유령회사·가짜 신분증·딥페이크 면접까지...북한, 서방 기업 원격 채용 틈 파고들어
미국 전역 16개 주서 노트북 농장 29곳 적발...300곳 넘는 기업이 ‘가짜 개발자’ 고용
메릴랜드·애리조나 공범들 잇단 실형...자택에 노트북 90대 쌓고 원격 접속 제공

[보안뉴스 여이레 기자] 최근 아마존이 키보드 입력 지연이라는 미세한 징후를 단서로 북한 불법 IT 근로자를 색출한 사실이 알려졌다.

미국 안에서 작업하는 인력이 입력하는 키보드 데이터는 미국 워싱턴주 시애틀 아마존 본사에 도달하는데 수십밀리초(ms) 정도 걸리는데, 어떤 직원은 이 시간이 110ms, 약 0.11초나 됐다. 미국이 아닌 다른 곳에서 작업하는 것으로 의심되는 정황이다.


[자료: gettyimagesbank]

조사 결과 이 직원이 본사 시스템에 접속하는데 쓰인 기기는 미국에 있었지만, 중국에서 원격제어 되었던 것으로 드러났다. 아마존은 곧바로 이 직원의 접근을 차단했다.

이는 수시로 터지는 북한 ‘IT 일꾼’ 위장 취업 사건의 여러 사례 중 하나일 뿐이다. 올해도 북한 IT 노동자 위장 취업은 사이버 보안과 안보 분야의 주요 이슈였다.

강도 높은 수사와 단속에도 불구하고 북한의 IT 인력 해외 위장 취업 공세는 끊이지 않는 실정이다. 스티븐 슈미트 아마존 최고보안책임자(CSO)는 최근 뉴욕에서 열린 보안 행사에서 “올해 4월 이후 북한과 연계된 것으로 의심되는 채용 지원 1800건 이상을 차단했다”고 밝혔다.

해외 IT 인력은 북한 체제 동앗줄
새로운 수법을 끊임없이 개발해 위장 취업하려는 북한과 이를 막으려는 해외 정부와 수사 당국, 기업들의 술래잡기인 셈이다.

이는 위장취업한 IT 인력이 벌어오는 외화가 국제 경제에서 고립된 북한 체제에 주요한 수익이 되기 때문이다. 북한 정부는 UN 제재를 회피해 이 같은 불법 IT 인력 취업으로 핵무기 개발이나 통치에 필요한 자금을 모으고 있다.

미국 재무부와 법무부, 연방수사국(FBI)은 북한 IT 인력이 벌어들이는 수익을 불법 대량살상무기 및 탄도미사일 프로그램의 중요한 재원으로 규정하고 있다. UN 안전보장이사회 대북제재위원회 전문가패널 보고서에 따르면, 북한 위장 IT 근로자들로 인한 수익은 연간 2억5000만(약 3700억원)~6억달러(약 8880억원)로 추정된다.

북한 원격 IT 근로자들은 제재 회피형 외화벌이이자, 사이버 안보 위협이라는 점에서 더욱 심각한 위험이다. 단순한 프리랜서 사기가 아니라 제재를 우회해 대량살상무기와 탄도미사일 개발 프로그램에 자금을 대고, 글로벌 기업 내부로 침투해 정보를 탈취하고 사이버 공격 기반을 다지는 전략적 안보 위협으로 평가된다.

신분 훔치고 AI 딥페이크로 위장해 취업
북한 IT 근로자가 겉으론 정상적 앱·웹 개발, 서버 관리 업무를 수행하는 한편으로, 악성코드를 심고, 내부 시스템 정보와 지식재산권을 탈취하는가 하면, 개인정보와 금융 데이터를 유출하는 등 내부에서 사이버 작전을 병행한 사례도 보고됐다.

북한 IT 노동자들은 중국·러시아·동남아 등에 세운 유령회사와 현지 공범을 발판으로 서방 기업에 원격 프리랜서 개발자 혹은 정규직 엔지니어로 위장 취업하는 수법을 반복하고 있다. 가짜 신분증이나 훔친 신분, 빌린 신원을 활용해 국적과 거주지를 위장하고, 복수 계정으로 여러 기업·프로젝트에 동시 지원하는 방식도 확인됐다.

