IT근로자 가장한 북한해커 ‘외국기업 암호화폐’ 어떻게 훔쳤나?

2024.11.29

[AI요약] 북한해커들이 북한 정권을 위해 암호화폐를 훔쳐 나르고 있다. 북한 IT 근로자들은 가짜 신원을 만들어 전세계 수백개의 조직에 이미 침투한 것으로 나타났다. 이들은 채용 담당자와 벤처 캐피털리스트로 위장했으며, 이 과정에서 가상회의를 진행해 회의가 부적절하게 로드되도록 설계했다. 또한 미국에 있는 중개업체를 통해 회사에서 발급한 워크스테이션을 이용하고 수입을 처리하면서 북한에 적용되는 재정 제재를 피해갔다.

북한해커들이 수단과 방법을 가리지않고 개인 및 기업을 속여 데이터를 빼내고 협박하고 있는 것으로 나타났다. (이미지=FBI)

북한해커들이 김정은 정권을 위해 비밀리에 암호화폐를 훔치고 있다.

북한해커들이 근로자를 가장해 수십억달러의 암호화폐를 훔친 경위와 방법에 대해 테크크런치 등 외신이 28일(현지시간) 보도했다.

외신에 따르면 북한해커들은 벤처 캐피털리스트, 대기업의 채용 담당자, 새로 고용된 원격 IT 근로자 등으로 가장해 북한 정권을 위해 암호화폐를 훔치고 있는 것으로 드러났다.

미국 워싱턴DC에서 지난주 개최된 사이버 공간의 파괴적 위협에 초점을 맞춘 연례 컨퍼런스 사이버워콘(Cyberwarcon)에서 보안연구원의 북한 위협에 대한 최신 평가가 발표됐다.

연구원에 따르면, 북한 해커들이 다국적 기업에서 일자리를 구하는 직원으로 가장해 북한 정권을 위해 돈을 벌고 무기 프로그램에 도움이 되는 기업 비밀을 훔치려는 지속적인 시도를 하고 있는 것으로 나타났다.

이러한 북한 사기꾼들은 지난 10년 동안 수십억달러의 암호화폐를 훔쳐 북한의 핵무기 프로그램에 자금을 지원하면서도 수많은 국제 제재를 피했다.

특히 북한 IT 근로자들이 가짜 신원을 만들어 전세계 수백개의 조직에 이미 침투했으며, 미국에 있는 중개업체를 통해 회사에서 발급한 워크스테이션을 이용해 수입을 처리하면서 북한에 적용되는 재정 제재를 피한 것으로 드러났다.

최근 북한해커들은 대부분 다양한 전술과 기술을 가진 해킹그룹의 집합으로, 암호화폐를 훔치는 집단적 목표를 가지고 있다. 북한은 현재 미국 주도의 경제 제재에 시달리고 있기 때문이다.

마이크로소프트 연구원에 따르면 ‘루비슬리트’(Ruby Sleet)이라고 부르는 북한 해커 그룹 중 하나는 무기와 항법 시스템을 개발하는 데 도움이 될수 있는 산업 비밀을 훔치려는 목적으로 미국 항공우주 및 방위 회사를 침해한 것으로 나타났다.

사파이어슬리트(Sapphire Sleet)라고 불리는 또 다른 북한 해커 그룹은 개인과 회사로부터 암호화폐를 훔치는 것을 목표로 채용 담당자와 벤처 캐피털리스트로 위장했다. 해당 해커그룹은 미끼를 던지는 초기 접근을 통해 대상에게 연락한후 가상 회의를 진행했지만, 실제로는 회의가 부적절하게 로드되도록 설계하는 방법을 썼다.

가짜 벤처 캐피털리스트 사기꾼은 피해자에게 깨진 가상 회의를 수정하는 도구로 위장한 맬웨어를 다운로드하도록 유도했으며, 가짜 채용 담당자 사기꾼은 잠재적인 채용자에게 실제로 맬웨어가 포함된 기술 평가를 다운로드해 완료하도록 요구했다.

맬웨어가 설치되면 암호화폐 지갑을 포함해 컴퓨터의 다른 자료에 액세스할수 있게 되는 것이다. 마이크로소프트에 따르면, 북한해커들은 6개월 동안만 최소 1000만달러(약 139억6500만 원) 상당의 암호화폐를 훔쳤다.

북한해커들의 사기 중에서도 가장 대처하기 어려운 상황은 이들이 코로나19 팬데믹 동안 시작된 원격 근무 유행을 타고 대기업의 원격 근무자로 채용되려는 끊임없는 시도다.

실수로 북한 해커를 고용한 수백개의 회사중 피해자로 공개적으로 나선 회사는 극소수에 불과한 것으로 나타났다. 기업이 내부 데이터 유출을 대중에게 알리는 것을 극도로 꺼려하기 때문이다.

IT근로자로 가장한 북한해커들이 북한 정권을 위해 외국기업 암호화폐를 훔치고 있다. (사진=georgetownsecuritystudiesreview.org)

현재까지 알려진 북한 IT 근로자가 기업을 속여 고용되는 방법으로 이들은 먼저, 링크드인 프로필과 깃허브 페이지와 같은 일련의 온라인 계정을 만들어 일정 수준의 전문적 신뢰성을 확립한다. 이후 이들은 얼굴 바꾸기 및 음성 변경 기술을 포함하는 AI를 사용해 가짜 신원을 생성한다.

기업은 IT 근로자가 고용되면 일단 직원을 위한 새 노트북을 미국에 있는 직원의 집 주소로 배송하는데, 기업에서 지급한 노트북 팜을 설정하는 북한 조정자는 노트북에 원격 액세스 소프트웨어를 설치해 전 세계 반대편에 있는 북한 스파이가 실제 위치를 밝히지 않고 원격으로 로그인할 수 있도록 했다.

미국 정부는 이미 최근 몇년 동안 북한의 IT 근로자 계획에 대응해 북한과 관련된 조직에 제재를 가해왔다.

FBI는 북한의 악의적인 행위자가 종종 도난된 신원에서 얻은 AI 생성 이미지 또는 딥페이크를 사용해 IT일자리를 얻고 있다고 경고했으며, 실제로 올해 미국 검찰은 제재 회피를 용이하게 하는 노트북 팜을 운영한 여러 개인을 기소했다.

제임스 엘리엇 마이크로소프트의 보안연구원은 “북한의 IT 근로자는 삼중 위협”이라며 “속임수를 써서 대기업에 일자리를 얻고 북한 정권을 위해 돈을 훔친 뒤, 회사와 비밀과 지적재산을 훔쳐 대중에 공개하겠다고 협박해 회사를 다시 한번 갈취한다”고 지적했다.

그는 “기업은 잠재적 직원에 대한 심사를 보다 심층적으로 해야한다”며 “북한해커들은 한동안 사라지지 않을 것”이라고 경고했다.

#북한 #암호화퍠 #해커

류정민 기자

znryu@daum.net

기자의 다른 기사보기