구글 산하 사이버 보안업체 ‘맨디언트’의 마이클 반하트 수석분석가가 미국 기업에 위장 취업한 북한 IT 인력이 상당한 보안 위협을 제기한다고 경고했습니다. 반하트 수석분석가는 24일 VOA와의 인터뷰에서 이들이 북한 해커들에게 접근 경로를 열어주고, 지적 재산을 탈취하며, 악성 랜섬웨어를 심은 사례들이 확인됐다며 이같이 말했습니다. 그러면서 기업과 정부, 사이버 보안 업계가 함께 협력해 북한 위협에 대응해야 한다고 강조했습니다. 조은정 기자가 반하트 분석가를 화상으로 인터뷰했습니다.
기자) 맨디언트는 북한 정보기술(IT) 인력들의 미국 기업 위장취업을 추적해 왔는데요, 어떤 계기로 시작했습니까?
반하트 수석분석가) 몇 년 전부터 저희는 ‘APT 45’(안다리엘)로 분류한 북한 해킹 그룹에 대한 분석을 시작했습니다. 이들은 북한 내에서 특히 무기 프로그램과 제약에 대한 연구와 개발을 담당하는 해커들입니다. ‘APT 45’를 분석하면서 북한 IT 인력에 대해 제대로 이해하기 시작했는데요. 이들 IT 인력은 별도의 독립된 조직에 속해 수익 창출을 위해 존재합니다. 그런데 ‘이들 IT 인력은 단지 수익 창출을 위해 존재하는 것일까, 아니면 그 이상을 위해 존재하는 것일까?’라는 궁금증을 가지게 됐습니다. 이 문제를 들여다보면서 북한 IT 인력에 대한 심층 분석을 시작했습니다.
기자) 북한 IT 인력은 얼마나 심각한 위협을 제기합니까? 포춘 100대 기업 수십 곳에 채용돼 있다고 맨디언트가 밝혔는데요.
반하트 수석분석가) 저는 이들이 잠재적으로 끔찍한 위협을 가할 수 있다고 봅니다. 이들은 전 세계 기업에 고용돼 있고, ‘내부자 위협’을 가할 수 있습니다. 과거 북한은 소니 영화사를 해킹했고, 한국 금융기관과 언론사를 겨냥한 ‘다크서울’ 공격을 했죠. 이 IT 인력은 접근 권한을 가지고 있고, 극한 상황에서 행동에 나설 수 있습니다. 절대적인 증거는 없지만 포춘지 선정 500대 기업이라면 적어도 북한인 위장 취업의 표적이 됐을 가능성이 높습니다. 그들은 어디라도 붙길 바라며 무작위로 지원하고 있습니다.
기자) 북한 IT 인력이 이렇게 광범위하게 침투한 것은 그들의 실력이 뛰어나서입니까 아니면 하위 직종을 겨냥해서입니까 아니면 기업들의 신원확인 절차가 허술해서입니까?
반하트 수석분석가) 기업이 적절한 조치를 다 취해도 이런 일이 일어날 수 있습니다. 특히 북한은 매우 민첩해서 소프트웨어 업데이트보다 더 빠르게 사기 수법을 개발합니다. 구글과 맨디언트, 고객사가 함께 북한의 수법을 파악하고 대응하고 있습니다. 북한 IT 인력은 엔지니어링이나 데이터 관련 직무를 원합니다. 사람들을 직접 만나고 관리해야 하는 관리직은 원치 않죠. 구체적으로 서버 개발이나 웹 디자인을 원합니다. 원격으로 어디서든 최소한의 상호 작용으로 할 수 있는 작업을 원하죠. 이들은 7~10개의 직업을 가지고 24시간 내내 일하는데, 근무시간이 매우 비현실적입니다. 확실히 인공지능과 자동화도 많이 활용하고 있습니다.
기자) 북한 IT 인력은 주로 자신의 직무 책임 범위 내에서 활동하고 있다고 보고서에서 밝히셨는데요. 하지만 미국 기업 사내 네트워크에 접근 권한이 있는 이 인력을 북한 당국이 어떻게 악용할 수 있을까요?
