[디지털데일리 김보민기자] 정보기술(IT) 노동자로 위장 취업한 북한 연계 공격자들을 주의해야 한다는 목소리가 커지고 있다. 단순 스파이 활동을 넘어 금전을 갈취하려는 움직임도 포착되고 있어, 채용 단계부터 주의가 필요하다는 의견이 나온다.

11일 보안업계에 따르면, 보안 전문가들은 이달 1일(현지시간)까지 미국에서 열린 최대 사이버보안 행사 'RSA콘퍼런스(이하 RSAC)'에서 북한 IT 위장 취업에 대한 우려를 내비쳤다.

현장에서 위협 인텔리전스 미디어 <더레코드>를 만난 샘 루빈(Sam Rubin) 팔로알토네트웍스 수석 부사장은 자사 고객 중 한 곳에서 구인 공고를 올린 지 12시간 만에 최소 한 명의 북한 IT 노동자가 지원서를 제출했다고 밝혔다. 채용 공고 90%에 최소 한 명의 북한 출신 지원자가 이력서를 제출한 사례도 있었다. 루빈 수석 부사장은 "계약직 근로자를 채용한 기업이라면, 북한 위장 취업자가 면접을 봤거나 이미 근무를 하고 있다고 봐두 무방하다"고 경고했다.

특정 국가와 기업에만 한정된 것으로 알려진 북한 IT 위장 취업이, 이제 모두의 문제로 떠올랐다는 취지다. RSAC 패널 토론에 참석한 아담 마이어스 크라우드스트라이크 정보담당 수석 부사장은 "북한 IT 근로자가 기업 내에서 최대 14개월을 근무하는 사례를 포착했다"며 "어느 정도 적절한 수준의 업무를 수행하기도 했다"고 말했다. 위장 취업을 하더라도 기본 수준의 IT 역량을 갖춘 경우도 있다는 설명이다.

북한 연계 공격자들이 IT 노동자로 위장 취업하기 용이해진 시점은 코로나19가 발병했던 때로 거슬러 올라간다. 당시 재택 및 원격근무가 활성화되면서 온라인 환경에서 면접을 보는 사례가 많아졌고, 당시 근무 방식을 유지하고 있는 IT 기업의 경우 이러한 위협에 취약해질 수밖에 없다. 최근에는 인공지능(AI)과 딥페이크 기술 등을 악용해 거짓 이력서를 작성하거나, 면접을 볼 가능성도 점쳐지는 분위기다.

과거에는 단순 정보 탈취 등을 위해 기업에 접근했다면, 이제는 금전적 갈취로 즉각 이득을 보려는 움직임도 두드러지고 있다. 루크 맥나마라 구글 위협인텔리전스 그룹 부수석 애널리스트는 지난 3월 국내 취재진을 만난 자리에서 "최근 (북한 관련 단체들은) 스파이 활동보다 금전적 갈취를 목적으로 공격 활동을 전개하고 있다"며 "북한 IT 인력은 모든 산업 부문에 진출해 있고, 근무 활동에 대한 적절한 보상을 받지 못했다며 비트코인을 지불하지 않으면 프로젝트 소스코드 등을 공개하겠다는 협박을 하기도 한다"고 말했다.

이러한 경고는 표적 국가들 사이에서도 나오고 있다. 영국 일간 가디언에 따르면 영국은 자국 회사들이 IT 인력을 채용할 때 대면 혹은 화상 면접을 실시할 것을 권고하고 있다고 밝혔다. 오랜 기간 위장 취업으로 피해를 입은 미국에서 공격 활동을 수행하기 어려워지자, 점차 유럽 지역에서 피해 사례가 포착되고 있다는 취지다. 보안업계에 따르면, 아직 한국에서 관련 피해는 포착되지 않은 것으로 알려졌다.

문제는 이러한 경고가 나오더라도, 실제 자사에 위장 취업 직원이 근무하고 있는지 파악하기 어렵다는 것이다. 루빈 수석 부사장은 주요국이 법 집행과 보고를 수행하고 있지만 공격 규모를 파악하기 어려운 실정이라며 "(모든 기업에게) 큰 문제로 다가오고 있다"고 강조했다.