구글 “北 IT 인력 위장 취업, 미국 넘어 유럽으로 확산”

[아이티데일리] 북한 국적의 IT 인력을 활용한 사이버 위협 활동이 미국을 넘어 유럽 등지로 확산하고 있다는 분석이 나왔다.

구글 위협 인텔리전스 그룹(GTIG)는 2일 공식 블로그를 통해 북한 IT 인력의 위장 취업 시도가 주요 대상이었던 미국을 넘어 전 세계로 확대되고 있다고 발표했다.

구글은 지난해 9월 북한 IT 인력이 프리랜서 구인 사이트를 통해 미국 기업에 소프트웨어(SW) 개발자나 엔지니어로 취업해 불법적으로 수익을 벌어들인 사실을 포착했다. 이들이 확보한 자금은 돈세탁을 거친 뒤 북한 정권을 유지하는 데 활용됐다.

최근에는 이러한 북한 IT 인력의 위장 취업 활동이 미국을 넘어 전 세계로 확대되고 있다. 미국에서 단속 및 적발 사례가 증가함에 따라, 갈취 전술을 고도화하거나 가상 인프라를 활용함으로써 그 영역을 넓혀나가고 있는 것이다.

구글에 따르면, 지난해 말 북한의 한 IT 근로자는 위조 신분 약 12개를 사용해 유럽과 미국 전역에서 활동했다. 특히 유럽 내 방위 산업, 정부 기관에 적극적으로 취업을 시도했다. 해당 인원은 조작된 추천서를 제출하고 채용 담당자와 친분을 쌓으며 추가 신분을 활용하는 패턴을 보였다.

또 다른 북한 IT 인력은 독일, 포르투갈에서 취업을 시도하며 유럽 내 구직 웹사이트와 자본 관리 플랫폼에서 로그인 자격증명을 활용했다. 영국에서는 웹 개발부터 봇 개발, 콘텐츠 관리 시스템(CMS) 개발 등 여러 프로젝트에서 북한 IT 인력의 활동이 발견됐다. 이런 흔적들은 이들이 전통적인 웹 개발뿐 아니라 광범위한 기술 전문성을 갖췄음을 시사한다.

북한 IT 인력들은 전 세계 활동 범위를 넓히는 과정에서 다양한 국적의 신분으로 위장했다. 이탈리아, 일본, 말레이시아, 싱가포르 등 여러 국적을 빙자해 취업을 시도했으며, 특히 실제 인물과 가상 인물의 정보를 조합해 알아채기 어렵도록 만들었다.

공격 전술도 고도화되고 있다. 지난해 10월 말부터 북한 IT 인력의 갈취 시도와 공격 규모가 크게 늘어났는데, 이는 미국 내 단속·처벌 집행이 강화된 시기와 맞물려 있다. 구글은 미국 내 강화된 조치에 압박을 느낀 북한 IT 인력이 사이버 위협을 통한 수익을 유지하고자 대기업을 겨냥해 공격적인 활동을 전개한다고 풀이했다.

GTIG 제이미 콜리어(Jamie Collier) 유럽 지역 수석 고문은 “북한은 지난 10년간 다양한 사이버 공격을 자행해 왔다. 끊임없이 변화하는 공격 양상은 정권에 자금을 조달하려는 북한의 노력을 보여준다”고 설명했다.

이어 그는 “북한 IT 인력의 작전이 여태껏 성공해 온 점을 고려하면, 북한은 전 세계로 활동 범위를 넓힐 가능성이 높다. 아시아태평양 지역도 이미 예외는 아니다”라며 “이러한 공격은 사이버 위협에 대한 인식이 부족한 곳에서 더 큰 피해를 일으킬 수 있으며, 그런 면에서 아태 지역은 특히 위험성이 높은 편”이라고 경고했다.