점점 더 많은 '첩자'들이 회사 급여를 받아가고 IT 시스템에 침투하는 것을 막기 위해 CISO는 신규 채용 시 엄격한 심사를 수행해야 한다.
사이버 전문 인력 채용에 어려움을 겪는 CISO들은 북한 소프트웨어 개발자의 위장 취업에 대응해야 하는 낯선 난제에 직면했다.
일련의 증거에 따르면 북한 정부는 자국의 IT 인력이 가짜 신분을 이용해 원격 근무자로 위장 취업하도록 하는 방식으로 서방 기업에 적극적으로 침투하고 있다. 미국에만 국한된 상황이 아니다. 이러한 북한 IT 인력은 종종 실제 미국 시민권자로부터 도용한 위조 신분을 사용하여 프리랜서 계약이나 원격 근무를 신청한다.
이러한 수법은 핵무기 개발로 인해 금융 제재를 받고 있는 북한 정권이 불법적인 수익 창출을 창출하려는 행보의 일환이자 사이버 스파이 활동의 일환으로 분석된다.
수백만 달러 규모의 가짜 노동자 조직 적발
미국 재무부는 2022년에 이 수법에 대해 경고했다. 수천 명의 숙련된 IT 인력들이 소프트웨어 개발자 수요를 이용해 북미, 유럽, 동아시아를 포함한 전 세계 고객사로부터 프리랜서 계약을 따내고 있다는 진단이었다.
재무부는 “북한 IT 노동자들이 일반적으로 악의적인 사이버 활동과는 별개의 IT 업무에 종사한다. 그러나 계약 과정에서 획득한 접근 권한을 이용해 북한의 악의적인 사이버 침입을 지원하고 있다”라며, “이러한 IT 노동자들은 종종 해외 인맥을 활용해 프리랜서 일자리를 얻고 고객과 직접적으로 접촉하기도 한다"라고 경고했다.
북한 IT 노동자들은 한국, 중국, 일본, 동유럽 출신이거나 미국에 거주하는 재택근무자라고 자신을 소개한다. 경우에 따라 북한 IT 근로자들은 제3자 하청업체와 계약을 맺어 자신의 신분을 모호하게 만드는 경우도 있다.
재무부의 경고 이후 2년 동안 이러한 기법이 드러난 사례가 증가하고 있다. 일례로 북한 IT 노동자들이 도용한 신분을 이용해 미국 시민권자나 거주자로 위장해 300여 개의 미국 기업에 취업한 사건과 관련해 애리조나주에 거주하는 크리스티나 채프먼이 기소된 상태다.
조사에 따르면 북한 IT 전문가들은 미국 결제 플랫폼과 온라인 구직 사이트 계정을 악용해 주요 TV 네트워크, 자동차 제조업체, 실리콘밸리 기술 회사, 항공 우주 회사 등 300개 이상의 회사에서 일자리를 확보했다. 미국 검찰은 “이들 기업 중 일부는 북한 IT 종사자 그룹에 의해 의도적으로 표적이 되었다”라며, “미국 정부 기관 두 곳을 공격했으나 실패한 사례도 있었다”라고 밝혔다.
2024년 5월에 공개된 미 법무부 기소장에 따르면 채프먼은 자신의 집에서 해외 IT 노동자들의 컴퓨터를 호스팅하는 '노트북 팜'을 운영하여 컴퓨터가 미국에 있는 것처럼 보이게 했다. 49세의 채프먼은 급여 수표를 받아 위조했으며, 자신이 관리하는 은행 계좌를 통해 급여를 자동 이체하는 방식으로 돈을 세탁했다. 검찰에 따르면 관련 해외 노동자들 중 상당수가 북한 출신이었다.
노동 대가로 약 680만 달러가 지급되었으며, 이 중 대부분은 신분을 도용하거나 빌린 60명의 실제 미국 시민 명의로 세무 당국에 허위로 신고됐다. 미국 당국은 채프먼의 사기와 관련된 자금과 19명 이상의 해외 IT 노동자가 받은 임금과 돈을 압수했다.
구직 플랫폼에 대한 방심
키예프에 거주하는 우크라이나 국적의 올렉산드르 디덴코(27세)는 수년에 걸쳐 미국 IT 구직 플랫폼과 미국 소재 송금업체에 가짜 계정을 만든 혐의로 기소됐다. 법무부는“디덴코가 북한인으로 추정되는 해외 IT 노동자들에게 계정을 판매했고, 해외 IT 노동자들은 이 가짜 신분을 이용해 의심하지 않는 회사에 구직 신청을 했다”라고 밝혔다.
