북한의 정보기술(IT) 인력들이 미국인으로 위장해 미국 기업에 취업을 시도하는 사례가 다수 포착되고 있습니다. 신종 코로나바이러스 사태 이후 원격 근무가 늘어난 점을 악용한 건데요, 전문가들은 북한 노동자들의 경우 특징적인 단서가 있다고 말했습니다. 조은정 기자가 보도합니다.
Your browser doesn’t support HTML5
미국의 사이버 보안기업 신더(cinder)는 지난해 초부터 북한인들이 미국인으로 위장해 자사에 취업을 시도한 사례들을 많이 포착했다고 밝혔습니다.
신더는 최근 자사 블로그에 올린 글에서 “신더를 비롯해 점점 더 많은 미국 기술기업들이 북한 국적자로 의심되는 엔지니어들을 접하고 있다”며 “이 북한인들은 거의 확실히 북한 정부를 대신해 중국과 같은 제3국을 통해 원격으로 일하면서 북한 정부에 돈을 송금하고 있다”고 밝혔습니다.
[신더] “Cinder is part of a growing list of US-based tech companies that encounter engineering applicants who are actually suspected North Korean nationals. These North Koreans almost certainly work on behalf of the North Korean government, to their government while working remotely via third countries like China. Since at least early 2023, many have applied to US-based remote-first tech companies like Cinder.”
이어 “적어도 2023년 초부터 많은 북한인들이 신더와 같이 미국에 본부를 두고 원격근무를 우선순위에 두는 기술회사에 지원했다”고 말했습니다.
이어 “코로나19 팬데믹 이후 원격 근무가 증가하고 미국 기술기업에서 일하는 것이 매우 수익성이 높기 때문에 이런 현상이 더욱 심화된 것으로 보인다”고 설명했습니다.
신더는 일부 구직사이트의 경우 자사 모집요건에 맞는 지원자 중 80%가 북한인으로 의심됐다고 말했습니다.
그러면서 북한인 위장취업자의 경우 다음과 같은 특징을 보이곤 한다고 설명했습니다.
구직사이트에 사진이 없거나 선글라스를 끼고 있는 사진을 올렸고, 실제로 존재하지 않는 사무실 위치를 제시하는 등 근무 이력을 조작했으며, 이전 근무지나 배경에 대한 기본적인 질문에도 답하지 못했다는 겁니다.
또 원격 근무를 고집하고 대본에 따른 답변만 할 수 있으며 영어 실력이 부족한 등의 특징이 있었다고 설명했습니다.
신더는 “북한이 해외에 노동자를 파견해왔다는 것을 알고 있었지만 미국에 본사를 둔 회사의 정규직에 지원할 것이라고 예상하지 못했다”고 밝혔습니다.
그러면서 “다양한 보안 회사에 연락해 북한인들이 미국인으로 위장하려는 패턴을 파악했다”고 밝혔습니다.
이에 따라 응시자의 인터넷 검색과 경력, 소셜 미디어를 면밀히 검토해 북한인으로 의심되는 지원자를 걸러내기 시작했다고 설명했습니다.
아울러 구직사이트 보안팀 등과 관련 정보를 공유하고 있다고 말했습니다.
“북한인 위장취업자 적발… 악성 프로그램 실행 시도”
사이버 보안 교육 회사인 노비포(KnowBe4)도 위장 취업한 북한 IT 인력을 적발해 해고했다고 밝혔습니다.
노비포의 스튜 샤워맨 대표는 최근 블로그에서 한 신입 직원의 노트북에서 ‘일련의 의심스러운 활동’을 포착해 즉각 대응에 나섰다고 밝혔습니다.
[샤워맨 대표] “On July 15, 2024, a series of suspicious activities were detected on that user account. Based on the SOC teams evaluation of the activities it was found this may have been intentional by the user and suspected he may be an Insider Threat/Nation State Actor.”
올해 7월 15일 의심스러운 활동이 감지되자 보안팀은 “해당 사용자의 고의적인 활동일 수 있으며, 내부자 위협이자 국가 행위자일 수 있는 것으로 추정했다”는 것입니다.
보안팀은 해당 직원에게 연락해 비정상적인 활동에 대해 문의했고, 직원은 전화를 받을 수 없다고 말한 뒤 응답하지 않았습니다. 이에 보안팀은 그 직원의 기기를 차단했습니다.
