북한이 가짜 IT 기업을 설립해 미국 기업을 사칭하고 이를 통해 불법 자금을 조달하려고 시도한 정황이 드러났습니다. 이 과정에서 미국 기업의 웹사이트를 불법 복제하고 민감한 정보도 탈취한 것으로 나타났습니다. 조상진 기자가 보도합니다.
미국의 정보기술 보안업체 ‘센티넬랩스’는 21일 북한 관련 행위자들이 미국 기반의 소프트웨어 및 기술 컨설팅 업체를 사칭해 불법 행위에 악용한 정황을 포착했다고 밝혔습니다.
“미국 IT회사 웹사이트 복제, 위장기업 설립”
센티넬랩스가 이날 공개한 보고서에 따르면 북한과 연계된 위협 행위자들은 중국과 러시아, 동남아시아, 아프리카 등지에 본사를 둔 유령 회사, 이른바 ‘페이퍼 컴퍼니’를 설립했습니다.
이들은 ‘인디펜던트 랩 유한회사(Independent Lab LLC)’, ‘셴양 토니왕 기술회사(Shenyang Tonywang Technology LTD)’ 등 4개 회사로, 미국의 유력 IT 기업인 ‘키트럼(Kitrum)’과 ‘유롤라임(Urolime)’의 웹사이트를 통째로 복제하거나 디자인과 콘텐츠를 도용해 마치 해당 회사인 것처럼 꾸민 것으로 드러났습니다.
합법적인 미국 및 국제 IT 회사를 가장해 신뢰를 얻으려는 의도였다는 설명입니다.
보고서에 따르면 북한은 웹사이트 주소 생성 서비스인 ‘네임칩(Name Cheap)’을 이용해 위장 인터넷 주소를 등록하고 웹사이트 방문자가 ‘문의하기’ 양식을 통해 의사소통에 참여하도록 유도하는 등의 활동을 벌여온 것으로 나타났습니다.
또한 이들은 해당 회사를 사칭해 민감한 계약에 접근을 시도하거나, 면접 명목으로 구직자들의 개인 정보를 탈취한 뒤 이를 활용해 다른 정보기술(IT)기업에 위장 취업한 것으로 드러났습니다.
보고서는 북한이 이러한 가짜 IT 기업을 통해 고객사로부터 소프트웨어 개발 및 기술 관련 계약을 수주하려 했다고 지적했습니다.
이어 가짜 신원과 조작된 사업 정보를 활용해 원격 IT 고용 계약을 체결하거나 개발 프로젝트를 수행했다고 덧붙였습니다.
아울러 북한 정보기술(IT) 노동자들의 위장 취업 시 이들 가짜 회사 출신으로 가장해 실제 신분과 출신 지역을 숨기려 했다는 점도 지적했습니다.
“가짜 웹사이트 운영, 과거 북한 사례와 유사”
보고서는 특히 이번 사건의 배후에 북한 IT 노동자 그룹이 있다고 판단한 근거로 가짜 웹사이트가 사용한 인터넷 도메인과 IP가 과거 북한 행위자들이 사용했던 인프라와 연관돼 있다는 점을 지적했습니다.
또한 이들 회사의 운영 방식이 북한의 자금 조달 전략과 일치하며, 북한 IT 인력의 활동이 이들 기업과 긴밀히 연계돼 있다는 점도 지적됐습니다.
아울러 이들 회사가 과거 미국 정부의 제재 대상에 올랐던 중국과 러시아 기반의 북한 연계 회사들과 유사한 운영 방식을 보였다는 점도 근거로 제시됐습니다.
“북한, 재정적 목적 위해 제도 악용”
보고서는 그러면서 “북한의 IT 노동자 제도의 이용은 재정적 목적 달성을 위해 글로벌 시장을 악용하는 북한 정권의 적응력을 잘 보여준다”고 말했습니다.
[보고서] “The DPRK’s use of the IT Worker scheme underscores the regime’s adaptability in exploiting global markets to further its financial objectives. By impersonating legitimate U.S.-based software and technology consulting firms, North Korean actors aim to gain trust and access to sensitive contracts, circumventing sanctions and evading detection. These tactics highlight a deliberate and evolving strategy that leverages the global digital economy to fund state activities, including weapons development.”
또한 “북한 행위자들은 미국에 기반을 둔 합법적인 소프트웨어 및 기술 컨설팅 회사를 사칭함으로써 신뢰를 얻고 민감한 계약에 접근해 제재를 우회하고 탐지를 피하는 것을 목표로 하고 있다”면서 “이러한 전술은 국제 디지털 경제를 활용해 무기 개발을 포함한 국가 활동에 자금을 조달하려는 고의적이고 진화하는 전략을 강조한다”고 지적했습니다.
