"원격 근무하던 美 개발자…알고보니 북한인"

북한 정보기술(IT) 노동자들이 원격 근무를 악용해 미국, 유럽에 위장 취업한 사례가 늘었다는 보고서 결과가 나왔다. 회사 여러 곳에 동시 취직해 금전적 이익을 취했을 뿐 아니라 사내 시스템에 접속해 정보를 유출한 것으로 드러났다. 29일 맨디언트는 북한의 'UNC5267'이 서방 국가를 겨냥해 위장 취업을 이어가고 있다고 발표했다. UNC5267은 위장 취업 조직이다. 2018년부터 현재까지 활동을 진행하고 있다. 이중 다수는 100% 원격 근무 가능한 IT 업체에 지원한 것으로 전해졌다. 맨디언트는 UNC5267이 코로나19 이후 원격 근무가 늘었던 IT 업계 분위기를 악용했다고 분석했다. 보고서에 따르면 해당 그룹 멤버들은 동시에 여러 회사에 취직해 근무해 미국서만 약 300개 회사에 금전적 피해를 끼쳤다. 이런 방식으로 2020년 10월부터 3년 동안 680만 달러(약 89억원)를 벌어들인 것으로 알려졌다. UNC5267은 이력서에 일본이나 싱가포르 등 아시아권에서 대학을 졸업했다고 허위 기재했다. 서양 기업들이 이같은 학력 위조 사실을 파악하기 어려웠던 이유다. 맨디언트는 "다수 이력서는 조작된 소프트웨어(SW) 엔지니어 프로필과 연결됐다"며 "고위 전문가 이미지가 담긴 허위 추천서도 발견됐다"고 설명했다. 이들은 주로 중국이나 러시아, 아프리카, 동남아시아에 파견된 IT 원격근무자로 근무했다. 또 화상 회의 등 카메라로 소통하는 것을 꺼려한 것으로 전해졌다. 맨디언트는 UNC5267이 불법 급여 수익을 북한 탄도 미사일 개발비에 보탰을 것으로 분석했다. 해외 기업 시스템에 들어가 임직원 신원과 회사 정보를 유출할 가능성도 높게 봤다. 앞서 전문가들은 북한이 금전적 이득과 정보 탈취를 위해 IT 분야에서 이같은 행위를 일삼는다고 재차 강조했다. 레코디드퓨처 미치 해자드 위협인텔리전스 수석연구원은 "북한 정권은 물리적 방해나 대규모 사이버 공격보다 금전적 이득이나 기밀정보 수집을 위해 IT 분야에서 불법적 행위를 일삼는다"고 지난달 기자간담회에서 발표했다. 맨디언트는 기업에 생체정보를 비롯한 엄격한 신원조회 서비스 도입이 필요하다고 주장했다. 또 인터뷰 중 카메라를 통해 실물이 온라인 프로필과 일치하는지, 지원자 답변이 이력서 속 배경과 일치하는지 등 확인 절차가 필요하다는 점도 당부했다. 맨디언트 관계자는 "북한 사이버 공격자들의 복잡하고 교묘한 속임수를 막기 어려워진 추세"라며 "네트워크 모니터링과 행동 패턴 분석 솔루션 활용, 임직원 교육, 파트너사 계약 내용 재검토 등 입체적인 보안 대책이 필요하다"고 강조했다.