北 IT 근로자-美 조력자 협력, 60명 이상 미국인 신원 도용...300개 이상 미국 기업에 피해
2020년 10월부터 2023년 10월까지 최소 680만 달러의 수익을 해외 IT 근로자들에게 창출
인터넷 전화번호 및 위치식별, 원격관리도구 감시, 기업 네트워크 원격접근 차단해야
[보안뉴스 김경애 기자] 북한의 IT 인력이 위장취업으로 다양한 산업 분야에 고용된 것으로 파악됐다. 이들은 북한 정권의 수익 창출에 기여하고, 대량살상무기(WMD)와 탄도미사일 프로그램에 필요한 자금 마련에 주력하고 있다.
▲수정됐을 가능성이 있는 위협 행위자의 이력서 이미지[이미지=맨디언트]
북한의 IT 근로자들은 탐지를 피하기 위해 가짜 회사(Front Company)를 이용해 실제 신원을 숨기거나, ‘조력자’로 알려진 북한 국적이 아닌 개인들이 일자리를 구하고 유지하는 데 중요한 역할을 하고 있다. 이 조력자들은 자금 세탁, 암호화폐 송금, 회사 노트북을 자신의 거주지에서 수령 및 보관, 도용된 신원으로 고용 확인을 받는 일, 그리고 국제 금융 시스템 접근과 같은 필수적인 서비스를 제공한다.
UNC5267, 불법 급여 인출 통한 금전적 이익 창출
2018년에도 활동한 UNC5267은 현재도 활발하게 활동하며 지속적인 위협을 가하고 있다. 이들은 중앙집중식 조직이 아닌 북한 정부에 의해 파견된 개인으로 북한 조직과 연결돼 있다. 주로 중국과 러시아에 거주하며, 소수는 아프리카와 동남아시아에 머무르고 있다. 이들의 주요 임무는 미국의 기술 부문을 포함한 서방 기업에서 고수익의 일자리를 확보하는 것이다.
UNC5267은 도용된 신원을 사용해 다양한 직책에 지원하거나 계약직으로 고용되어 초기 접근 권한을 확보한다. UNC5267 운영자들은 주로 100% 원격 근무가 가능한 직책에 지원해 왔다.
북한을 위해 일하는 IT 근로자들이 동시에 여러 직업을 맡아 매달 여러 급여를 받는 것은 흔한 일이다. 한 미국 조력자는 IT 근로자들과 협력해 60명 이상의 미국인 신원을 도용하고 300개 이상의 미국 기업에 피해를 입혔다. 2020년 10월부터 2023년 10월까지 최소 680만 달러의 수익을 해외 IT 근로자들에게 창출해 주었다.
UNC5267의 활동 목표는 △피해를 입은 회사에서 불법적인 급여 인출을 통한 금전적 이익 창출 △피해자 네트워크에 대한 장기적 접근을 유지해 미래의 금전적 착취 가능성 확보 △스파이 활동 또는 파괴적 활동을 위한 접근 활용 가능성이다.
북한 원격 근로자, 코드 수정·네트워크 시스템 관리자 권한 획득
구글 클라우드 맨디언트(이하 맨디언트)는 “위장 취업한 IT 근로자(이하 북한 IT 근로자)는 주어진 직무 범위 내에서 활동하지만, 원격 근로자들은 종종 코드 수정이나 네트워크 시스템 관리를 할 수 있는 고도의 접근 권한을 얻는다”며 “이러한 허위 직원들에게 부여된 높은 권한은 심각한 보안 위험을 초래할 수 있다”고 경고했다.
위협 행위자의 이메일 주소는 이전에 IT 근로자 관련 활동에서 관찰된 바 있으며, 빠르게 웹사이트를 생성하고 배포하는 데 자주 사용되는 플랫폼인 Netlify에 호스팅된 허위 소프트웨어 엔지니어 프로필과 연결되어 있었다. 해당 프로필은 여러 프로그래밍 언어에 대한 숙련도를 주장했으며, CEO, 이사, 다른 소프트웨어 엔지니어들의 링크드인(LinkedIn) 프로필에서 도용된 것으로 보이는 이미지를 사용한 가짜 추천서를 포함했다.
