[디지털데일리 김보민기자] 정보기술(IT) 인력으로 위장 취업한 북한 연계 공격자들이 내부 데이터를 인질 삼아 금전적 대가를 요구하고 있다는 분석이 나왔다. 생성형 인공지능(AI)을 악용한 공격 또한 두드러지고 있는 가운데, 보안 체계를 강화해야 한다는 조언도 제기됐다.

루크 맥나마라(Luke McNamara) 구글 위협인텔리전스 그룹 부수석 애널리스트는 19일 서울 강남구 구글코리아에서 취재진을 만나 북한 배후 사이버 공격 동향을 공유했다. 그는 "최근 관련 단체들은 스파이 활동보다 금전적 갈취를 목적으로 공격 활동을 전개하고 있다"며 "암호화폐 및 거래소를 노리는 것은 물론, 북한 IT 인력을 활용하는 공격 활동도 거세지는 추세"라고 말했다.

북한 배후 공격 조직은 미국 등 주요국에서 IT 전문 인력으로 위장 취업해 내부 데이터를 탈취하는 위협을 이어왔다. 특히 코로나19 당시 재택근무가 활성화되면서, 비대면 면접과 근무가 활성화됐던 시기 관련 공격이 두드러지기 시작했다. 맥나마라 애널리스트는 "북한 IT 인력은 모든 산업 부문에 진출해 있다"며 "소프트웨어, 엔지니어로 일하고 있고 프리랜서 구인 웹사이트를 이용해 단기 프로젝트에 지원을 하는 경우도 있다"고 설명했다.

중개인(브로커)과 공조하는 경우가 다수라는 점도 강조했다. 맥나마라 애널리스트는 "중개인은 고용에 필요한 배경을 확인하거나, 현지 은행계좌를 개설하고 업무용 노트북을 수령하는 것을 도와주는 일을 한다"며 "다만 이들 중 다수는 자신이 북한 정권을 위해 가담하고 있다는 사실을 모르는 채 활동하고 있다"고 부연했다.

취업에 성공한 이후에는 내부 기밀 정보를 수집하고, 퇴사 후 이를 인질 삼아 대가를 요구하는 사례가 늘고 있는 것으로 나타났다. 이날 맥나마라 애널리스트가 소개한 이메일 사례에 따르면, IT 인력으로 위장 취업했다 해고당한 공격자는 "근무 기간 여러 프로젝트에 기여했고, 성공을 위해 충분한 노력을 기울였지만 보상이 지급되지 않았다"며 "현 상황이 해결되지 않고 향후 5영업일 이내 2비트코인(BTC)을 지불하지 않을 경우, 프로젝트 소스코드를 개방형 플랫폼에 공개할 의사가 있다"고 협박했다. 금전적 대가가 없다면 기밀 정보를 유출하겠다는 취지다.

맥나마라 애널리스트는 주요국과 달리 한국에서 관련 피해가 발생하지 않았다고 진단했다. 그는 "미국의 경우 소규모 스타트업에서도 재택근무를 허용하고 있기 때문에, 북한 IT 위장 취업에 따른 피해를 받고 있다"며 "(한국은 기업문화가 달라) 공격이 발견되지 않은 것으로 본다"고 말했다.

기업이 IT 위장취업 피해를 예방할 방법은 무엇일까. 맥나마라 애널리스트는 "초기 면접 단계에서 카메라를 켜는 것을 거부하거나, 회사 혹은 업무용 노트북을 이력서에 적시하지 않은 다른 주소로 보내달라고 요청하는 경우 (공격의) 힌트가 될 수 있다"며 "철저한 배경 확인이 필요한 때"라고 조언했다.

구글 위협인텔리전스 조사에 따르면, 한국에서 북한발 공격 발생률이 높은 산업군은 제조업, 금융서비스, 미디어 및 엔터테인먼트다. APT45를 비롯한 북한 대표 해킹 그룹은 국내 방산 및 반도체 업체를 노리는 움직임도 보이고 있다.

맥나마라 애널리스트는 "이제 북한을 비롯해 중국, 이란 공격 조직은 생성형 AI를 활용해 정보 작전을 펼치거나 딥페이크를 만드는 경우도 늘고 있다"며 "이력서에 넣은 가짜 사진을 만드는 데에도 AI를 활용하고 있다"고 진단했다. 구글 제미나이를 비롯해 빅테크 AI 서비스를 악용하는 사례도 늘고 있다.

클라우드를 겨냥한 보안 침해 사고도 늘고 있다. 구글 위협인텔리전스 조사에 따르면, 지난해 4분기 기준 클라우드 환경에서 발생한 데이터 갈취(37 ), 사기(37%), 피싱 이메일 배포(5%), 랜섬웨어(5%) 등 사고가 이어졌다. 이메일, 음성 피싱은 물론 자격증명 탈취 공격도 증가하고 있다.

맥나마라 애널리스트는 "북한 공격자는 암호화폐 등 주요 산업과 기술에 대한 이해도가 높다는 것이 특징"이라며 "기술적 변화와 혁신이 있을 때마다 이를 어떻게 악용할지 찾아내고 있다"고 말했다. 이어 "보안 담당자는 새 전술을 탐지하고 대응하는 속도를 늘려야 한다"며 "다중요소인증(MFA) 등을 통해 클라우드 자산을 지키고, 자격증명을 강화하는 것이 중요하다"고 조언했다.