이 직원은 특히 자신의 컴퓨터에 악성 프로그램을 실행하려고 했다고 샤워맨 대표는 밝혔습니다.
그러면서 신원조회 결과 이 직원이 채용 당시 미국인 신원을 도용했다고 밝혔습니다.
또 구글 산하 사이버 보안업체 ‘맨디언트’와 연방수사국(FBI) 조사 결과 이 직원이 북한에서 온 가짜 IT 직원인 것으로 나타났다고 덧붙였습니다.
[샤워맨 대표] “How this works is that the fake worker asks to get their workstation sent to an address that is basically an "IT mule laptop farm". They then VPN in from where they really physically are (North Korea or over the border in China) and work the night shift so that they seem to be working in US daytime. The scam is that they are actually doing the work, getting paid well, and give a large amount to North Korea to fund their illegal programs. I don't have to tell you about the severe risk of this.”
샤워맨 대표는 “가짜 직원이 노트북을 ‘노트북 농장’에 보내 달라고 요청하고, 북한 또는 중국 국경 너머에서 가상회선(VPN)을 통해 들어와 야간 근무를 한다”며 “미국에서 낮에 일하는 것처럼 보이려는 것”이라고 설명했습니다.
이어 “이런 사기의 핵심은 실제로 일을 하고 보수를 많이 받고, 북한의 불법 프로그램에 많은 금액을 제공한다는 점”이라며 “얼마나 심각한 위험인지 말할 필요도 없다”고 밝혔습니다.
샤워맨 대표는 이러한 위장취업을 막기 위해 채용 시 배경 조사와 추천인을 제대로 검증하고 경력 일치 여부를 확인해야 한다고 말했습니다. 특히 원격 근무를 위한 회사 컴퓨터의 배송 주소가 실제 거주지와 다를 경우 위험 신호라고 말했습니다.
이어 이 사례가 “강력한 검증 절차, 지속적인 보안 감시, 인사, 정보기술, 보안팀 간의 긴밀한 조율의 필요성을 보여준다”고 말했습니다.
미국의 사이버 전문가인 제니 전 조지타운대 안보·신기술센터(CSET) 연구원은 최근 VOA에 북한 IT 노동자들의 해외 위장 취업 문제와 관련해 “북한이 정권 등에 자금을 지원하기 위해 수익을 창출하려는 많은 방법 중 하나”라고 지적했습니다.
그러면서 ““팬데믹 기간 동안 많은 회사들이 원격 근무로 전환했다는 사실도 북한 노동자들이 팀원들과 얼굴을 마주하지 않고도 회사에서 일을 시작하고 끝낼 수 있다는 점을 활용하게 된 데 도움이 됐을 것”이라고 말했습니다.
[녹취: 제니 전 연구원] “Other thing is the fact that during the pandemic a lot of companies switched to remote working probably also helped North Koreans take advantage of the fact that sometimes you can start work and end work at a company without ever coming face to face with people in your team because everyone is remote.”
마이클 반하트 맨디언트 수석분석가는 27일 VOA에 보낸 이메일에서 “우리가 확인한 활동의 양과 규모에 따르면 북한 IT 인력은 미국 경제전문지 포춘이 선정한 500대 기업에 널리 퍼져있다”고 말했습니다.
[반하트 분석가] “Based on the volume and scale of activity we've seen, North Korean IT workers are widespread in Fortune 500 companies, using their earnings to incentivize others to aid their operations. By neutralizing these laptop farms and arresting the facilitators, it deals a significant blow to their operations and unravels months and months of time and energy put in by these North Korean threat actors.”
그러면서 “이들은 벌어들인 수입으로 다른 사람들이 그들을 돕도록 인센티브를 제공하고 있다”고 말했습니다.
반하트 분석가는 “‘노트북 농장’을 무력화하고 조력자들을 체포함으로써 그들의 운영에 상당한 타격을 입히고 북한 위협 행위자들이 수개월 동안 쏟아 부은 시간과 에너지를 무력화할 수 있다”고 말했습니다.
‘노트북 농장’은 동일한 인터넷 네트워크에 다수의 노트북이 연결된 곳을 말합니다.
미 법무부는 이달 초 테네시주 내슈빌에서 ‘노트북 농장’을 운영해 북한 노동자들이 미국과 영국 기업에 취업할 수 있도록 도운 미국인을 검거했습니다.
VOA 뉴스 조은정입니다.