북한의 정보기술(IT) 인력들의 미국 기업 위장취업이 미국인들의 안전에 심각한 위협을 제기할 수도 있다고 미국 사이버 보안기업 신더의 데클랜 커밍스 엔지니어링 총괄이 말했습니다. 커밍스 총괄은 28일 VOA와의 인터뷰에서 북한 IT 인력들은 단지 몇 시간만 고용돼도 민감한 정보에 접근할 수 있다며 이같이 말했습니다. 다수의 북한 IT 인력들이 위장취업을 시도했던 신더의 커밍스 총괄을 조은정 기자가 전화로 인터뷰했습니다.
기자) 인터넷 상의 컨텐츠 안전관리(Trust & Safety) 회사인 ‘신더’에서 ‘엔지니어링 총괄’을 맡고 계신데요. 지난해 초부터 북한 해커로 의심되는 취업 지원자가 늘었다고 하셨는데, 어떻게 포착하셨습니까?
커밍스 총괄) 신더의 최고운영책임자와 공동창업자는 지난해 초 구직을 원하는 사람들 가운데 자신의 경력에 대해 구체적으로 설명하지 못하는 지원자들의 있다는 걸 발견하기 시작했습니다. 보안업체들과 논의한 결과 이들이 북한 IT 인력의 특징을 보인다는 것을 알게 됐습니다. 저는 개인적으로 북한 인권증진을 위한 자원봉사를 하고 있고 폐쇄된 체제 내부에 정보를 전파하는 기술 관련 일을 해왔기 때문에 과거에 다른 형태의 해외 취업 현상은 알고 있었습니다. 하지만 북한 IT 인력이 우리 팀에 지원할 것이라고는 전혀 예상하지 못했기 때문에 충격이었습니다. 전체적으로 지원자 수가 수십 명 정도 되는 것 같았습니다. 우리는 수사기관이나 사이버 보안회사가 아니기에 정확히 알 수는 없습니다. 우리는 실제로 사람을 고용하려고 했지 북한 IT 인력을 찾으려는 게 목적이 아니었기 때문에 더 이상 깊이 조사하는 건 시간 낭비라고 생각했습니다.
기자) 미국 회사들이 실수로 북한 인력을 고용하면 어떤 문제에 직면하게 될까요?
커밍스 총괄) 우선 잠재적으로 제재 관련 문제가 발생할 수 있습니다. 우리가 북한 IT 노동자들에게 지급하는 돈이 결국 북한 정권에 흘러 들어간다는 것은 잘 알려진 사실이죠. 두 번째는 북한 IT 인력을 고용하면 이들이 매우 민감한 내부정보, 즉 저희의 경우 회사 내부정보 뿐만 아니라 고객 정보에 매우 빠르게 접근할 수 있다는 점입니다. 따라서 북한 IT 인력을 고용하는 실수를 저지른 기업은 많은 데이터를 위험에 빠뜨리는 셈입니다.
기자) 북한인 위장취업자들은 어떤 특징을 보입니까?
커밍스 총괄) 무엇보다 원격 근무를 고집합니다. 그래서 우리 회사가 가끔 직접 만난다고 했을 때 지원자들은 매우 주저했습니다. 그들은 원격 근무를 선호한다는 점을 매우 분명하게 밝혔습니다. 둘째, 지원자들이 잘 설명할 수 없는 업무 경력이 있다는 것을 알게 되었습니다. 저는 신더에서 일하기 전에 7년 동안 페이스북에서 근무했습니다. 저는 페이스북 엔지니어링 사무실들에 대해 잘 알고 있습니다. 일부 지원자들은 제가 들어본 적도 없는 곳, 페이스북 사무실이 없다고 확신하는 곳에서 일한다고 주장했습니다. 또 페이스북 팀과 긴밀하게 일했을 것 같은 프로젝트에 참여했다고 했는데, 공통으로 아는 사람이 없었고 내부적으로 쓰는 도구에 대해서도 몰랐습니다. 그런 것들이 단서가 됐습니다.
기자) 면접에서 재미있는 일화도 있나요?
커밍스 총괄) 저는 항상 지원자들에게 우리가 왜 이런 일을 하는지, 왜 인터넷 안전이 중요한지 설명합니다. 또 우리가 다양한 배경을 가지고 있으며, 공동 창업자들은 대부분 중앙정보국(CIA)을 비롯한 미국 정보기관 출신이라는 점도 설명합니다. 북한인으로 의심되는 한 지원자에게 그렇게 말하자 그는 즉시 영상통화를 끊었고 다시는 연락하지 않았습니다.
