"북한 'IT 위장취업' 이력서 거의 매일 접수...금전 취득보다 해킹이 주목적인 경우도"

닐 돈든 '크립토 리크루트(Crypto Recruit)' 설립자

미국 정부가 북한 IT 노동자들의 위장 취업 위험성을 경고하고 있는 가운데 실제로 암호화폐 개발 업체 등에서 이런 위장 취업 시도가 빈번하게 이뤄지고 있다고 업계 관계자들이 말했습니다. 일부의 경우 금전 취득보다는 해킹이 주목적인 경우가 있다는 분석도 나왔습니다. 박형주 기자가 보도합니다.

암호화폐 전문 채용 업체인 크립토 리크루트(Crypto Recruit)의 설립자인 닐 돈든 씨는 최근 VOA와 전화통화에서 지난 2년여 동안 북한 IT 노동자들이 보낸 것으로 보이는 허위 이력서를 사실상 거의 매일 받고 있다고 말했습니다.

[녹취: 닐 돈든 씨] “Throughout the last couple of years, we literally gets applications every day almost from these candidates. If you put a job on a job website, you'll notice that often the first ones to apply are these North Koreans, these fake profiles.”

암호화폐 등 관련 채용 사이트에 새로운 채용 공고를 올리면 종종 가장 먼저 지원하는 이들이 허위 이력서를 제출하는 북한 IT 노동자들이라는 설명입니다.

2017년 암호화폐가 유행하기 시작한 초창기부터 관련 업계의 구인구직을 전담했던 돈든 씨가 이런 ‘이상한 지원서’에 처음 주목한 시점은 2020년 초반입니다.

당시 돈든 씨는 같이 일하는 동료에게서 ‘아주 경쟁력 있는 이력서’라면서 구직 전문 소셜 네트워크 서비스인 ‘링크드인’ 계정을 전달받았습니다.

계정에 소개된 경력은 그럴듯했지만 이름과 주소, 무엇보다 ‘로봇이나 IA(인공지능) 기술로 만든 것처럼 보이는 이상한 눈빛의 사진’ 등에서 뭔가 이상한 낌새를 느꼈던 돈든 씨는 지원자에게 메시지를 보냈고 ‘스카이프’로 영상통화를 시도했습니다.

지원자는 영상통화를 처음엔 완강하게 거부하다 나중에 응했지만 영어를 한마디도 하지 못하는 등 의사소통이 거의 불가능했습니다.

과거 여행 목적으로 북한을 방문한 경험이 있는 등 북한에 대해 비교적 지식이 있었던 돈든 씨는 이 지원자가 ‘북한 사람 같다’고 동료들에게 말했지만 ‘황당한 소리’라는 반응만 돌아왔습니다.

[녹취: 돈든 씨] “They looked North Korean. My experience I've been to North Korea and I can see, you know…so I started saying to the guys in the office here and they were laughing at me originally. ‘no, you crazy, They can’t be North Koreans.”

돈든 씨가 경험한 북한 IT 노동자들은 대부분 스스로를 암호화폐 언어인 ‘솔리디티(Solidity)’나 ‘러스트(Rust)’ 분야의 개발자라고 소개했습니다.

이들은 주로 자신을 ‘일본인’이라고 소개하며 영어식 이름을 사용했지만 통상적으로 관련 개발자들이 거주하지 않을 것 같은 지역을 거주지로 표시하면서 전화번호 등 연락처를 밝히지 않는 경우가 많았습니다.

또 이력서 등의 문구나 인터뷰에서 말하는 방식 등이 “주어진 대본에서 그대로 옮기는 것처럼 대부분 비슷하다”고 돈든 씨는 설명했습니다.

이들 중 일부는 실제로 채용됐지만 ‘몇 달간’ 짧은 기간만 일하는 경우가 많았고, 더러는 이력서상의 경력과 달리 업무 역량이 부족했다고 고용주로부터 ‘항의 전화’를 받기도 했다고 덧붙였습니다.

