북한의 정보기술(IT) 인력들이 세계 주요 기업 수십 곳에 위장 취업한 것으로 파악됐습니다. 특히 이들 중 일부는 미국 기업 네트워크에 대한 접근 권한을 가지고 있어 심각한 보안 위협을 초래할 수 있다는 지적이 나옵니다. 조은정 기자가 보도합니다.
Your browser doesn’t support HTML5
구글 산하 사이버 보안업체 맨디언트(Mandiant)의 찰스 카마칼 최고기술책임자(CTO)는 24일 세계 주요 기업들이 북한 정보기술 (IT) 인력의 위장 취업 문제에 경각심을 가져야 한다고 경고했습니다.
카마칼 최고기술책임자는 이날 VOA에 보낸 성명에서 “북한 IT 인력들을 실수로 고용한 포춘 100대 기업 수십 곳과 얘기를 나눴다”며 이같이 밝혔습니다.
[카마칼] “I’ve spoken to dozens of Fortune 100 organizations that have accidentally hired North Korean IT workers. North Korean IT workers often have multiple jobs with different organizations concurrently, and they often have elevated access to production systems, or the ability to make changes to application source code. There is a concern that they may use this access to insert backdoors in systems or software in the future. Every Fortune 100 organization should be thinking about this problem.”
이어 “북한 IT 노동자들은 종종 여러 조직에서 동시에 여러 직업을 가지고 있다”며 “종종 생산 시스템에 대한 고급 접근 권한이나 애플리케이션 소스코드를 변경할 수 있는 권한을 가진다”고 밝혔습니다.
그러면서 “이들이 접근 권한을 사용해 사내 시스템이나 소프트웨어에 ‘백도어’(비인가 접근경로)를 심을 수 있다”며 “모든 포춘 100대 기업은 이 문제에 대해 고민해야 한다”고 말했습니다.
포춘 100대 기업은 미국 경제전문지 포춘이 발표하는 매출액 순위 세계 100위 안에 드는 대기업입니다.
“미국 IT 기업 취업 목표… 중∙러 기반”
앞서 맨디언트는 23일 발표한 ‘북한 IT 종사자 위협 완화하기’라는 제목의 보고서에서 북한 IT 인력들이 훔친 신원을 사용해 “서방 기업, 특히 미국 기술 분야 기업에서 수익성 높은 일자리를 확보하는 임무를 가지고 있다”고 지적했습니다.
그러면서 북한 IT 인력들이 “북한 정권을 위한 수익 창출, 특히 제재를 회피하고 대량살상무기(WMD)와 탄도미사일 프로그램에 자금을 조달하기 위해 북한 국적이 아닌 사람으로 위장해 다양한 산업분야의 기업에 취업하고 있다”고 밝혔습니다.
[보고서] “These workers pose as non-North Korean nationals to gain employment with organizations across a wide range of industries in order to generate revenue for the North Korean regime, particularly to evade sanctions and fund its weapons of mass destruction (WMD) and ballistic missile programs… UNC5267 remains highly active in the present day, posing an ongoing threat. Some sources suggest that the origins of these operations can be traced back to 2018. Importantly, UNC5267 is not a traditional, centralized threat group. IT workers consist of individuals sent by the North Korean government to live primarily in China and Russia, with smaller numbers in Africa and Southeast Asia.”
또 북한 IT 인력은 “현재에도 여전히 활발하게 활동하며 지속적인 위협을 가하고 있다”며 “일부 소식통은 이러한 활동이 2018년으로 거슬러 올라가는 것으로 보고 있다”고 전했습니다.
맨디언트는 위장취업을 시도하는 북한 IT 인력이 “전통적인 중앙집중식 위협그룹이 아니다”라며 “북한 정부가 파견한 개인들로 구성돼 있고, 주로 중국과 러시아에 거주하고 있으며 아프리카와 동남아시아에도 소수의 인원이 있다”고 밝혔습니다.
그러면서 이들 IT 인력은 급여 등 금전적 이득, 사내 네트워크에 대한 장기적인 접근 권한 유지, 잠재적 스파이 활동 또는 파괴적인 활동을 목표로 하고 있다고 분석했습니다.
“원격근무 고집 … 업무 능력 부족”
맨디언트는 북한 IT 인력이 이력서에 북미 이외의 국가, 주로 싱가포르, 일본, 홍콩과 같은 국가의 대학 졸업증을 제시한다고 전했습니다. 또 주로 100% 원격 근무가 가능한 직책에 지원하며, 영상 통화를 꺼리고, 업무 능력이 평균 이하인 특징이 일관적으로 포착됐다고 전했습니다.
또 북한 IT 인력이 훔친 신원과 관련된 위치를 거주지로 기입하고 거주지와 다른 장소로 노트북 배송을 요청하곤 한다고 설명했습니다.
또 ‘노트북 농장’에 원격으로 접속하며, 여러 원격 관리 도구를 활용한다고 덧붙였습니다.
‘노트북 농장’은 동일한 인터넷 네트워크에 다수의 노트북이 연결된 곳으로, 북한 IT 인력이 실제 거주지인 중국이나 러시아가 아닌 미국에서 접속하는 것처럼 보이게 합니다.
맨디언트는 북한 IT 인력 위장취업에 대응해 기술적으로 방어하고, 경각심을 높이며, 선제적으로 위협을 포착하는 다각적인 접근법이 필요하다고 밝혔습니다.
구체적으로 기업들은 더 엄격한 신원확인 절차를 밟고, 주기적으로 현장을 점검하며, 미국 은행을 통해 금융 거래를 하고 보안 업체와 협력할 것을 제안했습니다.
맨디언트는 “과거의 성공과 북한 정권이 사이버 활동에 의존하고 있다는 점을 고려할 때, 전 세계 기업을 겨냥한 정교한 공격과 침입이 지속적으로 급증할 것으로 예상된다”고 밝혔습니다.
[보고서] “Given their past successes and the DPRK regime's reliance on cyber operations for revenue and strategic goals, we anticipate a continued surge in sophisticated attacks and intrusions targeting businesses globally. The IT workers continue to be particularly impactful to Western organizations, with a growing number of European organizations targeted. These attacks can lead to data breaches, financial losses, intellectual property theft, and disruption of critical services.”
이어 “특히 서구 조직에 대한 공격이 계속되고 있으며, 유럽 조직이 표적이 되는 사례도 증가하고 있다”고 말했습니다.
그러면서 “이런 공격은 데이터 유출, 금전적 손실, 지적재산 도난, 주요 서비스 중단으로 이어질 수 있다”고 경고했습니다.
앞서 미 법무부는 북한 IT 인력의 위장 취업을 도운 혐의로 지난 8월과 5월에 각각 미국인 등을 기소했습니다.
또한 미 국무부와 연방수사국(FBI), 한국 외교부와 경찰청, 국가정보원은 지난해 10월 합동 주의보를 내고 북한 IT 인력들의 새로운 취업 수법 등을 지적하면서 미국 기업들의 주의를 당부한 바 있습니다.
VOA 뉴스 조은정입니다.