|
20일(현지시간) 가디언에 따르면 구글 위협정보팀은 최근 보고서를 통해 북한이 외화벌이를 위해 IT 기업에 위장 취업하는데 미국에서 단속이 강화되자 영국과 유럽을 타깃으로 삼고 있는 것으로 나타났다고 밝혔다.
보고서에 따르면 북한의 IT 한 공작원이 미국과 유럽 전역에 12명의 다른 인물로 가장해 원격 근무 일자리에 지원했다. 특히 방위산업과 정부 부문에 취업을 시도한 것으로 드러났다.
구글의 수석분석가인 존 헐트퀴스트는 가디언과 인터뷰에서 “북한이 미국에서 단속을 피해 영국을 새로운 활동 중심지로 삼았다”며 “유럽 내에서도 영국에서 가장 활발하게 활동하고 있다”고 밝혔다.
이러한 북한의 IT 인력 사기 수법은 보통 현지에 있는 조력자의 도움을 받아 이뤄지는 것으로 전해졌다. 조력자는 해당 국가 내에 실제로 거주하면서 북한 IT 공작원에 위조 여권을 제공하거나 현지 주소를 유지하는 등의 중요한 지원 역할을 한다. 채용이 확정되면 회사에서 허가한 노트북을 보내는 데 필요한 주소도 이들이 제공한다. 기업이 채용한 북한 IT 직원은 실제로는 북한에 있거나 다른 나라에 있지만, 조력자의 주소로 받은 노트북에 원격 접속해 일한다. 기업 입장에선 해당 장비가 현지 직원에게 전달된 줄 알지만, 실사용자는 북한 인물이라는 얘기다.
또 북한의 가짜 IT 인력들은 보안 감시를 회피하기 위해 최근엔 개인 장비를 사용하는 기업 환경을 악용하는 것으로 전해졌다. 이러면 장비를 회사가 직접 관리하지 않기 때문에 가짜 신원이든 실제 사용자가 누구든 추적하기가 어려워 북한 측이 더 쉽게 위장할 수 있는 환경이 된다는 지적이다.
헐트퀴스트 수석분석가는 이러한 수법은 인사(HR) 부서의 기본적인 신원 확인만으로도 차단 가능하다고 강조했다. 그는 “이들의 사기는 대부분 카메라 앞에 서거나 직접 사무실에 나오라는 요청만으로도 무너진다”고 말했다.
사이버보안 기업 시큐어웍스 소속인 세라 컨 북한 사이버 위협 전문가도 “문제는 생각보다 훨씬 광범위하며, 많은 기업이 이를 인식하지 못하고 있다”고 지적했다. 그러면서 “이들이 영상 인터뷰를 꺼리는 이유 중 하나는 다수가 작은 작업실에 모여 근무하는 상황에서 배경이 노출되는 것을 피하기 위해서”라며 “영상 또는 대면 면접을 통해 이력서상의 인물과 실제 지원자가 일치하는지를 확인하는 것이 매우 효과적인 대응책”이라고 조언했다.
전문가들은 또 다른 경고 신호로 자주 바뀌는 주소지, 급여 수령 계좌를 일반 은행 계좌가 아닌 환전 서비스 계좌로 요구하는 경우 등을 꼽았다.
북한 IT 인력들은 주로 업워크(Upwork), 프리랜서(Freelancer), 텔레그램 등 온라인 플랫폼을 통해 유럽 기업에 접근하고 있는 것으로 파악됐다. 업워크 측은 “허위 신원 사용은 명백한 약관 위반”이라며 “악성 행위자를 플랫폼에서 제거하기 위한 조처를 하고 있다”고 밝혔다.
