교묘한 '이반과 샤마르'…북한의 신종 'AI 활용 외화벌이' [이과적 사고]

[존 헐트퀴스트/구글 위협인텔리전스 그룹 수석 애널리스트 : (북한 해커의 수준을 어떻게 평가하시나요?) 그들은 아주 여러 번 저희를 놀라게 했습니다. 매우 영리한 방식으로 말이죠.]

올해 2월 미국의 보안 소프트웨어 업체가 원격 개발자 직무에 지원한 사람과 화상 인터뷰한 영상입니다.

'이반'이라는 이 지원자, 이력서에는 뉴욕 브롱크스에 거주한다고 적었습니다.

[이반 X/북한 해커 의심 인물 : 저는 11년간 테크 엔지니어로 일했고, 주로 백엔드와 프론트엔드 개발을 담당했습니다.]

버퍼링이라고 하기에는 입술 모양, 머리 모양이 순간순간 어색합니다.

딥페이크 탐지봇은 잠시 뒤 지원자 얼굴 위에 빨간색 테두리를 두르고 Fake, 가짜라고 판정했습니다.

[비제이/보안 회사 Pindrop CEO : 부자연스럽죠. 그들이 쓰는 건 '페이스 스왑'이라는 기술인데, 기본적으로 얼굴을 바꾸는 겁니다. 말하는 소리와 얼굴 움직임이 어긋나죠.]

IP 주소 역시 북한 해커들이 많이 경유하는 러시아 하바롭스크로 확인됐습니다.

두 달 뒤 이 회사는 딥페이크 탐지 등 보안 기술을 한층 강화한 뒤 새로운 채용에 나섰습니다.

지원자 중 한 명인 샤마르, 링크드인에는 미국 사우스캐롤라이나 앤더슨 대학을 졸업한 뒤, 다수의 IT 회사에서 개발자로 일한 화려한 이력이 쓰여 있었습니다.

[샤마르/북한 해커 의심 인물 : 저는 오픈AI와 관련해서 직접적인 경험이 있습니다. 아시다시피….]

이반보다 얼굴은 더 정교했고, 영어도 더 유창했습니다.

하지만 자메이카 정부 신분증으로 링크드인 신분 확인을 받았고, IP 주소도 북한 해커들이 추적을 피하기 위해 애용하는 수법으로 위장된 게 확인됐습니다.

이렇게 북한 해커로 의심되는 면접자가 올해만 6명이었습니다.

[비제이/보안 회사 Pindrop CEO : 저희가 그랬죠 "와 이 북한 IT 인력은 훨씬 고급 기술을 쓰는구나" 그는 기존의 신원 조사 업체들이 하는 검증을 통과했기 때문입니다.]

딥페이크 기술로 해외 IT 기업에 취직하는 북한 해커들의 목적은 뻔합니다.

그 회사의 기술과 데이터, 자산을 빼돌리거나, 내부망에 악성코드를 심어 협박하는 겁니다.

북한이 채용을 빌미로 해외 가상화폐 거래소 개발자들에게 기술 면접을 제안한 뒤, 수백만 달러의 가상화폐를 인출한 사례도 잇따라 보고되고 있습니다.

[존 헐트퀴스트/구글 위협인텔리전스 그룹 수석 애널리스트 : 기술 면접의 핵심은 새로운 직장을 찾는 사람이 스스로 악성코드를 다운로드하도록 설득하는 것입니다.]

이때 동원되는 게 바로 '소셜엔지니어링'입니다.

두려움이나 호기심, 신뢰 등 사람의 심리를, 첨단 AI 기술을 동원해 조작하는 이른바 '인간 해킹'인데, 보안 장치 중에서 가장 약한 고리는 바로 사람이라는 점을 노린 겁니다.

[존 헐트퀴스트/구글 위협인텔리전스 그룹 수석 애널리스트 : (해커들은) 목표 인물이 그들이 보낸 어떤 것이든 클릭하게 만들기 위해 자신들을 더 편안하게 느끼도록 유도합니다. 이 과정에서 AI가 자연스러운 대화를 돕는 도구가 되고 있죠.]

UN은 북한의 위장 취업 IT 인력이 연간 최대 6억 달러를 벌어 무기 프로그램에 돈을 댄다고 경고했고, 최근 3년간 북한이 훔친 가상화폐 규모가 약 7천억 원에 달한다는 조사도 있습니다.

누구나 쓸 수 있고, 날로 발전하는 AI 기술이 북한의 수익 창출 도구로 활용되는 겁니다.

(영상취재 : 강시우, 영상편집 : 신세은, 디자인 : 이준호·전유근·홍지월)

홍영재 기자 yj@sbs.co.kr