북한 해커 세력과 디지털 스캐머 집단이 지난 10년 넘게 기승을 부리면서 북한 정권을 지원 목적으로 수억 달러 상당의 거액을 탈취하고는 종종 각종 문제를 남긴다. 그러나 미국을 포함한 서양 여러 국가의 정부가 북한의 디지털 감시 작전을 지목하고는 북한 해커 세력을 기소했으나 종종 북한 정부 주도 악의적인 탈취 및 해커 세력 확산 행위 기소가 갈수록 더 어려워진다는 점만 분명하게 드러났다. 북한은 지난 몇 년간 미국과 세계 여러 국가 정부의 제재 대상이 되었으나 북한 정권의 금전 범죄 퇴치 노력은 각종 장벽을 직면했다.
2022년 5월, 미국 재무부와 국무부, 연방수사국(FBI)이 기업체에 북한 IT 근무자의 프리랜서 계약직 지원을 통한 특정 사기 범죄 피해 보호 대책을 갖추도록 경고하는 총 16페이지 상당의 합동 경고문을 발행했다. 북한 IT 업계 인력이 주로 지원하는 기업은 북미 대륙과 유럽, 동아시아의 부유한 기업이다. 북한 근로자가 외국 기업의 프리랜서 근무 지원을 하는 이유는 북한 정부의 자금 확보이다. 북한 지원자 모두 남한이나 중국, 일본, 동유럽, 미국 등으로 국적을 속이면서 입사 지원한다. 미국 합동 경고문은 북한 IT 업계 인력 수천 명이 이미 외국 기업의 프리랜서 근로자로 채용되었다고 경고했다. 북한 직원 중 일부는 북한 땅에서 근무한다. 그 외에 다른 이들은 주로 중국과 러시아 등 타국에서 원격 근무를 한다. 동남아시아와 아프리카에 거주하면서 원격 근무로 북한 정부의 재산을 확보하는 이들도 있다. 간혹 북한 스캐머는 합법적 지위를 지닌 다른 근로자와 하도급 계약을 체결해, 기업의 신뢰도를 강화한다.
합동 경고문에는 “북한 IT 인력이 개인적으로 연봉 30만 달러를 버는 사례도 있다. 또, 북한 IT 근로자 집단의 연봉은 총합 300만 달러 이상으로 집계됐다. 대부분 북한 정권의 경제 및 무기 개발 계획 등 안보 최우선 임무의 자금을 위한 중요한 수익 창출 경로가 된다”라고 명시되었다.
미국 기업이 인지하지 못한 상태라도 북한 직원과 계약을 체결하면, 정부 제재 위반 행위에 해당하면서 법적 책임을 묻게 될 위험성을 직면하게 된다. 그러나 북한 정부 차원의 사기 행위를 다루기 어렵다. 일반적으로 북한 직원은 금전적 보상을 받기 위한 합법적인 서류 제출을 성공적으로 마치기 때문이다. 기업 차원의 자발적 감시가 없다면, 인지하지 못한 채로 북한의 의심스러운 사기 피해에 노출된다.
북한 IT 인력의 취업 활동은 많은 기업이 문제를 인식해, 제재를 준수해야 할 필요가 제기된 시점에 강조되었다. 또한, 최근 들어 북한 IT 분야 계약직 근로자 다수가 외국 기업에 프리랜서로 취업하면서 멀웨어를 심고는 감시 공격과 지식 재산권 탈취 범죄를 저지른다는 인식이 제기되었다.