기자) 최근 블로그에 북한인 IT 인력이 신더에 위장취업을 시도했다면서 다른 기업들에게도 조언을 해주겠다고 밝히셨는데요. 어떤 점에 특히 유의해야 할까요?
커밍스 총괄) 블로그에 글을 올린 이후 관련 뉴스 기사가 많이 나왔습니다. 이번 주 초 사이버안보 뉴스 포털인 ‘해커 뉴스’에서도 가장 관심을 모았죠. 비슷한 일을 겪은 것으로 추정되거나 자사를 보호하고 싶은 다른 기업들로부터 많은 연락을 받았습니다. 제가 강조하는 것은 우선 지원자의 업무 이력을 살펴봐야 한다는 것입니다. 또 동영상으로 인터뷰를 실시하는 것이 중요합니다. 추천인 확인도 중요합니다. 지원자가 가짜 인물일 수 있고 자신을 위장하고 있을 수 있는 경우에는 더욱 중요하다고 생각합니다. 북한 IT 인력들이 다른 사람들과 협력해 추천인 확인을 받는 경우도 있습니다. 따라서 Gmail 등 개인 이메일이 아닌 회사 이메일로 추천인 확인을 하는 것이 중요합니다.
기자) 민간 기업 차원에서 유의할 점을 얘기해 주셨는데, 정부 당국은 북한인 위장취업을 막기 위해 어떤 노력을 기울일 수 있을까요?
커밍스 총괄) 법무부에서 이미 두 건을 기소했는데요. 여러 명의 북한 IT 인력을 돕는 미국인들을 대상으로 한 것이기 때문에 매우 중요하다고 생각합니다. 조사를 실시해서 연루된 미국인들에게 책임을 물음으로써 관련 활동에 큰 타격을 줄 수 있습니다. 제가 앞으로 걱정하는 것은 북한 IT 인력들이 매우 민감한 정보에 접근할 수 있게 된다면 이들이 미칠 수 있는 영향이 엄청나다는 것입니다. 며칠 또는 몇 주, 심지어 몇 시간만 고용돼도 매우 민감한 정보에 접근할 수 있습니다. 제가 가장 걱정하는 부분 중 하나입니다. 다른 하나는 민감한 산업에 접근하거나 취업하는 경우입니다. 미국인의 안전에 대한 위협이 기하급수적으로 증가하게 되죠.
기자) 민간단체인 한인나눔운동(KASM)에서 탈북민들의 미국 연수를 지원하는 ‘워싱턴 리더십 프로그램(WLP)’을 8년 동안 운영하셨고요. 대북정보 유입 방안을 연구하는 ‘루멘’ 자문위원으로도 활동하고 계신데요. 북한 인권 증진에서 첨단기술이 얼마나 중요하다고 보십니까?
커밍스 총괄) 루멘에서 북한과 같은 폐쇄적인 정권에 정보를 유입하기 위한 기술에 대한 자문을 하고 있습니다. 저는 기술 업계에서 오랫동안 일했습니다. 기술과 북한 인권의 교차점인 루멘의 자문위원회에 합류하는 것이 북한 인권계에 영향을 미칠 수 있는 가장 좋은 방법 중 하나라고 생각했습니다. 아주 유력한 북한 전문가들과 루멘에서 함께 활동할 수 있어 기쁘고, 한인나눔운동과 함께 일해서 기뻤습니다. 정보 공유는 끊임없는 적대적 노력에 맞서야 합니다. 즉 정부나 기관의 매우 강력한 반대에 맞서 일하고 있기 때문에 어려운 환경이라는 거죠. 폐쇄적인 체제에서 정보를 필요로 하는 이들에게 정보를 성공적으로 공유하려면 혁신을 계속해야 하기 때문에 기술은 이러한 어려움을 극복할 수 있는 최고의 가능성을 보여주며, 매우 중요한 역할을 합니다.
기자) 지금까지 미국 정보기술 기업 신더의 ‘엔지니어링 총괄’ 데클랜 커밍스 씨로부터 최근 늘어난 북한 IT 인력의 미국 기업 위장취업 시도들에 대해 들어봤습니다. 인터뷰에 조은정 기자였습니다.
(이 인터뷰는 길이와 명확성을 위해 일부 내용을 편집했습니다)
Forum