시큐리티팩트
댓글 0
기사입력
: 2025.05.13 22:42
[시큐리티팩트=김상규 기자] 전 세계가 사이버 해킹으로 골머리를 앓고 있는 가운데 북한 해킹 조직이 한국과 미국서 활개치고 있다. 사이버 보안 기업 '지니언스'는 12일 북한 해킹 조직 'APT37'이 지난 3월 국내 대북 분야 활동가들을 상대로 한 악성 이메일을 보냈다고 밝혔다.
지니언스 시큐리티 센터가 해당 공격을 '작전명. 토이박스 스토리'로 이름 짓고 분석한 결과, 해당 메일은 국가안보전략 싱크탱크 행사, 러시아 파병 북한군에게 보내는 편지 등을 가장해 수신자를 현혹한 것으로 드러났다. 아울러 싱크탱크 행사를 가장한 메일에는 '관련 포스터. zip'이라는 이름의 파일이 담겨 있었다. 이와 관련 지니언스는 “해당 파일에서 특정 사이트로 이동할 수 있는 링크(LNK)를 실행할 경우 내부에 은닉된 악성코드가 실행됐다”고 설명했다.
또한 북한군에 보내는 편지를 가장한 이메일에도 'zip' 형태의 파일 중 악성코드 기능을 유도하는 링크가 담긴 것으로 드러났다. 보안업계 관계자는 “해당 사례와 더불어 선거·통신사 해킹 등 사회 이슈와 맞물린 사이버 보안 위협이 증가할 수 있다”며 주의를 당부했다.
북한 사이버 요원들은 미국에서도 미국인의 신원을 도용해 외화벌이를 시도하는 사례가 크게 늘고 있다. 미국 정치전문매체 폴리티코는 12일(현지시간) 이러한 북한 해커 조직의 활동은 미국에 정보보안 인력이 부족한 데다가 코로나19 팬데믹 이후 원격근무가 늘어난 데 따른 것이라고 전했다.
이 매체는 포천 500대 기업 중에서도 공격 대상이 된 사례가 많다고도 보도했다. 구글 클라우드 산하 자회사인 맨디언트의 찰스 카머칼 최고기술책임자(CTO)는 최근 언론 브리핑에서 "포천 500대 기업의 많은 최고정보보안책임자(CISO)들과 이야기를 나눴는데, 북한 정보기술(IT) 인력 문제에 대해 내가 이야기를 나눈 거의 모든 이들은 북한 IT 인력을 한 명 이상 고용한 적이 있다고 인정했으며 10여명, 수십명인 경우도 있었다"고 말했다.
같은 브리핑에서 구글 클라우드의 이안 멀홀랜드 CISO는 "우리 (채용) 파이프라인에서 북한 IT 인력을 본 적이 있다"고 말했다. 다만 지원자들이 심사 단계에서 적발된 것인지 아니면 실제로 채용까지 됐던 것인지는 구체적으로 밝히지 않았다.
사이버보안업체 센티넬원은 북한 IT 인력 프로그램과 관련된 구직 신청 약 1천건을 받았다고 지난달에 공개했다. 미국 국토안보부(DHS) 산하 사이버보안 및 인프라 보안국(CISA) 국장을 지내고 지금은 센티넬원 사이버보안 전략 담당 부사장으로 재직 중인 브랜던 웨일스는 “북한이 무기 프로그램에 쓸 자금을 모으기 위해 전에 본 적이 없는 ‘규모와 속도’로 이런 위장취업 전략을 쓰고 있다”고 설명했다.
북한 사이버 요원들은 실제로 존재하는 미국인의 사회보장 기록, 여권 정보, 신분증 정보, 주소 등 개인정보를 도용해 신원을 사칭하고 가짜 링크트인 프로필을 만드는 것으로 전해졌다. 이런 가짜 '페르소나'는 수천 개에 달한다. 다만, 가짜 페르소나들의 배후에 있는 북한 사이버 요원들의 규모는 정확히 파악되지 않고 있다.
이들은 가짜 신원을 이용해 보수가 후한 원격근무 IT 일자리에 한꺼번에 지원하거나 채용 담당자와 연락을 취하는 경우가 많다. 이들은 서류심사를 통과해 화상 면접 단계까지 가면, 인공지능(AI)으로 딥페이크를 활용해 사칭 피해자의 외모와 음성을 실시간으로 만들어내 면접을 보는 것으로 파악됐다.
북한 사이버 요원은 원격근무 취업에 성공하면 실제로는 미국이 아니라 북한이나 중국 등 다른 지역에서 일하면서 업무용으로 지급받은 노트북은 미국에서 작동되도록 해놓는다. 이 과정에는 돈을 받고 미국 내 주소를 빌려주는 미국인들이 협조하며, 이들은 한 집에 여러 대의 노트북 PC를 설치해놓고 가동하는데 이런 시설은 '랩톱 농장'이라고 불린다.
이런 수법으로 북한 사이버 요원이 한 개 일자리에서 원격근무로 벌어들일 수 있는 돈은 연간 최대 30만 달러(4억2천만원) 수준이다. 미국의 보안 전문가들은 “이렇게 북한 사이버 요원들이 벌어들이는 돈이 무기 프로그램에 직접 사용되거나 김정은 일가에게 전달되며 그 액수가 수백만 달러 내지 수천만 달러에 이를 것”으로 보고 있다.
연합뉴스는 폴리티코 보도를 인용해 이런 계획에 속아 넘어가 북한 사이버 요원들을 채용하고 이들에게 내부 IT 시스템에 접근 권한을 제공한 미국 기업 중 상당수는 피해 사실을 알고 나서도 신고나 공개를 꺼리는 경우가 많다고 전했다.
