ㅣ데일리포스트=김정은 기자ㅣ구글 클라우드 자회사이자 글로벌 사이버 보안업체인 맨디언트(Mandiant)가 북한 정보기술(IT) 노동자에 대한 추적 조사 결과를 발표했다.
북한 IT 노동자들은 경제제재 등을 회피하고 외화 벌이를 위해 서방의 폭넓은 업계에 위장 취업한 것으로 드러났다고 25일(현지시간) 더레코드(TheRecord) 등 외신이 보도했다.
맨디언트는 북한과 관련된 IT 노동자들을 'UNC5267'로 식별해 다양한 환경에서의 활동을 확인하고 있다. UNC5267은 2018년경부터 활동이 확인되었으며, 대부분 북한 정부에서 파견되어 중국이나 러시아에 거주하는 개인으로 구성되어 있다.
서방 특히 미국 IT업계 취업을 목표로 하는 UNC5267은 구직 시 도용한 ID를 사용해 지원하며, 거의 100% 원격근무가 가능한 직종을 선택한다. 여러 직장을 옮겨 다닌 사례도 확인됐다.
2024년 7월 보안 소프트웨어 개발 기업 '노우비포'(KnowBe4)는 채용한 엔지니어가 북한 해커였다고 보고했는데, 이때 사용된 방식처럼 스톡 이미지 서비스에 공개된 인물 사진을 편집해 사용하거나 링크드인(LinkedIn)의 고스펙 프로필을 탈취해 사용한 경우가 확인되었다.
노우비포 사례에서는 북한 해커가 스톡 이미지를 AI로 편집해 면접을 통과했다. 아래 이미지의 왼쪽이 원본이고 오른쪽이 실제로 노우비포 인사부에 제출된 가짜 사진이다.
제출한 허위 이력서를 보면 주소는 미국이지만 싱가포르·일본·홍콩 등 북미 외의 대학을 졸업했다는 특징을 보인다. 이는 학위의 진위 여부, 잠재적 고용주인 북미 기업의 검증을 방해하려는 목적으로 볼 수 있다. 이에 따라 취득한 학위와 본인이 받은 실제 교육과정이 일치하지 않는 경우가 있었다.
UNC5267은 대부분 원격근무를 원하며 피해 기업의 네트워크에 원격으로 접속해 업무를 했다. 이 과정에서 ▲GoTo Meeting(Log MeIn) ▲Chrome remote Desktop ▲AnyDesk ▲TeamViewer ▲RustDesk 등 여러 원격 관리 프로그램을 설치하는 경향을 보였다.
UNC5267과 일한 경험이 있는 팀원 및 매니저는 UNC5267은 화상 채팅 등 영상을 통한 커뮤니케이션을 꺼렸으며 대부분 업무 성과가 평균보다 낮았다고 지적했다.
찰스 카마칼 맨디언트 최고기술책임자(CTO)는 "미국 전역의 매출 상위 기업을 정리한 포천 100대 기업 수십 곳에서 북한 IT 노동자를 실수로 고용한 사례가 있었다"고 말했다.
미국 당국은 복수의 도메인 압류 등 단속을 강화하고 있다. 지난 5월 미국 법무부는 '북한 IT 노동자의 위장 취업 및 사이버 활동을 지원했다'며 5명을 사기와 불법 신분 도용 등의 혐의로 기소했다.