반하트 수석분석가) 지금 말씀하신 그 보고서는 저희가 직접 확보하고 있는 자료일 뿐입니다. 우리는 보고서 내용보다 훨씬 더 많은 것을 알고 있습니다. 북한 불법 사이버 활동의 피해자와 표적은 물론 신뢰할 수 있는 제3자와 함께 일하고 있기 때문입니다. 우리는 APT나 다른 해킹 그룹이 파괴적인 공격을 할 때 북한 IT 인력이 어떻게 ‘인간 백도어’ 역할을 했는지 직접 눈으로 확인했습니다. 접근 경로를 만들어 준 것이죠. 또 북한 IT 인력이 지적 재산을 탈취하는 것도 볼 수 있었습니다. 때로는 회사를 떠난 후 더 많은 돈을 벌기 위해, 또는 북한에 있는 누군가에게 잘 보이기 위해 랜섬웨어를 배포하는 경우도 있습니다. 사람들이 ‘라자루스 그룹’이라고 부르는 해커가 북한 IT 인력과 같은 시간에 같은 목표를 향해 움직이는 것도 봤습니다. 문스톤 슬리트, 시트린 슬리트 등의 해킹 조직도 마찬가지입니다. 우리는 그들이 많은 협업을 하는 것을 알고 있습니다. 이게 우려되는 부분입니다. APT와의 연관성 등 파괴적인 공격, IT 인력의 활용 가능성에 저는 가장 큰 주의를 기울이고 있습니다.
기자) 미국의 보안 기업이나 방산 기업에도 북한 IT 인력이 침투할 수 있고요.
반하트 수석분석가) 물론이죠. 그리고 우리는 미 법무부의 최근 기소장에서도 그런 사실을 확인했습니다. 특정 APT가 각기 다른 직급에 있는 IT 직원을 활용하는 경우가 많습니다. 모든 IT 인력의 직급이 같은 것은 아닙니다. 특정 작업을 수행하는 특정 무리(cluster)가 있습니다. 북한 IT 인력이 미국 정부 직업을 얻으려고 시도한 경우도 기소장에 나와있죠. 위협은 실질적이고 증가하고 있습니다.
기자) 이들 IT 인력이 마치 미국에서 컴퓨터에 접속하는 것처럼 보이게 하는 ‘노트북 농장’을 운영한 조력자가 올해 기소됐습니다. 미 사법당국의 노력을 통해 미국내 ‘노트북 농장’들을 모두 없앨 수 있을까요?
반하트 수석분석가) 물론입니다. 조력자들을 겨냥한 집중적인 노력이 펼쳐지고 있습니다. 북한은 돈을 얻기 위해 여러 가지 방법을 시도할 겁니다. 미국뿐 아니라 전 세계에서 이런 활동을 벌이고 있습니다. 조력자들은 처음에는 자신이 어떤 상황에 처했는지 깨닫지 못했습니다. 애리조나의 ‘노트북 농장’ 사례를 보면 조력자는 동남아시아 국가 사업가에게 ‘얼굴’만 빌려주는 것으로 생각했죠. 처음에는 순진하게 시작했지만, 시간이 지나면서 자신이 깊고 얽힌 그물망에 빠져 있다는 것을 깨닫게 되죠. ‘노트북 농장’을 없애기 위해서는 공동 노력이 필요하다고 생각합니다.
기자) 민간과 정부에서 여러 노력을 기울이고 있는데요. 앞으로 미국 내 북한 IT 인력의 위장 취업은 어떤 동향을 보일까요?
반하트 수석분석가) 어떤 의미에서는 감소할 것으로 봅니다. 물론 북한은 전술을 바꾸고 다른 형태의 계획이나 사기 활동을 벌이겠죠. 이미 유럽에서 비슷한 활동이 더 늘어나고 있습니다. 신종 코로나바이러스 사태 이후 미국 정부의 고용자격확인서(I-9) 제한조치로 인해 미국에서 일자리를 구하기가 더 어려워졌죠. 직원을 검증하는 방식이 개선되고 있고, 인사 담당자가 지원자들을 카메라 앞으로 불러내고 있습니다. 북한은 매우 독특하고 다면적인 적입니다. 따라서 우리는 획일적인 접근법을 취할 수 없고, 관련자들이 모두 소통하고 협력하고 있습니다.
지금까지 구글 산하 사이버 보안업체 맨디언트의 마이클 반하트 수석분석가로부터 북한 IT 인력의 미국 기업 위장취업과 파장, 대응책 등에 대해 들어봤습니다. 인터뷰에 조은정 기자였습니다.
(이 인터뷰는 길이와 명확성을 위해 일부 내용을 편집했습니다)
Your browser doesn’t support HTML5