[IGLOO] 합동 주의보! 신분 위장을 조심하라!

https://www.igloo.co.kr/security-information/%ed%95%a9%eb%8f%99-%ec%a3%bc%ec%9d%98%eb%b3%b4-%ec%8b%a0%eb%b6%84-%ec%9c%84%ec%9e%a5%ec%9d%84-%ec%a1%b0%ec%8b%ac%ed%95%98%eb%9d%bc/

합동 주의보! 신분 위장을 조심하라!

---

최근 글로벌 주요국들의 안보 기관&사이버 보안 업체들이 공통적으로 ‘北 IT 인력의 신분 위장 취업‘ 경고하는 합동 주의보를 연일 발표 중. 북한의 IT 전문가들이 북한사람이 아닌 것으로 가장하여 다양한 국가, 산업의 다양한 회사에 취직.

북한의 해킹 인력 양성 방법을 시작으로 북한 IT 노동자들의 위장 취업 행위 및 관련 악성 행위에 대해 알아보는 내용.

 

IT·해킹 인력 조기 양성에 집중하는 北 정권

북한은 핵·미사일(대량살상무기와 탄도미사일)개발 위해 가상화폐 탈취와 위장 취업 통해 개발 자금 조달 중.

1) 해킹 강국 북한, 비결은 IT 조기교육?

지난 5월 29일, 미국 재무부는 '2024 대체불가토큰(NFT) 불법 금융 리스크 평가' 보고서를 통해

북한이 지난 22년에만 최소 7억 2,000만 달러(약 9,860억 원)에 달하는 가상화폐를 탈취했다고 밝힘.

→ 익명성이 강조되고 관리가 비교적 허술한 가상화폐의 허점 노려 국제사회 제재망을 빠져나감.

 

특히 미끼 사이트를 만들어 '가상자산사업자(Virtual Asset Service Provider, 이하 VASP)들이 자산 계정 및 비밀번호 입력하도록 유도한 뒤 자금 빼내거나 자국 IT 기술자들을 중국인 등으로 위장시켜 세계 각지의 가상화폐 관련 사업에 참여토록 하는 수법 사용

가상화폐 탈취 위해 북한 해커들은 500개에 달하는 악성 사이트 운영 중, 위장 IT 기술자 역시 수천 명에 달함

 

북한의 높은 해킹 역량의 배경: IT 조기교육

지난해 5월 인도계 미국 기업인 해커어스(HackerEarth)가 개최한 코딩 및 해킹 대회 'May Circuits 2023'에서 北 김책공업종합대학(이하 김책공대) 학생이 만점으로 1위를 차지, 2위는 北 김일성종합대학 학생, 3위와 4위도 김책공대 학생이 차지하며 북한 대학생들이 상위권 기록

김책공대 - 북한의 공과대학으로, 한국의 포스텍과 유사함

북한에서는 중고등학교 시기 IT 관련 지식 공부하고 대학 진학 이후에는 실질적으로 북한 정권에게 금전적 이익 가져다 주는 '해킹'에 대한 전문적 교육 받음.

 

2) 북한의 대표적인 해킹 인력 양성소

외교부가 지난 5월 암호화폐 해킹 등과 관련해 추가 제재 대상으로 지정한 북한 기관들:

이 중 금성학원은 북한의 특목고로 불리며, IT 분야에서 최고 수재 학교.

북한의 '사이버 전사 사관학교' 역할을 수행. 이곳의 상위 인재들이 김일성종합대학, 평양콤퓨터기대학, 김책공대 등으로 진학해 해킹 능력을 키움. 

 

북한 IT 인력에 대한 '합동 주의보'

최근 북한 IT 인력들에 대한 '합동 주의보'가 끊이지 않고 있음.

전문적인 해킹 교육 받은 북한 IT 인력들은 여러 곳의 기업에 동시 취직해 금전적 이익 취할 뿐만 아니라 사내 시스템에 접속해 정보 탈취한 것으로 드러남. 

1)  맨디언트(Mandiant), "UNC5267을 조심하라"

지난 9월 29일, 美 사이버 보안 업체 맨디언트가 발표한 '북한 IT 노동자로 인한 위협 완화' 보고서에 따르면

북한의 IT 전문가들은 북한 사람이 아닌 것으로 가장하여 다양한 국가, 산업의 다양한 회사에 취직하여 적잖은 돈을 벌여들임. 

보고서는 북한의 'UNC5267'이 서방 국가를 겨냥해 위장 취업을 이어가고 있다고 발표.

UNC5267 - 위장 취업 조직으로 지난 2018년부터 활발한 활동 진행 중. 이 중 다수는 100%원격 근무가 가능한 업체에 지원.

