"北, 가상자산 이해도 매우 높아"

루크 맥나마라 구글 위협인텔리전스그룹 맨디언트 부수석 애널리스트가 18일 서울 강남구 구글코리아 사무실에서 열린 '구글 클라우드 시큐리티 데이 미디어 브리핑'에서 발언하고 있다./사진=구글 클라우드

북한의 사이버 위협이 전 세계에서 기승을 부리고 있다. 직접적인 침입·랜섬웨어 공격에서 나아가 아예 기업·기관이나 협력사에 취업한 뒤 정보를 빼돌려 돈을 뜯는 사건이 잇따르는 추세다.

루크 맥나마라 구글 위협인텔리전스그룹 맨디언트 부수석 애널리스트는 18일 서울 강남구 구글코리아 사무실에서 열린 '구글 클라우드 시큐리티 데이 미디어 브리핑'에서 북한의 사이버 공격 동향을 이같이 설명했다.

맥나마라는 "북한은 간첩활동보다도 금전적 이득 혹은 갈취 목적의 공격이 두드러진다"며 "특히 가상자산이나 가상자산거래소를 노리거나 가상자산 사용자, 혹은 대체불가능토큰(NFT) 프로젝트를 겨냥한 활동이 있었다"고 말했다.

북한 해커는 해외 보안업계에서 주된 공격자로 주목받는다. 실제로 북한 해커조직 라자루스는 지난달 해외 가상자산거래소 바이비트에서 발생한 2조원대 가상자산 탈취사고의 가해자로 지목됐다.

맥나마라는 "북한은 특이하게도 가상자산 산업이나 기술에 대한 이해도가 굉장히 높다"며 "NFT나 브릿지 등 신기술이 나올 때마다 빠르게 이해하고 악용 방법을 알아냈다"고 밝혔다.

미국을 비롯한 해외 각국에선 기업·기관에서 근무하던 직원이 뒤늦게 북한 노동자로 드러나는 경우도 발견됐다.

맥나마라는 "한국에서 관찰된 적은 없지만, 북한은 정보기술(IT) 인력을 활용하는 방식도 세계적으로 일어난다"며 "주 목적은 취직한 뒤 수입을 창출해 북한 정권에 송금하는 것이고, 일부는 해커조직과 관련된 경우도 있다"고 밝혔다.

또 "북한 인력은 프리랜서 구인구직 웹사이트를 이용, 단기 프로젝트에 소프트웨어(SW) 엔지니어로 지원한 뒤 구직에 성공하기 위해 국가별 현지 브로커와 긴밀히 공조한다"며 "브로커는 북한 정권에 가담하는 줄 모른 채 활동하기도 한다"고 말했다.

브로커들은 기업·기관이 실시하는 구직정보 검증(백그라운드 체크)을 돕고 은행계좌 개설이나 업무용 컴퓨터 수령을 대행하는 것으로 전해졌다. 일부 기업은 해고된 북한 노동자로부터 '비트코인을 지급하지 않으면 민감한 정보를 유포하겠다'는 공갈 메일을 받았다.

맥나마라는 "인사(HR)부서 등 구인 담당자들에게 조언하자면, 북한 노동자는 화상면접에서 카메라 켜는 걸 거부하거나 업무용 컴퓨터를 이력서에 기재한 주소가 아닌 곳으로 배송해달라고 요청하는 경우가 있었다"며 "구직정보 확인을 철저히 할 필요가 있다"고 말했다.

이어 "미국의 경우 소기업이나 스타트업이 재택근무를 많이 활용해서 북한 노동자의 취업이 문제된 것 같다"며 "가상자산·IT 스타트업, 특히 미국 기업은 요즘도 재택근무가 많은 상황"이라고 밝혔다.

아울러 "북한 노동자는 애니메이션·금융·방산 등 모든 산업군에서 발견됐다. 미국뿐 아니라 아시아·유럽에서도 사례가 있었다"며 "본사가 아니라 협력사나 작은 공급사는 탄탄한 고용절차가 없어서 (북한 노동자를 가리는 데) 어려움을 겪는다"고 했다.

맥나마라는 이날 전 세계 사이버 위협동향도 설명했다. 공격자(해커)들은 탐지·추적을 회피하기 위해 가상사설망(VPN)·라우터 등 단말 인프라로 공격경로를 다변화했고, 범죄집단과 국가의 지원을 받는 해킹조직은 서로 도우면서 공격대상을 주고받는 사례가 나타났다.

최근 해커조직 사이에서 생성형 인공지능(AI)은 이력서 사진 조작이나 간단한 코딩 등에 서서히 도입되고 있다. AI를 악용해 완전히 새로운 공격기법이 만들어진 사례는 발견되지 않았다고 맥나마라는 설명했다.

한편 랜섬웨어 공격을 당한 기업들 사이에선 피해를 감수하고 해커의 금전요구를 거절하는 사례가 늘어나는 추세다. 맥나마라는 "데이터 유출사이트에 게시되는 피해사례가 늘고 있는데, 이는 사전에 금전을 지불하지 않는 피해자가 증가한 것을 의미한다"고 밝혔다.

성시호 기자 shsung@mt.co.kr

Copyright © 머니투데이 & mt.co.kr. 무단 전재 및 재배포, AI학습 이용 금지