멘디언트는 “의심되는 북한 IT 근로자의 Netlify 페이지에서 다른 정체성을 가진 Google Docs에 호스팅된 이력서 링크를 발견했다”며 “링크된 이력서에는 Netlify 페이지와는 다른 이름, 전화번호, 이메일 주소가 기재되어 있었다”고 밝혔다. 또한 두 이력서 사이에는 대학교, 재학 기간, 과거 직책 및 회사 경력에서도 차이가 있었다. 하지만 두 이력서 모두 ‘나는 나 자신을 보는 것보다 다른 사람들이 나를 의지하는 것을 중요하게 생각한다’라는 비슷한 유형의 문구가 있었다.
▲이력서 발췌 내용[이미지=맨디언트]
두 이력서는 전체 허위 이력서 중 일부에 불과하지만 북한 IT 근로자들이 여러 조직에 고용되기 위해 다양한 정체성을 사용하고 있음을 보여준다. UNC5267에서 사용된 이력서들의 공통적인 특징은 미국에 기반을 둔 주소와 함께 싱가포르, 일본, 홍콩 등 북미 외 지역의 대학 학력을 기재하고 있다.
맨디언트는 “많은 대학에서 외국 학생의 입학률이 낮다는 사실을 확인했으며, 이는 북미의 잠재적 고용주가 지원자의 학력을 확인하는 데 어려울 수 있음을 시사한다”며 “이력서에 기재된 교육 배경과 실제 학력 조사에서 확인된 대학 정보가 일치하지 않는 경우를 여러 차례 관찰했다”고 밝혔다. 이는 UNC5267의 이력서가 공개된 이력서와 상당 부분 중복되거나 여러 UNC5267 정체성에 걸쳐 광범위하게 재사용되고 있다는 것이다.
UNC5267은 공격 대상 회사의 노트북을 원격으로 접속한 후, 공격 수행을 위해 ‘노트북 팜’을 이용한다. 노트북 팜은 한 장소에 여러 대의 노트북을 모아놓고, 한 명의 관리자가 월별로 관리하는 시스템이다. 이 노트북들은 IP 기반 KVM 장치에 연결된다. KVM은 키보드, 비디오, 마우스를 하나로 통합하는 장치로, 이를 통해 원격으로 노트북을 제어할 수 있다.
또한, 반복된 패턴 중 하나는 노트북이 노트북 팜에 도착하자마자 여러 가지 원격 관리 도구가 설치된다는 것이다. 이는 공격자가 인터넷을 통해 원격으로 회사 시스템에 접속하고 있음을 나타낸다. 이들의 원격 관리 도구는 △GoToRemote·LogMeIn △GoToMeeting △Chrome Remote Desktop △AnyDesk △TeamViewer △RustDesk다. 원격 관리 도구 연결은 주로 Astrill VPN과 연관된 IP 주소에서 발생했으며, 이는 주로 중국이나 북한에서 유래한 것으로 보인다.
맨디언트의 조사에서 팀원들과 관리자들은 “북한 IT 근로자들이 원격으로 노트북을 운영하면서 화상통화를 피하고, 작업 품질이 평균 이하였다”고 밝혔다.
또 다른 공통점은 북한 IT 근로자들이 한 장소에 거주한다고 주장하면서도 노트북을 노트북 팜 또는 외부 조력기관과 같은 다른 장소로 배송해 달라고 요청하는 경우가 많다는 것이다. 고용 과정에서 도용된 신분, 특히 도용된 운전면허증과 연관된 주소를 사용하는 경우가 많은 것으로 확인됐다. 즉 노트북이 최종적으로 배송, 보관되는 장소와 일치하지 않는 경우가 많았단 얘기다.
