‘신분위장’ 북 해커, 세계 100대 기업 수십곳 침투

가짜 회사 통해 신분 위장, 원격 IT 직무 맡아
사이버 공격 노린 미 IT기업 접근권 확보 목표
구글 사이버 보안 보고서… 기업들 눈뜨고 속아

아이스톡(iStock)

전 세계 매출 최상위권 회사인 ‘포천 100대 기업’ 수십 곳이 자신도 모르게 북한 공작원을 원격 IT 직군에 채용한 것으로 파악됐다. 가짜 신분으로 주요 기업에 침투한 이들 직원은 중국과 러시아 등 해외에서 활동하며 북한 정부가 운영하는 해커 조직의 사이버 공격을 돕는 역할을 맡고 있다.

구글 사이버 보안 조직 ‘맨디언트’의 찰스 카마칼 CTO(최고기술책임자)는 23일(현지시간) 성명에서 “포천 100대 기업 중 수십 곳이 실수로 북한 IT 노동자를 고용했다”고 밝혔다고 사이버 보안 전문 매체 ‘더 레코드’가 보도했다.

카마칼은 “북한 IT 노동자들은 종종 여러 조직 소속으로 동시에 여러 직업을 가지고 있다”며 ”종종 생산 시스템에 대한 고급 접근 권한이나 애플리케이션 소스코드를 변경할 수 있는 권한을 가진다”고 설명했다.

그는 “이들 직원이 접근 권한을 사용해 사내 시스템이나 소프트웨어에 ‘백도어’(비인가 접근경로)를 심을 수 있다”며 “모든 포천 100대 기업은 이 문제에 대해 생각해야 한다”고 경고했다.

북 IT공작원들, 대량살상무기 자금 조달

맨디언트는 2022년부터 북한을 위해 활동하는 IT 근로자들을 추적·보고해왔다. 이들은 북한사람이 아닌 것처럼 가장해 다양한 산업에 직원으로 채용된 뒤 북한 정부에 수익을 안겨주는 임무를 맡고 있다.

맨디언트는 이날 발표한 보고서에서 “이는 특히 제재를 회피하고 대량살상무기(WMD)와 탄도미사일 프로그램을 위한 자금을 조달하기 위한 것”이라며 “이 근로자들은 취업으로 얻은 특권적 접근 권한을 악의적 사이버 침입에 활용하고 있다는 사실이 맨디언트와 다른 기관들에 의해 입증됐다”고 설명했다.

글로벌 기업에 침투하는 북한 공작원들은 추적을 피하기 위해 다양한 방법을 사용한다. 채용 과정에서 신원을 숨기는 데는 ‘프론트 컴퍼니’(위장 회사)를 활용한다. 프론트 컴퍼니는 실제 목적을 숨기고 다른 활동을 위한 것처럼 설립된 회사를 말한다. 겉으로는 합법적 사업체로 보이지만 실제로는 불법 활동을 감추거나 지원하기 위해 운영된다.

최근 미국에서 발각된 사례에서는 ‘조력자’로 불리는 제3국 출신 개인이 등장한다. 조력자는 북한 IT 공작원이 기업에 침투하고 임무를 수행하는 데 중요한 역할을 하는 이들이다. 도난당한 신원을 사용해 채용 검증을 통과하게 해주고 해외에 있는 북한 공작원 대신 자신의 집에서 회사 노트북을 받거나 보관해준다. 자금이나 암호화폐를 세탁하고 북한이 이용할 수 없는 국제 금융 시스템에도 접근해준다.

한 미국인 조력자는 2020년 10월부터 2023년 10월까지 북한 IT 공작원들과 일하며 60명 넘는 미국인의 신원을 도용한 것으로 조사됐다. 그는 이런 방식으로 300개 이상 미국 회사에 피해를 주고 북한 측에는 최소 680만 달러(약 91억원)을 벌도록 도왔다.

북한이 해외로 파견한 IT공작원들

북한 공작원으로 의심되는 IT 근로자들의 활동이 처음 감지된 건 2018년이다. 맨디언트는 이들을 ‘UNC5267’이라는 코드명으로 분류해 추적한다. “UNC5267는 현재까지도 매우 활발하게 활동하면서 지속적인 위협을 제기하고 있다”며 “중요한 점은 UNC5267이 중앙화한 전통적 위협 집단이 아니라는 것”이라고 맨디언트는 설명했다.

이들은 북한 정부가 해외로 파견한 개인이다. 주로 중국과 러시아에 거주하고 일부는 아프리카와 동남아시아에 있다고 한다. 임무는 미국 IT 부문을 포함한 서구 회사에서 고수익 일자리를 확보하는 것이다. 침투한 회사에서 급여를 받아 북한 정부에 조달하는 게 일차 목표라는 얘기다. 나아가서는 IT기업 네트워크에 대한 중요 접근 권한을 얻어 자금을 빼돌리고 첩보 활동이나 사이버 공격에 사용하는 것도 주요 목표로 꼽힌다.

