북한 IT 인력들이 단일 컴퓨터에서 최대 5개의 가짜 신분을 만들어 서로 다른 기업 취업을 시도한 정황이 확인됐다. 외국인 개발자로 위장한 계정에서 한국어 키보드와 운영체제 언어 설정 흔적도 발견되며 조직적 위장 취업 구조가 드러났다.
보안기업 로그프레소가 공개한 ‘북한 IT 인력 위장 취업 OSINT 분석’ 보고서에 따르면 북한 IT 노동자들은 일본이나 서구권 개발자인 것처럼 신분을 위장했지만 실제 기기 환경에서는 한국어가 사용된 것으로 분석됐다. 언어 설정과 신분 정보 간 불일치는 위장 취업 조직을 식별할 수 있는 핵심 단서로 지목됐다.
이번 분석은 딥웹과 다크웹에서 유통되는 인포스틸러 악성코드 감염 로그를 기반으로 진행됐다. 기존 악성코드 역공학 중심 분석과 달리 실제 감염 기기에서 유출된 이메일 계정, 패스워드, 접속 IP, 하드웨어 ID, 언어 설정 등 디지털 흔적을 교차 분석하는 방식이 사용됐다.
로그프레소는 미국 정부와 민간 연구기관이 공개한 북한 위장 취업 연관 이메일 계정 패턴 1879개와 2024년 이후 수집된 인포스틸러 감염 기록을 비교 분석했다. 총 104만5645건의 데이터를 교차 검증한 결과 이메일 계정 80개, IP 주소 66개, 하드웨어 ID 66개가 식별됐다. 이 계정들은 28개 국가에 걸쳐 490개 도메인에 접속한 것으로 나타났다.
특히 동일한 컴퓨터에서 서로 다른 이메일 계정으로 활동한 흔적이 발견됐다. 각 계정은 서로 다른 이름과 국적을 사용하며 독립된 인물처럼 위장돼 있었다. 연구진은 이를 개인 단위 활동이 아닌 조직적으로 설계된 다중 신원 체계 운영으로 판단했다.
패스워드 분석에서도 조직 운영 정황이 확인됐다. 서로 다른 이름과 국적을 사용하는 계정들이 동일하거나 유사한 비밀번호를 반복 사용한 것으로 나타났다. 레벤슈타인 알고리즘을 활용해 패스워드 유사도를 분석한 결과 단순 재사용을 넘어 일정한 변형 규칙이 존재한 것으로 나타났다. 이는 동일 운영 조직을 식별할 수 있는 핵심 지표로 분석됐다.
또 위장 취업 과정에서 SMS 인증 대행 서비스, VPN, 원격 접속 도구를 결합한 이른바 ‘인프라 3종 세트’를 활용한 정황도 확인됐다. 동시에 깃허브, 링크드인, 프리랜서 플랫폼, 엔젤리스트, 페이오니어, 스트라이프 등 실제 원격 개발자가 사용하는 서비스들도 함께 활용된 것으로 조사됐다.
전문가들은 북한의 위장 취업이 단순 외화 획득을 넘어 기업 내부 침투 수단으로 활용될 가능성이 크다고 분석한다. 기업 내부 시스템이나 소스코드 저장소, 클라우드 자산 접근 권한을 확보할 경우 이후 공급망 공격이나 정보 탈취로 이어질 위험이 있다는 지적이다.
로그프레소 양봉열 대표는 북한 IT 인력이 합법적인 개발자로 위장해 기업 내부 접근 권한을 확보할 경우 공급망 공격 등 더 큰 보안 위협으로 확산될 가능성이 높다고 밝혔다.
이에 따라 기업과 채용 플랫폼은 채용 단계부터 다층적인 검증 체계를 구축해야 한다는 지적이 나온다. 링크드인과 깃허브 활동 이력 교차 검증, 화상 면접 기반 실존 인물 확인, 비정상적인 다국가 접속 탐지, 동일 기기 기반 복수 계정 식별, 가상번호 인증 계정 관리, 원격 근무자 대상 업무용 장비 지급 및 MDM 도입 등이 대응 방안으로 제시됐다.
한편 로그프레소는 현재 5437억 건 이상의 CTI 정보를 기반으로 전 세계 보안 위협 정보를 실시간 수집·추적하고 있으며, 이를 자사 SIEM 및 SOAR 시스템과 연계해 보안 대응에 활용하고 있다고 밝혔다.
About the Author
