북한 IT 인력 위장 취업 수법과 기업 보안 대응 가이드

북한 IT 인력 위장 취업 및 사이버 공격 실태와 기업 보안 대응 전략

핵심 요약 최근 북한 IT 인력들이 딥페이크와 AI 기술을 활용해 미국 포춘 500대 기업 및 방산 업체에 위장 취업하여 막대한 외화를 벌어들이고 있습니다. 2024년 한 해에만 약 8억 달러 규모의 수익을 창출한 것으로 추정되며, 단순 취업을 넘어 기업 내부 데이터를 탈취하고 암호화폐를 공격하는 정교한 사이버 테러로 진화하고 있습니다.

북한IT 인력 위장 취업 및 사이버 공격 실태 인포그래픽

북한의 엘리트 사이버 공작원, 어떻게 침투하나?

과거의 사이버 공격이 시스템 해킹에 집중했다면, 최근의 트렌드는 '신분 도용을 통한 위장 취업'입니다. 팬데믹 이후 활성화된 원격 근무 환경은 북한 IT 인력들에게 거대한 기회의 장이 되었습니다.

탈북자 '안톤 코'의 증언에 따르면, 이들은 세련된 링크드인 프로필과 미국 중서부 IP 주소를 사용해 평범한 소프트웨어 개발자로 위장합니다. 하지만 실제로는 중국이나 러시아의 국가 운영 기숙사에 거주하며 조직적으로 움직입니다. 이들은 각 근로자 수입의 최대 90%를 정권에 상납하며 북한 핵무기 프로그램의 주요 자금원 역할을 하고 있습니다.

North Koreans using computers ❘ Image: KCTV (May 10, 2024)

정교해진 기만 전술: 딥페이크와 AI의 결합

북한 해커 조직인 UNC1069(일명 BlueNoroff)는 단순한 이력서 위조를 넘어 최첨단 기술을 공작에 도입하고 있습니다. 이들의 주요 수법은 다음과 같습니다.

딥페이크 면접 위협

• 실시간 딥페이크 면접: AI로 생성된 가짜 얼굴과 음성을 사용해 화상 면접을 통과합니다.
• 노트북 팜(Laptop Farms) 운영: 미국 현지에 물리적인 노트북 거점을 두고 원격 접속하여 IP 추적을 회피합니다.
• 사회공학적 해킹: 텔레그램으로 신뢰를 쌓은 뒤 가짜 Zoom 링크로 유도하여 악성코드를 심는 'ClickFix' 공격을 수행합니다.

주의 구글 위협 인텔리전스 그룹에 따르면, 북한 해커들은 Gemini와 같은 생성형 AI를 사용하여 피싱 스크립트를 작성하고 암호화폐 탈취 코드를 정교화하고 있습니다. 보안 시스템이 탐지하기 어려운 '정상적인 사용자 패턴'을 모방하는 것이 특징입니다.

 

UNC1069 Targets Cryptocurrency Sector with New Tooling and AI-Enabled Social Engineering | Google Cloud Blog

 

경제적 피해 규모 및 주요 타겟 분석

북한 연계 해커들의 공격 대상은 이제 일반 기업을 넘어 금융권과 방위산업체로 확대되고 있습니다. 2025년 한 해에만 발생한 피해 규모는 가히 압도적입니다.

구분	주요 수치 및 내용
연간 추정 수익	약 8억 달러 (2024년 기준)
암호화폐 탈취액	20억 2천만 달러 (전체 서비스 침해의 76%)
침투 범위	포춘 500대 기업 대다수 포함 40개국 이상
주요 타겟	Web3, 벤처 캐피탈, 방산 계약업체

Figure 5: UNC1069 victimology map

실사용자 관점 분석: 기업이 직면한 위험 요소

단순히 급여를 가로채는 것을 넘어, 이들은 기업 내부 시스템에 백도어(Backdoor)를 설치합니다. 특히 이번에 발견된 DEEPBREATH, SILENCELIFT 등의 악성코드는 macOS와 윈도우 환경 모두에서 브라우저 데이터와 인증 정보를 무차별적으로 탈취합니다.

만약 귀하의 회사가 원격 개발자를 채용하고 있다면, 신분 확인 절차가 단순히 서류상으로만 진행되지 않는지 반드시 점검해야 합니다. "보이지 않는다고 해서 일어나지 않는 것이 아니라, 단지 탐지하지 못하고 있는 것일 뿐"이라는 구글 보안 전문가의 경고를 무겁게 받아들여야 합니다.

Figure 3: Attack chain

완동이의 인사이트 자동화와 원격 근무의 효율성은 높지만, 보안이 담보되지 않은 기술 도입은 독이 될 수 있습니다. 특히 AI를 활용한 신분 위조는 인간의 눈으로 구별하기 불가능한 수준에 도달했습니다. 이제는 채용 단계에서부터 하드웨어 기반의 2단계 인증(MFA)과 배경 조사를 강화하는 '제로 트러스트' 모델 도입이 필수적입니다.

---

위장된 디지털 정체성

자주 묻는 질문 (FAQ)

Q1. 북한 IT 인력인지 어떻게 구별할 수 있나요?

IP 주소가 VPN이나 데이터 센터를 경유하는지 확인하고, 면접 시 실시간 질문에 대한 답변 속도나 주변 환경의 어색함을 체크해야 합니다. 또한, 급여 계좌가 개인 명의가 아닌 제3자나 불투명한 법인 계좌를 요구하는 경우 의심해야 합니다.

Q2. 딥페이크 면접을 방어하는 방법은 무엇인가요?

화상 면접 중 갑작스럽게 고개를 옆으로 돌리게 하거나, 특정 물체를 얼굴 앞에 가져다 대도록 요청하는 등의 실시간 상호작용 테스트가 효과적입니다. 딥페이크 모델은 아직 측면 얼굴 처리나 가림 현상에서 왜곡이 발생하기 쉽기 때문입니다.

Q3. 우리 회사는 규모가 작은데도 타겟이 될까요?

네, 그렇습니다. 북한 해커들은 중소 소프트웨어 개발사를 징검다리 삼아 더 큰 기업이나 공급망(Supply Chain)을 공격하는 수법을 즐겨 사용합니다. 규모와 상관없이 보안 취약점은 언제나 타겟이 됩니다.

---

요약 및 마무리

북한 사이버 공격 프로세스

 

북한의 사이버 공작은 단순한 해킹을 넘어 AI와 딥페이크를 결합한 지능형 서비스로 진화했습니다. 2025년에도 이러한 위협은 더욱 거세질 전망입니다. 기업들은 기술적 방어 체계 구축은 물론, 임직원들의 보안 의식 강화와 철저한 신원 검증 프로세스를 마련해야 합니다.

이 글이 도움이 되셨다면 '공감' 한 번 부탁드립니다. 다음 분석글을 쓰는 데 큰 힘이 됩니다.