구글 "北 IT 인력 '위장 취업' 위협…미국 넘어 유럽으로 확산"

[아이뉴스24 윤소진 기자] 북한 IT 인력이 미국을 겨냥했던 사이버 위협이 유럽에서 급증하고 있다고 구글이 경고했다.

구글 위협 인텔리전스 그룹은 미국에서 북한 IT 인력에 대한 단속이 강화되면서 지난 몇 달 사이 이들이 활동 영역을 유럽으로 확대하고 있다고 2일 밝혔다.

구글 클라우드에 따르면 지난해 말 북한의 한 IT 인력은 12개 이상의 위조 신분을 사용해 유럽 등지에서 활동했다. 유럽 내 여러 조직, 그중에서도 방위 산업 및 정부 기관에 적극적으로 취업을 시도했다. 이 IT 인력은 조작된 추천서를 제공하고 채용 담당자와 친분을 쌓으며 추가 신분을 활용하는 패턴을 활용했다.

또 다른 사례는 독일과 포르투갈에서 구직 활동을 하며 유럽 내 구직 웹사이트 및 자본 관리 플랫폼에서 로그인 자격 증명을 활용한 것으로 나타났다.

영국에서 확인된 북한 IT 인력들의 활동에는 웹 개발부터 봇 개발, 콘텐츠 관리 시스템(CMS) 개발, 블록체인 기술 등이 포함돼 있었다. 이는 북한 IT 인력이 전통적인 웹 개발부터 고급 블록체인 및 AI 애플리케이션에 이르기까지 광범위한 기술 전문성을 보유하고 있음을 시사한다.

북한 IT 인력은 일자리를 확보하기 위해 이탈리아, 일본, 말레이시아, 싱가포르, 우크라이나, 미국, 베트남 등 다양한 국적으로 위장했다. 실제 인물과 가상 인물의 신원 정보를 조합해 신분을 속이는 데 사용했다.

유럽에서 활동하는 북한 IT 인력은 업워크, 텔레그램, 프리랜서 등 다양한 온라인 플랫폼을 통해 모집됐다. 임금은 자금의 출처와 목적지를 감추기 위해 암호화폐, 트랜스퍼와이즈 서비스, 페이오니아 등을 통해 이뤄졌다.

지난해 10월 말부터 북한 IT 인력의 갈취 시도와 공격 규모가 크게 증가했다. 이는 미국의 단속 및 처벌 집행이 강화된 시기와 맞물려 있다. 강화된 조치에 압박을 느낀 북한 IT 인력이 사이버 위협을 통한 수익을 유지하기 위해 대기업을 겨냥해 보다 공격적인 활동을 전개한다는 잠재적 가능성을 시사한다.

일부 회사에서 직원들에게 가상 머신을 기반으로 개인용 노트북을 통해 기업 시스템에 액세스 할 수 있도록 허가하는 BYOD(Bring Your Own Device) 정책을 시행하고 있다. 이러한 개인 디바이스 사용은 활동 추적과 잠재적 위협 식별을 어렵게 만들어 사이버 공격의 위험을 증가시킨다.

제이미 콜리어 구글 위협 인텔리전스 그룹 유럽 지역 수석 고문은 “북한은 지난 10년 간 SWIFT 공격(금융 기관이나 은행의 내부 시스템 해킹), 랜섬웨어, 암호화폐 탈취, 공급망 공격 등 다양한 사이버 공격을 자행해 왔다"며 "이러한 끊임없는 진화는 사이버 공격을 통해 정권에 자금을 조달하려는 북한의 오랜 노력을 보여준다”고 설명했다.

그는 이어 “북한 IT 인력의 작전이 여지껏 성공해온 것을 감안하면, 북한은 전 세계로 활동 범위를 넓힐 가능성이 높다. 아시아태평양 지역도 이미 예외는 아니다"라며 "이러한 공격은 사이버 위협에 대한 인식이 부족한 곳에서 더 큰 피해를 일으킬 수 있으며, 그런 면에서 아태 지역은 특히 위험성이 높은 편”이라고 경고했다.