맨디언트는 “이 원격 근로자들은 종종 코드를 수정하거나 네트워크 시스템 관리할 수 있는 고급 접근 권한을 얻는다”며 “이들 가짜 직원에게 부여된 고급 접근 권한은 상당한 보안 위험을 초래한다”고 경고했다. 북한 IT 공작원들은 남의 신분을 도용해 다양한 직책에 지원하거나 계약직으로 회사에 침투한다. 주로 100% 원격근무를 하는 직책에 지원한다. 맨디언트는 “이들이 다양한 분야와 산업에서 복잡한 작업을 수행하는 것을 관찰했다”며 “북한 IT 근로자가 한 번에 여러 직업을 수행하면서 매달 여러 급여를 받는 일은 드문 일이 아니다”라고 전했다.

엉터리 이력서… 반복되는 이메일주소

맨디언트는 북한 IT 공작원들이 원격 직무에 지원하기 위해 제출한 허위 이력서를 다수 확인했다. 한 이력서에 기재된 이메일 주소는 네틀리파이(Netlify)라는 플랫폼에 게시된 가짜 소프트웨어 엔지니어의 프로필(이력)과 연결됐다. 그는 여러 프로그래밍 언어에 능숙하다고 주장하면서 기업 CEO와 다른 소프트웨어 엔지니어들의 프로필에서 도용한 이미지와 가짜 추천 글을 프로필에 올려놓고 있었다. 네틀리파이는 빠르게 웹사이트를 만들어 배포하는 데 쓰인다.

구글 맨디언트 보고서에 삽입된 북한 IT 공작원의 위장 신분 이력서 예시. 구글 맨디언트 보고서 발췌

또 다른 신원을 담은 이력서로 연결되는 클라우드 문서 링크도 발견됐다. 이 이력서에 적힌 이름과 전화번호, 이메일주소는 네틀리파이에 올린 정보와 달랐다. 출신 대학과 재학 연도, 과거 직책과 회사 경력도 달랐다. 두 이력서에는 “나 자신보다는 다른 사람들이 나에게 의존하는 것이 더 중요하다”라는 문구가 조금 다른 방식으로 포함돼 있었다.

맨디언트는 “두 이력서는 우리가 식별한 허위 이력서의 일부에 불과하지만 북한 IT 근로자들이 여러 인물을 사용해 다수 조직에 취업하려고 시도하고 있음을 보여주는 증거”라고 설명했다.

UNC5267의 이력서에서 반복적으로 나타나는 특징 중 하나는 미국 기반 주소와 싱가포르 일본 홍콩 같은 북미 외 국가의 교육 자격을 결합한 것이라고 한다. 북미 지역 고용주가 해외 기관에 확인하거나 연락하는 것을 방해하기 위한 전략일 가능성이 있다. 기재된 대학이 이력서에 적힌 등록 기간과 취득 학위 프로그램 등 교육 배경과 일치하지 않는 사례도 자주 관찰됐다. 공개된 이력서와 중복되거나 한 이력서가 여러 인물에 걸쳐 재사용되기도 했다.

일하라고 보낸 회사 노트북에 원격 접속

UNC5267은 일을 하기 위해 ‘랩톱 팜’(노트북 농장)에 있는 피해 회사 노트북에 원격으로 접속하는 경우가 많았다. 랩톱 팜은 북한 공작원들이 다른 나라에서도 임무를 수행할 수 있도록 회사 노트북을 대신 받아 관리해주는 장소를 말한다. 일반적으로 한 명의 조력자가 여러 장치를 한 곳에 배치하고 월별로 보수를 받는다. 북한 IT 공작원들은 자신이 거주한다고 밝힌 주소와 다른 장소로 노트북 배송을 요청하는 패턴을 보였다.

2018년 한국폴리텍대학 서울강서캠퍼스에서 열린 가상화폐거래소 해킹방어 대회. 뉴시스

여러 관련 사건에서 노트북은 랩톱 팜에 배송된 직후 여러 원격 관리 프로그램이 설치된 것으로 나타났다. 개인이 인터넷을 통해 원격으로 기업 시스템에 접속한다는 의미다. 이는 북한 공작원들이 채용 당시 밝힌 거주지에 실제로 살지 않을 가능성을 시사한다. 원격 관리 프로그램을 연결한 위치는 중국이나 북한과 관련이 있는 것으로 추정됐다. 북한 IT 공작원을 채용한 회사 측은 그들이 화상 연결을 꺼리고 평균 이하 업무를 보였다고 입을 모았다.

맨디언트는 기업들이 더 엄격한 신원 확인 절차를 밟도록 당부했다. 원격 직원을 채용하는 경우 화상 인터뷰를 진행하고 신원 증명을 공증받아 제출하도록 하는 방안 등을 제시했다. 회사 노트북이 작동하는 위치가 직원이 회사에 밝힌 주소와 일치하는지도 확인하도록 했다.

맨디언트 수석 분석가 마이클 반하트는 “이 IT 근로자들은 언제든지 랜섬웨어를 배포하고 미국과 유럽 전역의 주요 조직을 빠르게 무력화할 수 있는 명령을 받을 수 있다”고 우려했다.

강창욱 기자 kcw@kmib.co.kr

GoodNews paper ⓒ 국민일보(www.kmib.co.kr), 무단전재 및 수집, 재배포 및 AI학습 이용 금지