지난 5월 폴란드에서 체포된 디덴코는 미국 범죄인 인도 절차에 처해 있다. 미국 당국은 디덴코의 회사 업웍셀닷컴(upworksell.com) 도메인을 압수했다.
노우비4(KnowBe4)가 보안 교훈
채용 기업 관점에서 이러한 유형의 불법 행위가 어떻게 진행되는지는 지난 7월 보안 인식 벤더 노우비4가 자신도 모르게 북한 IT 스파이를 고용했다고 솔직히 인정하면서 드러났다.
해당 스파이는 자신의 업무용 노트북에 맬웨어를 삽입한 후 사건이 감지되자 곧바로 잠적하고 보안 대응 직원과의 접촉을 거부한 것으로 밝혀졌다.
노우비4의 내부 IT AI 팀을 위해 채용된 이 소프트웨어 엔지니어는 비디오 기반 면접과 신원 조회를 통과했다. 이 구직자는 도용된 미국 기반 신원을 사용하고 있었다. 이후 지원서의 사진은 스톡 이미지 사진에서 AI 도구를 사용하여 '보정'된 것임이 드러났다.
이 신입 사원은 합류 절차를 완료하지 못했기 때문에 노우비4의 여러 시스템에 액세스할 수 없었고, 그 결과 데이터 유출은 발생하지 않았다. 회사는 “불법적인 접근이 이루어지지 않았으며 노우비4 시스템에서 데이터가 손실, 손상 또는 유출되지 않았다”라며, 이 사건을 ‘학습 경험’으로 바라보고 있다고 전했다.
일자리를 찾는 '수천 명'의 북한 IT 노동자
여러 증거에 따르면 노우비4는 불법적인 북한 IT 노동자들의 표적이 된 많은 조직 중 하나일 뿐이다. 지난해 11월 보안 업체 팔로알토는 북한의 위협 행위자들이 미국 및 기타 지역에 기반을 둔 조직에 적극적으로 일자리를 구하고 있다고 보고했다.
사이버 스파이 활동을 조사하는 과정에서 팔로알토의 연구원들은 가짜 이력서, 면접 질문과 답변, 도난당한 미국 영주권 스캔본, 미국 기업의 IT 채용 공고 사본 등이 포함된 깃허브(GitHub) 리포지토리를 발견했다. 팔로알토 측은 “이 파일의 이력서에는 광범위한 미국 기업과 프리랜서 구인 시장이 포함되어 있었다”라고 밝혔다.
구글이 소유한 위협 인텔리전스 회사인 맨디언트도 작년 “수천 명의 북한 출신 고도로 숙련된 IT 인력이 일자리를 찾고 있다"라고 보고했다. 맨디언트는 “이 인력들은 전 세계 고객사로부터 프리랜서 계약을 맺고 ... 주로 합법적인 IT 업무를 수행하지만, 북한의 악의적인 사이버 침입을 위해 접근 권한을 오용하고 있다”라고 설명했다.
워너크라이 개발과 8,100만 달러 규모의 방글라데시 은행 공격에 연루된 악명 높은 북한 사이버 스파이 박진혁의 사례도 있다. 그가 사용한 이메일 주소가 구직 사이트에 올라온 사실이 추후 확인됐다. 맨디언트는 “소니 공격(2014년)과 체포 영장 발부 사이의 기간에 구직자 플랫폼에서 박진혁이 [다른 북한의] IT 종사자들과 함께 관찰됐다”라고 밝혔다.
최근 크라우드스트라이크는 '페이머스 천리마'라는 이름의 북한 단체가 100개 이상의 기업에 위장 IT 전문가를 침투시켰다고 보고한 바 있다. 주로 미국의 항공우주, 방위, 소매, 기술 조직을 공격 대상으로 삼은 이 북한 기반 그룹의 가짜 직원들은 일자리를 유지할 정도의 성과를 내는 한편, 합법적인 원격 모니터링 및 관리(RMM) 도구를 설치하여 수많은 IP 주소가 피해자의 시스템에 연결되도록 하고 데이터 탈취를 시도했다.
까다로운 탐지
'잠재적 위장취업자'들은 흔히 챗봇을 사용해 이력서를 맞춤화하고, 나아가 AI가 만든 딥페이크를 활용하여 실제 사람으로 위장한다.
미 공군 정보 분석가 출신으로 현재 시스딕의 사이버 보안 전략가로 일하고 있는 크리스탈 모린은 CSO온라인에 북한이 주로 미국 정부 기관, 방위 계약업체, IT 인력을 고용하는 기술 기업을 표적으로 삼고 있다고 전했다. 그는 “유럽과 다른 서방 국가에 있는 기업들도 위험에 처해 있다. 북한 IT 노동자들은 국가 무기 프로그램 자금 조달을 위한 재정적 이유나 사이버 스파이 활동을 위해 일자리를 구하고 있다”라고 말했다.