북한 IT 인력 대응방안, 인터넷 전화번호 식별 등 필요
대응방안으로 맨디언트는 △전화번호를 확인해 VoIP(인터넷 전화) 번호 식별(VoIP 번호 사용은 UNC5267이 자주 사용하는 전술) △회사 노트북이 배송된 후 새로 들어오는 직원의 온보딩 과정에서 보고된 위치와 일치하는지 지리적으로 확인 △원격관리도구의 사용과 설치를 감시하고 제한 △회사에서 발급한 컴퓨터가 기업 네트워크에 원격으로 접근하지 않도록 차단, 하나의 시스템에 여러 원격관리도구가 설치되어 있는지 확인 △VPN 서비스를 이용해 기업 인프라에 접속하는 경우 감시, Astrill VPN과 같은 VPN 서비스와 연결된 IP 주소도 추가 검토 △마우스를 자동으로 움직여 화면이 잠기는 것을 방지하는 프로그램인 마우스 저글링 소프트웨어 사용 여부 감시 등을 제시했다.
이와 관련 맨디언트는 “북한 IT 근로자는 여러 노트북과 프로필에서 활성 상태를 유지하기 위해 Caffeine 마우스 저글링 소프트웨어를 사용한다”며 “노트북을 켜두는 것이 조력자의 장소에서 유용하기 때문으로, 여러 직업을 동시에 맡고 있는 북한 IT 근로자들이 온라인 상태를 유지하는 데 필수”라고 분석했다.
이어 맨디언트는 “새로 조직에 합류하는 IT 직원의 온보딩 시 노트북의 일련번호 확인을 요청하고, 이 정보는 회사 장치의 물리적 소유자라면 쉽게 제공할 수 있어야 한다”며 “하드웨어 기반 다중 인증을 사용해 회사 장치에 대한 물리적 접근을 강제해야 한다”고 강조했다.
[김경애 기자(boan3@boannews.com)]
2020년 10월부터 2023년 10월까지 최소 680만 달러의 수익을 해외 IT 근로자들에게 창출
인터넷 전화번호 및 위치식별, 원격관리도구 감시, 기업 네트워크 원격접근 차단해야
[보안뉴스 김경애 기자] 북한의 IT 인력이 위장취업으로 다양한 산업 분야에 고용된 것으로 파악됐다. 이들은 북한 정권의 수익 창출에 기여하고, 대량살상무기(WMD)와 탄도미사일 프로그램에 필요한 자금 마련에 주력하고 있다.
▲수정됐을 가능성이 있는 위협 행위자의 이력서 이미지[이미지=맨디언트]
북한의 IT 근로자들은 탐지를 피하기 위해 가짜 회사(Front Company)를 이용해 실제 신원을 숨기거나, ‘조력자’로 알려진 북한 국적이 아닌 개인들이 일자리를 구하고 유지하는 데 중요한 역할을 하고 있다. 이 조력자들은 자금 세탁, 암호화폐 송금, 회사 노트북을 자신의 거주지에서 수령 및 보관, 도용된 신원으로 고용 확인을 받는 일, 그리고 국제 금융 시스템 접근과 같은 필수적인 서비스를 제공한다.
UNC5267, 불법 급여 인출 통한 금전적 이익 창출
2018년에도 활동한 UNC5267은 현재도 활발하게 활동하며 지속적인 위협을 가하고 있다. 이들은 중앙집중식 조직이 아닌 북한 정부에 의해 파견된 개인으로 북한 조직과 연결돼 있다. 주로 중국과 러시아에 거주하며, 소수는 아프리카와 동남아시아에 머무르고 있다. 이들의 주요 임무는 미국의 기술 부문을 포함한 서방 기업에서 고수익의 일자리를 확보하는 것이다.