[녹취: 돈든 씨] “But ultimately what happens is these candidates can't do the job that they claim they can do. Or my guess is they're attempting to hack them, you know, get inside information on the business…. They have bigger plans than just getting a paycheck for $10,000 a month. They have the real prize is getting to be able to hack…”

돈든 씨는 또 고용주들이 자세히 밝히지는 않지만 북한 IT 노동자들이 다른 동료들에게 접근하거나 회사 내부 시스템을 해킹해 정보 탈취를 시도하는 사례도 있는 것 같다고 말했습니다.

그러면서 “그들은 월급 1만 달러를 받는 것 보다 더 큰 계획을 갖고 있었다”며, 그들의 실질적인 목적은 해킹이라고 말했습니다.

돈든 씨는 또 링크드인에는 여전히 북한 IT 노동자와 연계된 많은 ‘가짜 계정’이 있지만, 자체 검증 역량과 비용 문제 등으로 링크드인 측은 이런 계정을 삭제하지 않는 것으로 보인다고 주장했습니다.

이에 대해 링크드인 측은 VOA에 “우리는 분명한 관련 정책을 이행하고 있다”면서 “허위 계정 생성은 링크드인 서비스 정책의 위반”이라고 밝혔습니다.

그러면서 “우리는 허위 계정을 탐지하고 삭제하기 위해 다양한 출처의 정보를 활용한다”고 강조했습니다.

[링크드인] “We enforce our policies, which are very clear: the creation of a fake account is a violation of our terms of service. Our threat intelligence team uses information from a variety of sources to detect and remove fake accounts, as we have already done here.”

한편 또 다른 암호화폐 관련 채용 업체 관계자는 25일 VOA에 암호화폐 분야에서 ‘솔리디티’나 ‘러스트’ 기술은 수요가 많지만 개발자가 부족한 상황이라고 말했습니다.

그러면서 암호화폐 관련 업체는 개발자 등 직원들의 ‘익명성’을 유지해주는 ‘문화’가 있으며 임금도 별도의 신원확인이 필요 없는 암호화폐로 지급되는 경우도 많다고 덧붙였습니다.

미 연방수사국(FBI)에서 대북제재 이행 업무를 담당했던 닉 칼슨 TRM(미국 암호화폐 정보업체) 분석관은 25일 VOA에 북한의 IT 종사자들은 북한 당국의 ‘사이버 범죄 인프라’의 일부이며, 이들은 ‘정찰’과 단순 수익 창출을 위해 외국기업에 침투한다고 설명했습니다.

그러면서 “이런 IT 인력이 사용하는 계정을 식별하고 폐쇄하는 것은 종종 '두더지 게임'과 같다”고 말했습니다. 즉 “1개를 폐쇄하자마자 또 다른 10개가 고개를 든다”는 것입니다.

[닉 칼슨 분석관] “Part of that infrastructure is North Korean IT workers infiltrating foreign firms - both for reconnaissance and simple revenue generation. Identifying and shutting down the accounts use by these IT workers can sometimes seem like a game of whack-a-mole. As soon as you shut one down, ten more appear. The burden here will really fall on tech and crypto companies themselves who need to be extremely vigilant about recruiting. That said, governments also have an important role to play. We recently saw the FBI and the CISA provide guidance to the private sector on this threat.”

칼슨 분석관은 이런 상황은 채용과 관련해 극도로 조심해야 할 필요가 있는 기술 및 암호화폐 업체들에 부담일 것이라고 말했습니다.

그러면서 “정부 역시 중요한 역할을 한다”며 미 FBI 등이 관련 위협과 관련해 민간 부분에 지침을 제공한 사례를 언급했습니다.

앞서 미 국무부와 재무부, 연방수사국(FBI)는 지난 5월 발표한 합동주의보를 통해 북한의 IT 기술자들이 신분을 숨긴 채 활동하며 거액의 외화를 벌어들이고 있다고 지적한 바 있습니다.

미국 정부는 주의보에서 “북한은 고도로 훈련된 IT인력을 전 세계에 파견하는 방식으로 대량살상무기와 탄도미사일 프로그램에 필요한 수익을 거두고 있다”고 밝혔습니다.

특히 “북한 IT 노동자들이 북한 국적이 아닌 것처럼 가장한 상태에서 취업하려는 시도에 경보를 울리기 위해 국제사회와 민간, 공공 부문에 주의보를 발령한다”고 강조했습니다.

VOA 뉴스 박형주입니다.