시큐리티팩트

[시큐리티팩트=최석윤 기자] 마이크로소프트(MS)가 북한 IT 노동자들이 개설한 것으로 추정되는 아웃룩과 핫메일 이메일 계정 3,000개를 정지시켰다고 더레코드가 3일(현지시각) 밝혔다. 이는 기업들이 고비용의 사기 수법에 대응하도록 돕기 위한 광범위한 노력의 일환이다.

마이크로소프트는 수년 동안 북한이 자국민을 미국 기업의 IT 역할에 고용하려는 시도를 감시해왔으며, 최근에는 이러한 캠페인 운영 방식에 변화가 있음을 포착했다. 특히 북한 IT 노동자들은 이제 인공지능(AI)을 적극적으로 활용하여 '도난당한 고용 및 신분증 이미지를 대체하고 북한 IT 노동자 사진을 보정하여 더 전문적으로 보이게' 만들고 있다.

음성 변조 소프트웨어 사용하고 있는 것도 관찰

마이크로소프트는 북한 IT 노동자 캠페인에 연루된 혐의로 여러 명의 북한 주민과 최소 두 명의 미국 시민이 기소된 법무부의 두 건 기소와 동시에 블로그 게시물을 통해 "우리는 그들이 음성 변조 소프트웨어를 사용하고 있다는 것도 관찰했다"고 밝혔다.

지난해 10월, 마이크로소프트의 위협 인텔리전스 부서는 북한 IT 노동자로 의심되는 이들의 실제 이미지와 AI로 강화된 이미지가 담긴 공개 저장소를 발견했다. 이 저장소에는 이력서, 작업자들이 사용하는 이메일 계정, VPN 계정을 사용하여 작업을 수행하는 방법에 대한 지침, 신원 도용을 저지르는 방법, 프리랜서 웹사이트에서 일자리를 구하는 방법, 그리고 조력자에 대한 지불 정보까지 포함되어 있었다.

마이크로소프트 연구원들은 해당 저장소 검토를 통해 "북한 IT 근로자들이 신분 도용을 한 다음, 페이스스왑과 같은 AI 도구를 사용하여 사진을 도난당한 고용 및 신분증 문서로 옮기는 것으로 보인다"고 언급했다. 또한 "공격자들은 이러한 AI 도구를 사용하여 작업자의 사진을 찍고 더 전문적으로 보이는 배경으로 이동시킨다. 그런 다음 근로자는 일자리를 신청할 때 하나 이상의 이력서 또는 프로필에 이러한 AI 생성 사진을 사용한다"고 덧붙였다.

이 캠페인을 조종하는 이들은 음성 변조 소프트웨어와 다른 AI 기술을 적극적으로 실험하고 있으며, 이는 이 계획을 모니터링하고 있는 다른 여러 사이버 보안 회사들의 평가와도 일치한다. 마이크로소프트는 아직 IT 노동자들이 AI 음성 및 비디오 제품을 사용하는 것을 직접 확인하지는 못했지만, 이러한 전술이 "북한 IT 노동자들이 직접 인터뷰를 할 수 있게 해주고, 더 이상 인터뷰를 대신해 주거나 계정 접근권을 팔아넘기는 조력자에 의존하지 않게 할 수 있다"고 경고했다.

미 FBI 16개 주 수색, 현역 미군 등 공모 확인

이번 주 초 공개된 법무부의 기소장은 북한의 방대한 음모를 더욱 분명히 드러냈다. 미 연방수사국(FBI)은 16개 주를 수색하는 한편, 미국 거주자들이 회사 노트북을 가져와 북한 주민들이 원격으로 접속할 수 있는 소프트웨어가 설치된 '노트북 농장' 29곳을 표적으로 삼았다. 법원 문서에서 여러 명의 미국 시민 공모자가 확인되었는데, 그 중 한 명은 보안 허가를 받은 현역 미군 구성원이었다.

저명한 암호화폐 조사관인 재커리 월크(ZachXBT)는 최근 조사에서 지난 1월 1일 이후 북한 IT 노동자들이 관리하는 계좌로 1650만 달러(약 225억 원) 이상의 암호화폐 결제가 이루어졌으며, 이는 월 평균 300만 달러(약 40억 원)이 넘는 금액이라고 밝혔다. 그는 소셜 미디어 게시물에 "이를 관점에서 볼 때, 지불액은 월 3000~8000 달러(약 400만 ~ 1000만 원) 범위이며, 이는 저가의 345개 직업 또는 고가의 920개 직업에 침투했음을 의미한다"고 썼다.