UNC5267은 도용된 신원을 사용해 다양한 직책에 지원하거나 계약직으로 고용되어 초기 접근 권한을 확보한다. UNC5267 운영자들은 주로 100% 원격 근무가 가능한 직책에 지원해 왔다.
북한을 위해 일하는 IT 근로자들이 동시에 여러 직업을 맡아 매달 여러 급여를 받는 것은 흔한 일이다. 한 미국 조력자는 IT 근로자들과 협력해 60명 이상의 미국인 신원을 도용하고 300개 이상의 미국 기업에 피해를 입혔다. 2020년 10월부터 2023년 10월까지 최소 680만 달러의 수익을 해외 IT 근로자들에게 창출해 주었다.
UNC5267의 활동 목표는 △피해를 입은 회사에서 불법적인 급여 인출을 통한 금전적 이익 창출 △피해자 네트워크에 대한 장기적 접근을 유지해 미래의 금전적 착취 가능성 확보 △스파이 활동 또는 파괴적 활동을 위한 접근 활용 가능성이다.
북한 원격 근로자, 코드 수정·네트워크 시스템 관리자 권한 획득
구글 클라우드 맨디언트(이하 맨디언트)는 “위장 취업한 IT 근로자(이하 북한 IT 근로자)는 주어진 직무 범위 내에서 활동하지만, 원격 근로자들은 종종 코드 수정이나 네트워크 시스템 관리를 할 수 있는 고도의 접근 권한을 얻는다”며 “이러한 허위 직원들에게 부여된 높은 권한은 심각한 보안 위험을 초래할 수 있다”고 경고했다.
위협 행위자의 이메일 주소는 이전에 IT 근로자 관련 활동에서 관찰된 바 있으며, 빠르게 웹사이트를 생성하고 배포하는 데 자주 사용되는 플랫폼인 Netlify에 호스팅된 허위 소프트웨어 엔지니어 프로필과 연결되어 있었다. 해당 프로필은 여러 프로그래밍 언어에 대한 숙련도를 주장했으며, CEO, 이사, 다른 소프트웨어 엔지니어들의 링크드인(LinkedIn) 프로필에서 도용된 것으로 보이는 이미지를 사용한 가짜 추천서를 포함했다.
멘디언트는 “의심되는 북한 IT 근로자의 Netlify 페이지에서 다른 정체성을 가진 Google Docs에 호스팅된 이력서 링크를 발견했다”며 “링크된 이력서에는 Netlify 페이지와는 다른 이름, 전화번호, 이메일 주소가 기재되어 있었다”고 밝혔다. 또한 두 이력서 사이에는 대학교, 재학 기간, 과거 직책 및 회사 경력에서도 차이가 있었다. 하지만 두 이력서 모두 ‘나는 나 자신을 보는 것보다 다른 사람들이 나를 의지하는 것을 중요하게 생각한다’라는 비슷한 유형의 문구가 있었다.
▲이력서 발췌 내용[이미지=맨디언트]
두 이력서는 전체 허위 이력서 중 일부에 불과하지만 북한 IT 근로자들이 여러 조직에 고용되기 위해 다양한 정체성을 사용하고 있음을 보여준다. UNC5267에서 사용된 이력서들의 공통적인 특징은 미국에 기반을 둔 주소와 함께 싱가포르, 일본, 홍콩 등 북미 외 지역의 대학 학력을 기재하고 있다.
맨디언트는 “많은 대학에서 외국 학생의 입학률이 낮다는 사실을 확인했으며, 이는 북미의 잠재적 고용주가 지원자의 학력을 확인하는 데 어려울 수 있음을 시사한다”며 “이력서에 기재된 교육 배경과 실제 학력 조사에서 확인된 대학 정보가 일치하지 않는 경우를 여러 차례 관찰했다”고 밝혔다. 이는 UNC5267의 이력서가 공개된 이력서와 상당 부분 중복되거나 여러 UNC5267 정체성에 걸쳐 광범위하게 재사용되고 있다는 것이다.
