- 원격 엔지니어링, 풀 스택 블록체인 개발자로 취업 시도
- 미일뿐 아니라 유럽까지 노려…업계, 선제적 대응 필요
최근 암호화폐 절취 사건으로 북한의 사이버전 능력이 새삼 화두로 부상하고 있다. 북한 해커 조직은 지난달 21일 세계 3위 암호화폐 거래소 바이비트를 공격해 14억6000만 달러 상당의 이더리움(ETH)을 절취한 바 있다.
이뿐만이 아니다. 북한은 인민군 정찰총국 산하에 227연구소를 설립, 사이버전 능력을 더욱 강화하고 있다. 이 연구소의 주요 과제는 사이버 해킹 기술 개발이다.
특히 북한의 정보기술(IT) 노동자들이 위장 신분으로 해외 기업에 취업을 시도하는 경우도 잇따르고 있다. 이들은 미국과 일본, 더 나아가 유럽의 관련 기업에 침투해 사이버 범죄를 저지르고 있다. 여기서 얻은 수익은 북한 정부에 전달돼 대량살상무기(WMD) 개발에 사용되는 것으로 추정되고 있다.
최근 사이버 분석정보기업 니소스에서 발행한 보고서에 따르면 북한 IT 노동자들은 베트남인, 일본인, 싱가포르인 등 외국인으로 위장해 미국과 일본의 관련 기업에 원격 엔지니어링 또는 풀 스택 블록체인 개발자로 취업하려고 한 사실이 적발됐다.
원격 엔지니어링이란 원격으로 진행되는 기술 문제 해결이나 시스템 관리 작업 수행을 말한다. 또 풀 스택 개발자란 개발의 모든 단계를 혼자서 처리할 수 있는 개발자를 뜻한다. 마음만 먹으면 얼마든지 사보타지를 벌이기에 적합한 보직이다.
니소스는 이 보고서에서 위장 신분으로 구직 활동을 하던 북한인 6명을 적발했다고 밝혔다. 이 중 2명은 이미 취업했고, 나머지 4명은 원격 근무를 원하고 있었다. 그리고 모두가 깃허브를 이용해 가짜 신분과 이력을 만들었다.
깃허브는 마이크로소프트(MS) 산하의 공동 협업 플랫폼으로 전세계 1억5000만명의 개발자들이 모여 오픈 소스 소프트웨어를 공유하고 개발하는 곳이다. 여기서 완전히 새로 만들어낸 가짜 신분으로 활동하거나 기존 이용자의 정보를 변조 및 도용해 가짜 신분을 만드는 것이다.
가짜 신분으로 활동하는 북한인들은 자신들이 웹 개발, 모바일 앱 개발, 다양한 프로그램 언어와 블록체인 기술에 능통하다고 주장한다. 이들은 취업 사이트, 개인정보 사이트, IT 업계의 프리랜서 구인구직 플랫폼, 메시징 앱 등에 계정을 갖고 있었다.
하지만 소셜미디어 계정은 없었다. 이들의 신분과 이력이 구직 목적으로 위조된 것임을 뒷받침하는 대목이다. 심지어 전(前) 직장에서 일하는 사진이라고 게시한 것도 위조된 것이었다. 아울러 이들의 이메일 계정에는 숫자 '116', 영문 'dev'가 들어가는 등 서로 공통점이 발견됐다.
니소스는 이들 북한인이 취업 후 사이버 범죄로 부당 이득을 얻기 위해 구직 활동을 하고 있고, 이들이 획득한 부당 이득은 북한의 핵 및 탄도미사일 개발 자금으로 사용될 것이라고 결론지었다.
니소스의 보고서가 나오기 수주 전엔 북한 해커들이 가짜 홈페이지와 악성 소프트웨어를 사용해 구직을 원하는 프리랜서 개발자들을 유인하고, 이들의 개인정보를 불법 획득한 사건도 보고됐다.
니소스는 기업들이 이 같은 북한 해커들을 실수로라도 채용하지 않도록 주의를 당부했다. 우선 지원자의 신분 관련 서류를 본인이 직접 기업에 출석해 제출토록 해야 한다는 것이다. 그리고 지원자가 기존 온라인 활동을 하면서 밝힌 개인정보가 일관성 있는지 조사해야 한다는 것이다. 이렇게 해야 가짜 신분을 가진 지원자를 색출할 가능성이 높아진다는 것이다.
앞서 구글도 지난 7일 위장 신분을 지닌 북한 IT 인력의 위장 취업에 대한 보고서를 발간한 바 있다. 이 보고서에서는 북한 IT 인력이 미국과 일본 기업뿐 아니라 유럽 기업도 표적으로 삼고 있다고 밝혔다. 또한 위장 취업한 북한 IT 인력들이 전 세계를 무대로 활동하면서 정보 절취 등 각종 사이버 범죄를 저지르며 각국의 국가 안보까지 위협한다고 경고했다.
구글은 이에 대해 업계가 선제적으로 대응해야 한다고 강조했다. 내부자 위험 관리 프로그램의 강화, 채용 절차와 원격 근무 진행 시 보안 강화, 예상되는 사이버 범죄 적발 및 대응 훈련 실시 등이 필요하다는 것이다./ 이동훈 기자 ldh@sandtimes.co.kr