최근 체포된 미국 메릴랜드주 거주자 민 푸옹 응옥 봉(Minh Phuong Ngoc Vong) 사례가 대표적이다. 그는 2021~2024년 자신의 신원을 이용해 북한 국적자들이 미국 내 다수 기업의 소프트웨어 개발직에 취업하도록 도운 혐의로 징역 15개월형을 선고받았다.

북한 IT 인력은 훔치거나 불법 입수한 미국 및 제3국 신분증, 사회보장번호, 세금 식별번호 등을 이용해 ‘가짜 미국인 개발자’ 프로필을 만든 뒤, 글로벌 채용 플랫폼과 링크드인을 통해 원격 개발·시스템 관리·앱 개발 등의 구인 공고에 지원한다.

면접 단계에선 AI가 보정한 이력서와 포트폴리오, 딥페이크 화상 인터뷰까지 동원해 고용주의 신원 확인을 통과한다. 채용 후엔 회사가 보낸 노트북PC를 미국·중국·러시아 등지의 공모자가 보관하며 북한 인력에게 원격 접속 권한을 넘겨주는 방식으로 실체를 숨긴다.

현지인 꼬드겨 노트북 농장 구축
미국 현지에서 이런 노트북PC를 모아 놓은 곳을 ‘노트북 팜’(Laptop farm)이라고 한다. 노트북PC 농장이란 뜻이다. 북한 IT 노동자들이 해외에서 원격으로 접속해 마치 미국 등 현지에서 직접 근무하는 것처럼 위장하는 범죄 인프라다.


▲노트북 농장 [자료: 미 법무부]

수사 당국은 미국 내에서 이런 노트북 농장을 16개 주 29곳에서 적발했다. 여러 북한 IT 노동자가 이 장비들을 나눠 쓰며 수십 내지 수백 개 기업에 동시에 위장 취업한 것으로 드러났다.

11월엔 북한 불법 IT 근로자 취업 사기와 암호화폐 탈취 계획을 도운 혐의로 기소된 미국·우크라이나 국적 피의자 5명이 유죄를 인정했다. 이들은 미국 현지에 페이퍼컴퍼니와 노트북 농장을 세우고 자신의 계정과 회사 명의, 은행 계좌를 북한 IT 인력에게 제공하는 대가로 수수료를 받은 것으로 밝혀졌다.

또 애리조나주에 사는 크리스티나 채프먼은 노트북 농장 등을 이용해 북한 정부를 위한 전신 사기와 신분 도용 등을 한 혐의로 징역 102개월의 중형을 선고받았다. 채프먼은 2020-2023년 자택에서 북한 노동자들의 원격 취업에 사용된 노트북PC 90여 대를 관리하며 노트북 농장을 운영했다. 채프먼의 노트북 농장을 통해 북한 IT 인력을 고용한 미국 기업은 300곳 이상이며 주요 방송사와 실리콘밸리 기업, 항공우주 업체들도 포함됐다.

이 같은 ‘취업 공작’을 주도하는 북한 조직 및 인력도 제재 대상이다. 앞서 미 재무부는 7월 북한 군수공업부 산하 위장 회사인 조선소백수무역회사와 김세운, 조경훈, 명철민 등 3명을 제재 명단에 올렸다. 8월엔 러시아 국적 결제 담당자와 중국 선양 신풍리네트워크기술유한공사, 신진무역회사 등이 추가 제재 대상이 됐다.

탈북민이자 영국에서 북한 인권 활동을 하는 박지현 아시아태평양전략센터 인간안보연구원은 “북한은 1980년대부터 일선 학교에 컴퓨터를 보급하며 컴퓨터 교육에 투자해왔다”며 “북한에서 IT 산업은 단순한 생계형 외화벌이가 아니라, 방위산업체·정부기관 등 민감한 분야에 침투해 정보 수집·사이버 공격 기반을 마련하는 전략적 활동”이라고 말했다.

[여이레 기자(gore@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>