고 아직 배워야 할 것들, 경력 경로에 대해 솔직하게 이야기했다”라며 “이런 면접을 수백 번 해본 전문가 같았다”고 말했다.

배경 조사를 마친 인사팀은 신분 도용 가능성은 없다고 판단했다. 하지만 그는 업무용 노트북을 배송받자마자 악성 코드를 올리기 시작했다. 회사는 미연방수사국(FBI)에 알렸고, 전모가 드러났다.

카일은 가공의 인물이었다. 실제 인물은 북한에 있었다. 미국 인터넷에 접속할 수 있는 ‘노트북 농장’(laptop farm)으로 노트북을 전송받은 뒤 브이피엔(VPN)을 사용해 접속 위치를 미국으로 속였다. 미국 시각에 맞춰 일했다. 도용된 신분을 사용했고, 사진은 인터넷에서 가져온 사진을 생성형 인공지능으로 수정한 것이었다. 회사는 이런 내용을 지난 7월 회사 블로그에 올렸다.

월스트리트저널은 5일(현지시각) “코로나 이후 원격 근무 급증, 생성형 인공지능 발전 등을 이용해 수백에서 수천명의 북한 기술자들이 낮은 레벨의 정보통신(IT) 직군에 일자리를 구했다”고 보도했다.

구글 클라우드의 사이버 위협 부서인 맨디언트의 마이클 바언하트는 “이 문제를 깊이 들여다보니 이런 IT 북한 기술자들이 곳곳에 있다는 것을 알게 됐다”라며 “올해 초 북한 IT 기술자의 소유로 의심되는 약 800개의 이메일 주소를 여러 민간 보안 파트너들과 공유했는데 약 10%의 계정이 2~8월 사이 채용 지원에 사용됐다. 실제 채용 담당자와 대화로까지 이어진 게 236건이었다. 최소 5건의 구직 문의는 미국 및 다른 국가의 중요 기반 시설 조직으로 전달됐다”고 말했다.

원격 근무를 하는 스타트업 기술 회사인 신더도 2023년 초부터 수십 건의 허위 지원서를 받기 시작했다고 밝혔다. 일부 구직 사이트에서 오는 지원서는 약 80%가 가짜 신원을 사용한 북한 요원의 것으로 추정됐다고 회사는 밝혔다. 신더의 공동 설립자들이 미국 중앙정보국(CIA) 출신이라고 말하자 갑자기 전화를 끊어버린 구직자도 있었다고 한다.

미국 법무부는 “이런 방식으로 북한은 매년 수억달러를 벌어들이고 있다. 국제 제재를 피해 핵무기 및 탄도미사일 프로그램용 자금을 마련하고 있다”고 밝혔다. 월스트리트저널은 “경제적으로 어려움을 겪는 북한은 오랫동안 지적 재산을 훔치기 위해 사이버 스파이를 배치해 왔는데 이제는 해킹이 아니라, 원격 기술자로 급여를 받으며 은밀히 조직에 침투하고 있다”고 밝혔다. 유엔 안전보장이사회(안보리) 산하 대북제재위원회는 지난 3월 공개한 전문가 패널 보고서에서 북한의 IT 분야 기술자들이 연간 약 2억5천만(약 3천300억원)∼6억 달러(약 8천억원)의 수입을 얻은 것으로 추정했다.

김원철 기자 wonchul@hani.co.kr