SNS로 친분 쌓고 AI로 위장 취업…북한 신종 해킹 수법보니

북한 연계 IT 인력들이 인공지능(AI)과 합성 신원을 활용해 글로벌 기업에 위장 취업하는 수법이 더욱 고도화되고 있다는 조사 결과가 나왔다.

13일 보안 업계에 따르면 지니언스 시큐리티 센터와 그룹아이비는 최근 북한 연계 위협 그룹의 최신 공격 양상을 분석한 보고서를 각각 공개했다.

지니언스 분석 결과 북한 연계 그룹 ‘APT37’은 최근 페이스북에서 표적과 친분을 쌓은 뒤 악성코드를 유포하는 활동을 전개 중이다.

이들은 북한 출신으로 위장한 계정으로 접근해 텔레그램으로 대화 채널을 옮긴 뒤 “암호화된 군사 무기 문서를 보내주겠다”며 가짜 피디에프(PDF) 뷰어 설치를 유도했다. 이는 허위 시나리오로 상대방을 속이는 ‘프리텍스팅’ 전술로 피해자가 설치한 파일은 정상 프로그램을 변조한 악성 소프트웨어였다.

공격자는 의심을 피하고자 일본 부동산 정보 서비스의 서울지점 웹사이트를 명령제어(C2) 서버로 악용했으며 악성 파일을 이미지(JPG) 파일로 위장해 후속 명령을 실행하는 다단계 체계를 구축했다.

이 과정에서 ‘콤퓨터’와 ‘프로그람’ 등 북한식 외래어 표기가 발견됐으며 탈취 정보는 합법적 클라우드 서비스를 통해 유출됐다.

그룹아이비는 북한 IT 인력이 AI 도구를 활용해 글로벌 기업에 위장 취업하는 사례를 적발했다.

그룹아이비는 깃허브·프리랜서 마켓플레이스·포트폴리오 사이트 등 다양한 플랫폼에서 활동하는 가짜 개발자 조직 생태계를 발견했다. 이들은 합성 신원·AI 기반 입사 지원서·디지털 플랫폼 등을 활용해 기존 보안 통제망을 우회하며 기업 환경에 접근했다.

이들은 기존에 노출된 계정 외에도 리포지토리(저장소)·이메일·포트폴리오 사이트에 걸쳐 광범위한 네트워크가 있었다. 또 도구를 활용해 설득력 있는 입사 지원서를 작성하고 고용주와 소통하기도 했다.

그룹아이비는 체계적인 고용 워크플로우가 담긴 ‘합성 신원 패키지 저장소’를 가장 주목할 만한 요소로 꼽으며 해당 작전이 매우 산업화된 규모로 진행되고 있음을 보여주는 증거라고 설명했다.

장구슬 기자 jang.guseul@joongang.co.kr