UNC5267은 공격 대상 회사의 노트북을 원격으로 접속한 후, 공격 수행을 위해 ‘노트북 팜’을 이용한다. 노트북 팜은 한 장소에 여러 대의 노트북을 모아놓고, 한 명의 관리자가 월별로 관리하는 시스템이다. 이 노트북들은 IP 기반 KVM 장치에 연결된다. KVM은 키보드, 비디오, 마우스를 하나로 통합하는 장치로, 이를 통해 원격으로 노트북을 제어할 수 있다.
또한, 반복된 패턴 중 하나는 노트북이 노트북 팜에 도착하자마자 여러 가지 원격 관리 도구가 설치된다는 것이다. 이는 공격자가 인터넷을 통해 원격으로 회사 시스템에 접속하고 있음을 나타낸다. 이들의 원격 관리 도구는 △GoToRemote·LogMeIn △GoToMeeting △Chrome Remote Desktop △AnyDesk △TeamViewer △RustDesk다. 원격 관리 도구 연결은 주로 Astrill VPN과 연관된 IP 주소에서 발생했으며, 이는 주로 중국이나 북한에서 유래한 것으로 보인다.
맨디언트의 조사에서 팀원들과 관리자들은 “북한 IT 근로자들이 원격으로 노트북을 운영하면서 화상통화를 피하고, 작업 품질이 평균 이하였다”고 밝혔다.
또 다른 공통점은 북한 IT 근로자들이 한 장소에 거주한다고 주장하면서도 노트북을 노트북 팜 또는 외부 조력기관과 같은 다른 장소로 배송해 달라고 요청하는 경우가 많다는 것이다. 고용 과정에서 도용된 신분, 특히 도용된 운전면허증과 연관된 주소를 사용하는 경우가 많은 것으로 확인됐다. 즉 노트북이 최종적으로 배송, 보관되는 장소와 일치하지 않는 경우가 많았단 얘기다.
북한 IT 인력 대응방안, 인터넷 전화번호 식별 등 필요
대응방안으로 맨디언트는 △전화번호를 확인해 VoIP(인터넷 전화) 번호 식별(VoIP 번호 사용은 UNC5267이 자주 사용하는 전술) △회사 노트북이 배송된 후 새로 들어오는 직원의 온보딩 과정에서 보고된 위치와 일치하는지 지리적으로 확인 △원격관리도구의 사용과 설치를 감시하고 제한 △회사에서 발급한 컴퓨터가 기업 네트워크에 원격으로 접근하지 않도록 차단, 하나의 시스템에 여러 원격관리도구가 설치되어 있는지 확인 △VPN 서비스를 이용해 기업 인프라에 접속하는 경우 감시, Astrill VPN과 같은 VPN 서비스와 연결된 IP 주소도 추가 검토 △마우스를 자동으로 움직여 화면이 잠기는 것을 방지하는 프로그램인 마우스 저글링 소프트웨어 사용 여부 감시 등을 제시했다.
이와 관련 맨디언트는 “북한 IT 근로자는 여러 노트북과 프로필에서 활성 상태를 유지하기 위해 Caffeine 마우스 저글링 소프트웨어를 사용한다”며 “노트북을 켜두는 것이 조력자의 장소에서 유용하기 때문으로, 여러 직업을 동시에 맡고 있는 북한 IT 근로자들이 온라인 상태를 유지하는 데 필수”라고 분석했다.
이어 맨디언트는 “새로 조직에 합류하는 IT 직원의 온보딩 시 노트북의 일련번호 확인을 요청하고, 이 정보는 회사 장치의 물리적 소유자라면 쉽게 제공할 수 있어야 한다”며 “하드웨어 기반 다중 인증을 사용해 회사 장치에 대한 물리적 접근을 강제해야 한다”고 강조했다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
