구글 위협 인텔리전스 그룹, 북한 IT 인력의 위협 발표

북한 사이버 인력의 사이버 공격에 영향을 받고 있는 국가들. 구글 위협 인텔리전스 그룹 제공

구글 위협 인텔리전스 그룹은 북한의 IT 인력을 활용한 사이버 위협 활동이 미국을 넘어 유럽에서도 빠르게 확산되고 있다고 2일 밝혔다.

구글은 최근 미국 내 단속이 강화되면서 북한 IT 인력의 활동 범위와 규모가 글로벌 차원으로 확대됐다고 설명했다. 이들은 채용 과정에서 위조된 신원을 사용하거나 가상 인프라를 활용하고, 다양한 갈취 전술을 구사하는 등 점차 위협 수위를 높이고 있다.

지난해 말에는 한 북한 IT 근로자가 12개 이상의 위조 신분을 활용해 유럽과 미국 전역에서 활동한 정황이 포착됐다. 특히 유럽 내 방위 산업과 정부 기관에 취업을 시도한 사례도 확인됐다. 해당 인력은 조작된 추천서를 활용하고 채용 담당자와의 관계를 구축하는 방식으로 접근했다.

또 다른 IT 근로자는 독일과 포르투갈에서 구직 활동을 벌였으며, 유럽 내 구직 웹사이트와 자산 관리 플랫폼을 통해 로그인 자격증명을 수집한 것으로 나타났다. 영국에서는 웹 개발, 봇 개발, CMS 구축, 블록체인 기술 등 다양한 프로젝트에서 북한 IT 인력이 활동한 사례도 확인됐다. 구글은 이를 통해 북한 인력이 전통적인 웹 개발을 넘어 고급 블록체인 및 AI 기술에 이르기까지 폭넓은 역량을 보유하고 있다고 분석했다.

이들은 일자리를 얻기 위해 이탈리아, 일본, 말레이시아, 싱가포르, 우크라이나, 미국, 베트남 등 다양한 국적을 위장 수단으로 활용했다. 실제 인물과 허구 인물의 신원을 조합해 가공 신분을 만드는 방식도 동원됐다.

유럽 내 북한 IT 인력은 업워크, 텔레그램, 프리랜서 등의 플랫폼을 통해 모집됐다. 이들이 받은 임금은 암호화폐와 트랜스퍼와이즈, 페이오니아 등의 서비스를 통해 세탁되며 자금의 출처와 목적지를 은폐한 것으로 파악됐다.

구글은 또한 지난해 10월 말부터 북한 IT 인력의 갈취 시도와 공격 빈도, 규모가 크게 증가했다고 밝혔다. 이는 미국의 단속이 강화된 시점과 맞물린다. 구글은 북한이 사이버 공격을 통해 수익을 유지하기 위해 보다 공격적인 방식으로 대기업을 겨냥하고 있다고 분석했다.

특히 이런 사이버 위협에 노출될 가능성은 일부 기업들이 개인 기기 업무 활용(BYOD) 정책을 통해 개인용 노트북으로 가상머신에 접속하도록 허용하면서 더욱 커지고 있다. 구글은 이 같은 정책이 IT 인력의 활동 추적을 어렵게 만들고, 보안 사각지대를 키우는 원인이 될 수 있다고 지적했다.

제이미 콜리어 구글 위협 인텔리전스 그룹 유럽 지역 수석 고문은 "북한은 지난 10년 간 금융 기관이나 은행의 내부 시스템 해킹(SWIFT 공격), 랜섬웨어, 암호화폐 탈취, 공급망 공격 등 다양한 사이버 공격을 자행해 왔다"며 "이런 끊임없는 진화는 사이버 공격을 통해 정권에 자금을 조달하려는 북한의 오랜 노력을 보여준다"고 설명했다.

이어 "북한 IT 인력의 작전이 여지껏 성공해온 것을 감안하면, 북한은 전 세계로 활동 범위를 넓힐 가능성이 높다. 아시아태평양 지역도 이미 예외는 아니다"라며 "사이버 위협에 대한 인식이 부족한 곳에서 더 큰 피해를 일으킬 수 있으며, 그런 면에서 아태 지역은 특히 위험성이 높은 편"이라고 경고했다.

유진아기자 gnyu4@dt.co.kr

Copyright © 디지털타임스. 무단전재 및 재배포 금지.