모린은 이어 “어떤 경우에는 기술 회사에 취직하여 지적 재산을 훔쳐서 자신들만의 모조 기술을 만드는 데 사용하기도 한다”라며, “이들은 소프트웨어 개발 분야에서 실제 기술을 가진 사람들로, 적발이 쉽지는 않다"라고 덧붙였다.
블랙버드닷에이아이의 공동 설립자이자 CTO 나우샤드 우즈자만은 CSO온라인에 실시간으로 동영상을 딥페이크하는 기술이 “아직은 없다”면서도 기술의 발전으로 인해 위조 지원자들이 활동이 편해지고 있다고 진단했다. 그는 “누군가가 다른 사람으로 위장할 수 있는 스냅챗 필터 같은 것을 그려볼 수 있겠다. 그러나 이러한 기술이 조만간 개발되더라도 영상에 흔적이 남을 가능성이 높다”라고 말했다.
대응 방안
IT 관리자와 CISO는 인사부 동료들과 협력하여 지원자를 더욱 면밀히 조사해야 한다. 추가적인 기술적 통제도 도움이 될 수 있다. 다음은 프로세스 개선을 위한 몇 가지 권장 사항이다.
• 예비 원격 근무 지원자와 실시간 화상 채팅을 진행하여 지원자의 업무 프로젝트에 대해 질문.
• 이력서나 이력서에서 경력이 일치하지 않는 부분이 있는지 확인.
• 추천인에게 전화하여 이메일로 전송된 추천서를 확인.
• 제공된 거주지 주소 확인.
• 액세스 제어 및 인증 프로세스 검토 및 강화.
• 원격 액세스 업무를 위해 제공된 장비 모니터링.
채용 후에도 계속 확인해야 한다. 노우비4에 따르면 특히 회사 시스템에 액세스하기 위해 VPN 또는 가상 머신을 교묘하게 사용하는 것을 경계해야 한다. VoIP 번호 사용과 디지털 발자국이 부족한 연락처 정보도 다른 위험 신호라고 이 업체는 덧붙였다.
매니지드 서비스 제공업체 헌트리스(Huntress)의 수석 기술 채용 담당자인 데이비드 펠리뇨는 CSO온라인에 다음과 같이 말했다.
“우리는 지원자가 다른 사람의 프로필을 도용하여 자신의 것으로 주장하거나 단순히 현재 위치에 대해 거짓말을 하는 등 신분이 너무 그럴듯해 보이는지 확인하기 위해 여러 단계의 프로세스를 거친다. 먼저 지원자가 현재 이력서와 대조할 수 있는 링크드인 프로필을 제공했는지 확인한다. 프로필 위치가 이력서와 일치하지 않는 경우(이력서에는 뉴욕이라고 되어 있지만 링크드인 프로필에는 폴란드라고 된 사례 등) 가짜 이력서임을 알 수 있다. 또 이 사람이 최근에 링크드인 프로필을 만들었고 인맥이나 팔로워가 없는지 확인한다.”
헌트리스는 이 밖에도 지원자가 제공한 전화번호가 유효한지 확인하고, 구글에서 지원자에 대해 검색한다. 펠리뇨는 “위의 모든 과정을 통해 많은 시간을 절약할 수 있다. 일치하지 않는 것이 발견되면 가짜 프로필임을 알 수 있다”라고 말했다.
노우비4의 CISO인 브라이언 잭은 모든 조직이 가짜 원격 직원 및 계약자에 대해 걱정해야 한다며, “CISO는 조직의 채용 프로세스를 검토하고 전반적인 위험 관리 관행에 채용이 포함되어 있는지 확인해야 한다”라고 강조했다.
잭은 이어 위장취업자 탐색을 위해 채용팀을 교육할 필요도 있다고 조언했다. 가장 좋은 방법은 정부에서 발급한 신분증을 지참하고 후보자를 직접 만나거나 신원 조회 회사와 같은 신뢰할 수 있는 에이전트를 이용하는 것이다. 위장취업자들이 AI를 악용하는 사례가 많기에 더욱 그렇다는 설명이다.
“채용 관리자로서 내가 애용하는 기법 중 하나는 AI가 즉석에서 대답하기는 어렵지만 진짜 지원자라면 쉽게 대답할 수 있는 질문을 하는 것이다"라고 말했다. ciokr@idg.co.kr