“위장회사, 미국 정부에 의해 압수 조치”
한편 이번에 지목된 4개의 위장 회사 웹사이트는 모두 미국 정부에 의해 단속되고 압수 조치된 것으로 밝혀졌습니다.
보고서에 따르면, 미국 법무부, 연방수사국(FBI), 국토안보수사국, 국방범죄수사국 등은 2022년부터 기관 간 협력을 통해 북한과 연계된 이들 4개 위장 회사에 대한 조사를 진행해왔습니다.
이에 따라 지난 10월 10일, 해당 인터넷 웹사이트 주소들이 미국 정부에 의해 압수됐습니다. 당국은 “이 웹사이트들은 북한에 대한 조직적 법 집행 조치의 일환으로, 미국 메사추세츠 지구 지방법원이 발부한 압수영장에 따라 압수됐다”고 밝혔습니다.
“미 당국 웹사이트 압수, 효과적 조치”
미국의 사이버 전문가인 제니 전 조지타운대 안보·신기술센터(CSET) 연구원은22일 VOA와의 전화통화에서 북한 IT 노동자들의 활동과 연관된 웹사이트를 미국 당국이 압수한 것을 “주목할 만한 조치”라고 평가했습니다.
[녹취: 제니 전 연구원] “They seized a couple of websites that it can seize which is a little more proactive than just like designating entities. They're coming up with ways to kind of disrupt the system in whatever means that they have.”
전 연구원은 미국 당국이 북한 연계 웹사이트를 압수한 것은 단순히 기관을 제재 지정하는 것보다 훨씬 더 적극적인 조치이자, 실제 행위를 근절할 수 있다는 측면에서 효과적인 조치라고 지적했습니다.
그러면서 미국 정부가 북한의 IT 노동자 활용 체제를 교란할 수 있는 방안을 계속 고민 중이라며, 이번 조치를 모든 수단을 동원해 막아내려는 조치의 일환이라고 평가했습니다.
또 북한이 단순히 해외에 IT 노동자를 취업시켜 수익을 얻으려는 것에 더해 고급 정보 탈취에도 악용할 수 있다며 주시할 필요가 있다고 말했습니다.
[녹취: 제니 전 연구원] “it is important to think about not only because of the revenue but in some cases they you may get jobs at software companies or make other related companies and they can have access to privileged information which then serve as you know further backdoors and supply chain risks for further exploitation by other DPRK hackers trying to take advantage of the software company itself.”
전 연구원은 북한이 IT 노동자 취업이나 관련 위장회사 설립을 통해 추가 해킹을 위한 고급 정보에 접근할 수 있다는 점을 고려해야 한다고 강조했습니다.
미국을 비롯한 국제사회는 북한 IT 노동자들의 위장 취업 사례가 계속 늘어남에 따라 대응 조치를 지속적으로 취해왔습니다.
미국 국무부와 연방수사국(FBI), 한국 외교부와 국가정보원 등은 지난해 10월 합동 주의보를 발령하고, 북한 IT 인력의 위장 취업 수법을 공개했습니다.
또 올해 5월에는 국무부가 북한 IT 노동자 관련 정보 제공에 대한 최대 500만 달러의 포상금 지급 계획을 발표했고, 지난달에는 미국 법무부가 북한 IT 노동자 위장 취업을 도운 미국인을 체포하고 기소했다고 발표한 바 있습니다.
지난 9월에는 영국 재무부가 북한 IT 인력들이 영국 기업에 위장 취업하고 있다며 주의보를 발령하고, 이들이 고용될 경우 대북 제재 위반으로 간주될 수 있다고 경고했습니다.
또 독일 헌법수호청도 지난달 1일 북한 IT 노동자들이 독일 기업에 위장 취업하고 있다며 사이버 보안 권고문을 발표하고, 보안 위협 및 제재 위반 우려를 지적했습니다.
북한은 국제사회의 해킹 지적에 반발하며 사이버 공격 자체를 부인하고 있습니다.
북한 외무성은 지난 2022년 2월 7일 홈페이지에 “우리는 있지도 않은 우리의 사이버공격, 가상 화폐 절취설을 내돌리는 미국의 비열한 행위를 우리 국가의 이미지 훼손으로, 주권에 대한 심각한 위협과 도전으로 보고 절대로 좌시하지 않을 것”이라고 주장했습니다.
VOA 뉴스 조상진입니다.
Forum