[사진=Unsplash]
애덤 메이어스(Adam Meyers) 사이버 보안 기업 크라우드스트라이크(CrowdStrike) 정보 부사장은 “북한 해커 세력이 외국 기업 면접을 보면서 프리랜서 취업 과정을 이용해, 결과적으로 멀웨어를 유포하거나 사이버 공격 환경에 접근한다”라며, “다수 기업이 북한의 위협 활동을 고려하지 않거나 대부분 북한이 말도 안 되는 허술한 작전을 펼친다고 생각하기 때문에 특히 중요하다. 실제 기업 관계자와 대화하면, 대부분 북한 IT 인재의 외국 기업 취업 활동을 위협적이라고 생각하지 않는다. 그러나 북한이 매우 능숙한 모습을 보인 것처럼 인간이 시행할 수 있는 작전이 있다. 따라서 최근의 북한 IT 인력의 프리랜서 취업 활동이 매우 중요하다”라고 설명했다.
북한 IT 인력은 철저한 교육을 받아 위협적인 활동 감지를 피하도록 한다. 또, 경고 사항을 통해 북한 IT 인력이 암호화폐와 탈중앙화 금융은 물론이고, 헬스, 피트니스, 소셜 네트워크, 스포츠, 엔터테인먼트, 라이프스타일 등 다양한 분야에 걸쳐 악성 소프트웨어와 웹사이트, 플랫폼 등을 개발한 사실에 주목할 수 있다. 북한 IT 인력은 IT 지원과 데이터베이스 관리, 모바일 및 웹 앱, 암호화폐 플랫폼 개발, 인공지능(AI)과 AR/VR 작업, 안면 인식 기술을 비롯한 여러 생체 인증 툴 개발에 능숙하다.
최근의 경고는 북한 IT 인력의 스캠 행위 경고 지표는 위협 수준이 심각하다는 사실을 시사한다. 북한의 대다수 행위가 의심스러운 디지털 계정을 동원한 비정상적인 로그인이나 IP 주소, 계약자를 피해야 한다는 일반적인 사이버 보안 관행과 중복된다. 북한 IT 인력은 개인 계정 대신 의심스러운 계정으로 결제 정보 수집, 암호화폐 결제 요청, 형식적인 입사 지원 및 문서 제출 등과 같은 행동을 하면서 짧은 기간에 작성된 채용 웹사이트의 완벽한 리뷰를 동원하기도 한다.
사이버 공격 대응 담당 전문가 대부분 미국 정부의 경고가 유용한 수준의 상세 정보와 투명성을 제공하지만, 여전히 피해 위험성을 지닌 기업이 의미 있는 대응을 펼치는 데 도움을 주기에는 부족하다고 지적한다.
사이버 보안 위협 대응 컨설팅 기업 트러스티드섹(TrustedSec) CEO 데이비드 케네디(David Kennedy)는 “항상 문제가 되는 부분은 악성 사이버 공격 세력의 공격 보호 책임을 져야 하는 당사자가 누구인지 확인하는 것이다. 항상 교묘하면서 지능적인 정부 차원의 새로운 공격 활동 대응 능력과 대응 개선 능력이 부족한 개인과 기업이 단독 책임을 져야 한다고 경고한다. 전문 보안팀을 갖춘 대기업은 정부 차원의 경고를 활용할 수 있다. 그러나 정부는 규모와 보안 능력을 떠나 누구나 활용할 수 있는 보안 태세로 전환하면서 중소기업 보안팀에도 도움을 주어야 한다”라는 견해를 피력했다.
북한의 해킹 및 금전 범죄 관련 경고와 최근 이루어진 정부 차원의 여러 논의 사항은 문제 인식 제기에 도움이 되며, 북한의 악성 활동이 실제로 발생하는 문제이면서 시급한 대처가 필요한 위협일 확률이 높다는 사실을 시사한다. 그러나 사이버 보안 기업 시스(Scythe)의 사이버 위협 정보 국장 제이크 윌리엄스(Jake Williams)는 “정부가 의도적으로 모호한 권고 사항을 발표한 듯하다. 기업에 더 구체적인 권고를 발표할수록 권고사항을 더 정확히 따르기 쉽다. 결과적으로 법적 책임을 져야 할 위험을 직면하지 않을 것이다”라고 진단했다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Unsplash]](/news/photo/202206/3974_5284_1414.jpg)
뉴스레터 신청