구글: 북한 가짜 엔지니어들이 영국에 침투, 기업 보안 리스크 에 대한 경각심 고조

구글 위협 정보 팀(GTIG)이 공개한 바에 따르면, 북한의 가짜 IT 엔지니어 활동이 지속적으로 확장되어 미국에서 영국 및 유럽 여러 국가로 침투 범위를 넓히고 있습니다. 그들은 정규 원격 엔지니어로 위장하여 기업 시스템에 잠입하고, 고도의 기술 프로젝트에 참여하며 데이터를 훔쳐 글로벌 정보 보안 및 기업 기밀에 심각한 위협을 가하고 있습니다.

미국에서 유럽까지: 블록체인 및 AI 프로젝트가 북한의 주요 목표

2024년 하반기부터 GTIG는 북한 IT 인력이 영국, 독일, 포르투갈 및 중동부 유럽 지역에 특히 집중하여 유럽 시장 침투를 명확히 가속화하고 있음을 관찰했습니다. 그들은 국적, 학력 및 거주지 등의 신원을 위조하여 기업 직책에 지원하며, 심지어 한 인물이 12개의 가짜 신원을 동시에 사용하여 국방 산업 및 정부 프로젝트에 침투하고 있습니다.

이력서에는 세르비아 대학 학위, 슬로바키아 주소, 그리고 유럽 구직 웹사이트 운영 지침 문서가 자주 포함되어 있다고 합니다.

가짜 개발자 뒤의 글로벌 위조 신원 네트워크 폭로

GTIG는 이러한 북한 엔지니어들이 단독으로 활동하는 것이 아니라, 신원 위조, 심사 통과 및 자금 이체를 돕는 국제적인 지원 시스템이 뒤에 있을 수 있다고 우려하고 있습니다.

보고서에 따르면, 뉴욕에서 사용되어야 할 기업용 노트북이 런던에서 활성화된 것이 발견되어 위장 작전이 유럽과 미국을 아우르고 있음을 보여주었습니다. 조사에서 해당 노트북이 가짜 여권 제공, 지원 전략 지도, 심지어 신원 위장을 강화하기 위해 다른 국가에서 사용해야 할 시간대 목록까지 작성된 것으로 밝혀졌습니다.

최근에는 온체인 보안 전문가들이 새로운 사기 수법을 발견했습니다. 북한 해커들이 벤처 캐피털(VC) 전문가로 위장하여 Zoom 회의에서 흔히 발생하는 오디오 문제를 이용해 피해자들에게 악성 프로그램이 포함된 오디오 복구 파일을 다운로드하도록 유도하거나 개인 자금 또는 민감한 데이터를 도용할 수 있습니다.

(회의 통화에 문제가 있나요? 북한 해커가 VC로 위장해 오디오 복구 링크로 사기)

랜섬 빈도 상승, 기밀 유출 위협 만연

미국의 기소 및 제재 압박에 직면하여, 북한 IT 인력의 랜섬 공격 빈도도 작년 10월부터 지속적으로 증가하고 있으며, 대기업을 대상으로 기밀 데이터 유출 또는 경쟁사에 판매를 위협하고 있습니다:

과거에는 해고된 후 다른 신원으로 재취업을 시도했던 IT 인력들이 이제는 내부 기밀 문서 및 프로젝트 데이터를 공개적으로 협박 수단으로 삼아 해당 국가의 수입원을 유지하고 있습니다.

(미국, 일본, 한국 3국 공동 성명 경고: 북한 암호화폐 해커 위협 고조, 공동 대응 필요)

GTIG는 그들이 지금까지 여러 프로젝트에 참여했음을 발견했습니다. 여기에는 솔라나(Solana)와 Rust 기반의 온체인 애플리케이션, Electron 또는 Next.js 기반의 AI 웹사이트 또는 앱, 심지어 자동화된 로봇 및 콘텐츠 관리 시스템까지 포함됩니다:

일부 프로젝트는 민감한 기술과 관련되어 있으며, 대부분 암호화폐로 급여가 지불되어 자금의 출처와 흐름을 추적하기 더욱 어렵게 만듭니다.

편리하게 아무렇게나? BYOD 작업 환경이 새로운 취약점

또한 GTIG는 일부 기업이 채택한 '개인 기기 사용(Bring Your Own Device, BYOD)' 정책으로 인해 직원들이 개인 장치를 통해 회사 시스템에 원격으로 접근할 수 있게 되어 기존의 정보 보안 모니터링 및 장치 식별이 무력화될 수 있다고 특별히 언급했습니다:

북한 기술 인력은 BYOD 환경을 이상적인 목표로 보고 2025년 초부터 이러한 기업들에서 활동을 시작했습니다. 완전한 모니터링, 장치 추적 및 기록 기능의 부재로 인해 그들이 더욱 쉽게 잠복하여 데이터 절도 및 기타 악의적인 조작을 수행할 수 있게 되었습니다.

전 세계 기업들 경고음 울리다, 검증 및 사이버 보안 모니터링 강화 촉구

북한 해커의 공격 방식은 계속 변화하고 있으며, 미국 연방수사국(FBI) 및 온체인 탐정 ZachXBT는 몇 달 전 그들이 암호화폐 프로젝트 및 관련 기업을 대상으로 정교하고 감지하기 어려운 소셜 엔지니어링 공격(Social Engineering Attack)을 수행하여 악성 소프트웨어를 유포하고 기업의 암호화폐 자산을 훔치려 했다고 밝혔습니다.

(ZachXBT, 북한 해커의 범죄 네트워크 폭로: 개발자로 위장해 팀 침투 후 자금 탈취: 월 50만 달러 수입)

이러한 침투 행위에 대면하여, 기업들은 경각심을 높이고 지원자 배경 조사, 검증 프로세스 및 사이버 보안 방어를 강화해야 합니다. 특히 원격 인력 및 외주 플랫폼에 대한 관리에 주의를 기울여야 합니다:

북한은 이미 정교한 가짜 신원 운영 네트워크와 국제 지원 시스템을 구축했으며, 그 유연성과 침투 범위로 인해 전 세계 기술 산업의 주요 보안 위협이 되었습니다.