컨텐츠 바로가기

02.15 (토)

일 잘하던 직원, 알고보니…원격근무 허점 노려 수천억 번 북한 해커들

댓글 첫 댓글을 작성해보세요
주소복사가 완료되었습니다
머니투데이

지난 23일(현지시간) 미국 법무부가 신분을 속여 미국 IT기업에 위장취업해 최소 64개 기업으로부터 12억여원 이상을 벌어간 것으로 보이는 5명을 기소했다고 밝혔다. 이들 5명 중 2명은 북한 국적자였다. / 사진=미국 법무부 홈페이지 캡쳐

<이미지를 클릭하시면 크게 보실 수 있습니다>



숙련된 프리랜서 IT 근로자인 것처럼 신분을 속여 대북 제재를 회피해 미국 IT기업에 취업하고 6년여 기간 동안 최소 12억원 이상의 임금을 받아갔던 북한인들을 미국 법무부가 기소했다.

25일 구글 맨디언트 등에 따르면 미국 법무부(DOJ)는 현지시간으로 지난 23일 '진성일'(Jin Sung-il) '박진성'(Pak Jin-song) 등 북한 국적자 2명과 멕시코 국적자 1명, 미국 국적자 2명 등 5명을 컴퓨터 손상 공모, 전신·우편 사기 공모, 자금세탁 공모, 허위 신분증 전송 공모 등혐의로 기소했다고 밝혔다.

이들은 원격 IT 근무 계약을 미국 기업과 체결해 북한 정권을 위한 수익을 창출했다는 혐의를 받는다. 미국 법무부는 "무기 프로그램 둥 북한 정권의 우선 사항에 자금을 조달하기 위한 사이버 기반 제재 회피계획을 방해하는 데 주력하고 있다"며 "북한의 행위자(actors)와 이들에게 물질적 지원을 하는 사람을 강력히 추적하는 것도 우리의 활동에 포함돼 있다"고 했다.

미국 법무부에 따르면 이들은 2018년 4월부터 2024년 8월까지 4년 4개월에 걸쳐 최소 64개의 미국 기업에서 일자리를 얻었다. 이 중 10개 기업에서 지불한 돈이 최소 86만6255달러(약 12억4000만원)에 이르는 것으로 조사됐다. 나머지 54개 또는 그 이상의 기업이 이들에게 임금 등 명목으로 지급한 돈을 더하면 피해금은 더 클 것으로 보인다.

미국에서 버젓이 불법 행위를 저지를 수 있었던 비결은 바로 노트북 팜(Notebook Farm)이었다. 구글 맨디언트에 따르면 노트북 팜은 특정 장소에 노트북을 모아둔 곳을 일컫는다. 이들 노트북은 IP(인터넷 주소) 기반으로 키보드나 마우스 등 기기를 하나의 장치로 통합하는 'KVM'이라는 장치를 이용해 원격으로 조작된다. 노트북 팜을 이용하면 해당 장소에 행위자가 없어도 마치 그 장소에서 작업을 하고 있는 것처럼 위장할 수 있다.

이번에 기소된 피고인들은 분실·도난된 미국인의 여권과 같은 신분증을 사용해 신분을 숨겨 북한 국적자의 미국 기업 취업을 막는 제재를 우회했다. 이번에 기소된 이들 중 미국 국적자 2명은 미국 기업으로부터 노트북을 배달받아 권한 없이 원격 접속 소프트웨어를 설치해 북한인 IT인력들이 접속할 수 있도록 도왔다.

머니투데이

임종철 디자이너 /사진=임종철

<이미지를 클릭하시면 크게 보실 수 있습니다>


미국 법무부는 "북한은 수천 명의 숙련된 IT근로자를 주로 중국·러시아에 파견해 미국과 전 세계의 다른 기업들을 속여 프리랜서 IT 근로자로 일하도록 해 수익을 창출하는 것을 목표로 했다"고 지적했다. 가명 이메일이나 소셜 미디어, 결제 플랫폼, 온라인 구직 사이트, 가짜 웹사이트 등이 이같은 계획에 활용된다. 북한 IT근로자는 북한 국방부나 대량살상무기 프로그램 등을 위해 1인당 이같은 방법으로 매년 30만달러(4억3000만원)씩, 수억 달러(수천억원)를 조달해온 것으로 알려졌다.

다만 이같은 미국 당국의 압박이 되레 북한 공격자들이 더 공격적으로 변하게 할 것이라는 우려도 제기된다. 구글 맨디언트 북한위협 헌팅팀의 마이클 반하트(Michael Barnhart) 수석 애널리스트는 "북한의 정교한 IT인력 작전에 대한 사법 기관과 언론의 압박이 증가하면서 이들의 작전 성공률에 영향을 미치기 시작했다"며 "불행히도 이같은 결과는 북한 공격자들의 전술을 눈에 띄게 더 공격적으로 만드는 데도 영향을 줬다"고 평가했다.

반하트는 "이들은 원격으로 근무하는 직원에게 실물 노트북을 보내는 대신 가상 데스크톱 인프라(VDI)를 사용하기 시작한 일부 기업을 겨냥해 탈취 작전을 펼치고 있다"며 "VDI를 사용하는 것은 기업 입장에서 비용 효율적이긴 하지만 공격자가 공격을 숨기기 훨씬 용이하기도 하다"고 했다. 또 "단기적으로 비용을 절감하기 위한 운영이 장기적인 보안 위험과 재정적 손실로 이어지고 있기에 기업들은 이러한 비즈니스 운영에 주의를 기울여야 한다"고 했다.

한편 북한 IT근로자들의 활동은 비단 미국 등에만 그치지 않고 국내에까지 영향을 미친 바 있다. 지난해 초 국가정보원은 북한 IT조직과 결탁해 수조원 대 수익을 거둔 한국 범죄조직을 적발해 경찰에 넘긴 바 있다. 한국 범죄조직이 불법 도박 사이트의 개발과 운영을 중국 소재 북한 IT 조직에 의뢰하고 그에 상응하는 개발비와 유지보수비 등을 지급한 사실을 적발한 것이다. 당시 문제가 된 조직은 북한 정찰총국 소속인 것으로 파악됐다.

황국상 기자 gshwang@mt.co.kr

ⓒ 머니투데이 & mt.co.kr, 무단 전재 및 재배포 금지
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.