UNC5267의 목표 3가지

 

이들은 정부에서 관리하거나 지령을 받아 움직이는 조직은 아니고, 다소 느슨하게 조직되어 있는 개개인의 집합에 더 가까움.

주로 중국과 러시아에 파견되거나 아프리카나 동남아에 근거지 마련하고 주로 미국이나 서방 국가 기업에 취업.

 

북한 IT 인력들은 여러 가지 방법으로 자신들의 정체 탄로나는 것을 막음.

진짜 이름 숨기기 위해 현지인을 고용하거나,

아예 현지에 페이퍼컴퍼니 역할을 해 줄 단체를 구성하거나,

미국의 경우 미국인이지만 북한인들의 이러한 활동을 돕는 사람들(美 정부 명칭으로는 촉진자라고 불림)이 있고 최근 몇 년간 이 촉진자들이 여럿 체포됨. 

 

촉진자들은 회사에서 제공하는 업무용 노트북 대신 수령하고, 해당 노트북을 자신의 집에 연결시켜 북한 해커가 원격 제어할 수 있게 해 주며 도용된 신원을 사용해 현지에서 필요한 서류를 꾸미거나 자금 세탁까지 도움.

이로 인해 지금까지 미국에서만 UNC5267에 속은 기업이 300개 이상, 최소 680만 달러(약 89억 원)의 피해가 발생함

 

UNC5267이 피해 기업의 원격 접근 권한 획득하려는 목적

• 물리적으로 다른 나라에 있음
• 원격에서 업무를 하는 사람들에게 기업들이 차츰 높은 접근 권한을 허용하는 경향을 가짐
  • 코드 수정, 네트워크 시스템 관리 등 IT 프로젝트를 위해 꼭 필요한 일들

원격 근무 가능한 부분에 지원 위해 북한 IT 인력들은 가짜 이력서를 정교하게 꾸미기도 함.

한두 명이 여러 개의 이력서를 만들어 회사에 뿌리고 있던 걸로 밝혀짐. 

북한 IT 인력의 허위 이력서

허위 이력서 등을 바탕으로 취업에 성공한 북한 IT 노동자는 회사로부터 업무용 노트북 지급받음.

한 사람이 여러 페르소나를 운영하며 해당 노트북에 원격으로 접근하여 맡겨진 일들을 처리,

이 과정에서 촉진자들은 다수의 노트북을 한번에 켜두고 원격 접근을 도움

UNC5267의 업무용 노트북과 행동 패턴에서 발견된 공통점

 

2) 北 위장 취업 경고하는 글로벌 주요국들의 안보 기관

맨디언트의 경고 뿐만 아니라 글로벌 주요국들의 안보 기관에서도 북한 IT 인력의 위장 취업을 경고

• 독일 정보기관 연방헌법수호청
  • 지난 10월 1일, 북한 IT 노동자들이 독일 기업에 위장 취업하고 있다며 '경제 안전 정보, 북한 IT 노동자'라는 제목의 사이버 보안 권고문 발표.
  • 해당 사이버 보안 권고문의 발표 배경에는 北 해커조직 김수키의 독일 방산업체 '딜 디펜스' 해킹 공격이 존재
  • 딜 디펜스는 국산 전투기인 KF-21용 미사일 IRIS-T를 생산함
• 영국 재무부
  • 북한 IT 노동자들이 영국과 미국 등의 기업에 위장 취업하고 있다며 '주의보(Advisory on North Korean IT Workers)'를 발령
  • 현재 북한 IT 노동자들이 영국 기업에 취업 위해 온라인 프리랜서 플랫폼이나 구인구직 사이트 이용하고 있다고 지적
  • 불법 고용을 통해 벌어들인 자금 확보 위해 전자 화폐 기관이나 자금 서비스 업체, 암호화폐 거래소 제공업체의 대체 결제 수단 활용할 가능성 크다고 덧붙임

 

영국 재무부가 소개한 사례

• 자신도 모르게 북한 IT 노동자 고용, 수익 제공
  • 프로세스

• 북한의 자금 조달을 위한 페이퍼 컴퍼니로 운영되는 기업
  • 프로세스

이러한 프로세스 바탕으로 얻은 수익은 UN이 금지한 물품과 군사 장비 등에 사용되며

북한의 대량살상무기와 미사일 개발 프로그램에 기여한다고 지적

북한 IT 노동자의 위장 취업은 악성코드 유포 등 대단한 해킹 기술 필요로 하지 않으면서도 비교적 손쉽게 정보나 자금 탈취하는 수단으로 자리잡고 있다고 지적