미국을 비롯해 세계 각국에서 북한 해커들이 위장 취업을 하고 있는 것으로 나타났다. 이들 해커들은 IT 인력으로 위장해 기업 내부 정보를 빼내거나 이를 빌미로 금전을 갈취했다. 이에 우리나라도 이런 경우를 조심해야 한다는 경고다.
루크 맥나마라 구글 위협 인텔리전스 그룹 부수석 애널리스트는 19일 열린 구글 클라우드 시큐리티 데이 미디어 브리핑에서 "북한 IT 인력은 국적을 숨기고 다양한 산업 분야에 침투해 북한 정권을 위한 외화벌이에 기여하고 있다"고 말했다.
맥나마라 애널리스트에 따르면 북한 해커는 원격·재택근무 활성화를 틈타 IT 엔지니어로 활동하고 있다. 이들은 주로 프리랜서 구직 사이트를 통해 단기 프로젝트에 지원하는 방식으로 위장 취업을 시도한다.
현재까지 파악된 활동 지역은 미국, 동아시아, 라틴아메리카 등이다. 이들은 현지 브로커와 공조해 은행 계좌를 개설하거나 업무용 노트북을 수령한다고 알려졌다. 위장 취업한 해커들은 여러 계좌를 통해 급여를 세탁한 뒤 북한으로 송금한다. 정체가 발각돼 해고될 경우는 기업 내부의 민감한 정보나 소스코드를 유출하겠다고 협박하고 가상화폐를 요구하는 것으로 드러났다.
맥나마라 애널리스트는 "이러한 위험을 막기 위해서는 초기 인터뷰에서 화상 카메라 사용을 거부하거나, 업무용 노트북을 이력서와 다른 주소로 보내달라고 요청할 경우 일단 의심해 봐야 한다"고 조언했다. 현재까지 한국에서는 이런 북한 IT 인력의 활동이 발견되지 않았다고 한다.
맥나마라 애널리스트는 북한과 중국의 사이버 공격은 뚜렷한 목적 차이를 보인다고 설명했다. 구체적으로 북한 해킹 조직은 주로 자금 확보에 집중하고 있다. 이들은 미사일 개발과 핵 프로그램, 정권 유지를 위한 자금을 마련하기 위해 암호화폐 거래소나 블록체인 플랫폼을 주요 표적으로 삼는다. 일례로 지난달에는 북한 사이버 공격그룹 라자루스가 암호화폐 거래소 바이비트를 해킹해 2조1000억원 규모의 암호화폐를 탈취하기도 했다.
반면 중국 해커들은 주로 정보 수집을 비롯한 스파이 활동을 목적으로 한다. 이들은 제로데이 취약점을 활용한 공격(아직 공표되지 않거나 조치방안이 발표되지 않은 보안취약점을 이용한 해킹)을 통해 특정 목표를 겨냥하고, 흔적을 최소화하며 은밀하게 활동한다. 해킹된 장치를 연결해 만든 복잡한 네트워크가 일시적이고 빠르게 변화해 추적 및 탐지가 어려운 'ORB 네트워크'와 같은 복잡한 기법을 사용해 탐지와 추적을 어렵게 만든다.
구글 클라우드는 글로벌 사이버 위험 동향과 관련해서는 랜섬웨어와 데이터 갈취 행위와 관련한 데이터 유출 사이트(DLS) 피해 건수가 지속적으로 증가하고 있다고 설명했다. 2020년부터 DLS를 추적하기 시작한 이래로 2024년 가장 많은 피해가 발생했다고 집계된다.
한국 역시 이런 공격에서 자유롭지 않은 상황이다. 맥나마라 애널리스트는 "한국에서 지난 2년 간 가장 많이 공격을 받은 사업군은 제조업, 금융 서비스, 미디어 및 엔터테인먼트 부문이었다"며 "최근 APT38, 라자루스 등의 북한과 연관된 사이버 공격그룹이 제조업, 자동차, 방산, 반도체 산업을 겨냥하고 있는 것으로 파악하고 있다"고 말했다.
AI도 사이버 보안의 새로운 트렌드로 떠오르고 있다. 맥나마라 애널리스트는 "북한을 비롯한 적대적 국가들이 구글의 생성형 AI '제미나이'를 사이버 공격에 활용하고 있다"며 "이들은 정보 수집, 취약점 연구, 피싱 메시지 생성, 악성 코드 개발 등에 AI를 이용하고 있다"고 말했다. 이어 그는 "공격자들이 AI를 활용하는 초기 단계이기 때문에 해킹을 막기 위해선 기업들도 해당 부분에 대한 이해도를 높일 필요가 있다"고 조언했다.
홍주연 기자
jyhong@chosunbiz.com