겉으론 평범한 유럽 개발자…알고보니 北 자금줄?
북한 IT 인력의 사이버 위협이 북미 뿐 아니라 유럽을 비롯한 전 세계로 확대되고 있다는 연구 결과가 나왔다. 글로벌 단속이 강화되는 가운데 북한은 위조 신원, 암호화폐, 가상 인프라를 활용한 새로운 전략으로 사이버 공격의 범위를 넓히는 것으로 분석된다. 2일 구글 클라우드 위협 인텔리전스 그룹에 따르면 최근 수개월 간 북한 IT 인력은 유럽 방위 산업 및 정부 기관을 겨냥해 활동을 강화하고 있다. 그 동안 미국 내 위협 활동이 중심이었지만 유럽 국가들을 겨냥한 고도화된 전략이 다수 포착됐다는 설명이다. 보고서에 따르면 한 북한 IT 근로자는 12개 이상의 가짜 신분을 만들어 유럽과 미국 조직 침투를 시도했다. 이 과정에서 조작된 추천서를 제출하고 채용 담당자와의 관계를 활용했으며 위장 신원으로 이력을 다각화한 정황이 드러났다. 또 다른 사례에서는 독일과 포르투갈을 무대로 활동한 북한 IT 인력이 현지 구직 플랫폼에 접근하고 자본 관리 사이트 로그인 자격 증명을 도용한 것으로 나타났다. 영국에서는 웹사이트 개발, 봇, 콘텐츠 관리 시스템, 블록체인 등 다양한 기술 분야에서 프로젝트가 수행된 정황이 포착됐다. 북한 IT 인력은 국적을 이탈리아, 일본, 말레이시아, 싱가포르, 우크라이나, 미국, 베트남 등으로 위장했으며 실제 존재하는 인물의 정보와 가상 인물을 조합해 신분을 속였다. 활동 경로는 업워크, 텔레그램, 프리랜서 등으로 다양하며 수익금은 암호화폐와 페이오니아, 트랜스퍼와이즈 등을 통해 세탁된 것으로 분석된다. 북한 IT 인력의 공격 시도는 지난해 10월 이후 더욱 늘어났다. 이는 미국의 단속이 강화된 시기와 맞물려 위협 강도가 높아졌다고 보고서는 분석했다. 일부 기업에서 허용 중인 개인 기기 지참 근무(BYOD) 정책이 이런 위협을 키운다는 지적도 나온다. 개인 노트북을 통해 기업 시스템에 접근하도록 허용하는 환경이 감시 사각지대를 만들고 있다는 분석이다. 제이미 콜리어 구글 위협 인텔리전스 유럽 수석 고문은 "북한은 지난 10년간 금융 시스템 해킹, 랜섬웨어, 암호화폐 탈취 등 다양한 공격 수법을 구사해왔다"며 "사이버 위협 활동을 통한 수익 창출은 북한의 장기적인 전략"이라고 밝혔다. 이어 "북한 IT 인력의 활동이 전 세계로 확대되는 가운데 아시아태평양 지역도 예외는 아니며 사이버 보안 인식이 낮은 지역은 더 큰 피해로 이어질 수 있다"고 덧붙였다.
