북한 IT 스파이 침투 급증…AI 위장 더욱 정교해져, 사이버안보법은 '공백'

북한의 해외 IT 업계 침투가 갈수록 교묘해지면서 글로벌 기업들의 보안 우려가 커지고 있다. 업계는 신원 확인 절차를 강화하고 있지만, 인공지능(AI) 기술의 발달로 얼굴·음성 위장이 정교해지면서 검증은 오히려 더 어려워졌다. 국내에서도 사이버안보법 제정 논의가 수년째 답보 상태에 머물러 있어 제도적 공백이 심각하다는 지적이 제기된다.

25일 업계에 따르면 보안업체 모나드랩스의 박성모 한국 대표는 최근 텔레그램 커뮤니티에서 북한 IT 인력을 적발한 사례를 공유했다. 그는 “특정 발언을 유도했을 때 즉각적인 반응이 나타나 신원을 확인할 수 있었다”고 설명했다. 커뮤니티에서는 “맛집 이름이나 현지에서 파는 제품명을 언급하게 하는 방식도 효과적”이라는 의견이 이어졌다.

북한은 2000년대 이후 해외 위장 취업, IT 기술 탈취 등 사이버 공간을 외화벌이 수단으로 적극 활용해왔다. 최근에는 조직적 해킹을 통해 1조원대 피해를 일으키는 등 규모가 커지고 있다. 유엔 안보리는 지난해 보고서에서 북한의 비밀 IT 인력이 매년 3500억~8300억원의 수익을 올리는 것으로 추정했다.

프리랜서와 원격 근무가 보편화된 IT 업계 특성은 북한 인력에게 유리한 환경이다. 코인베이스 등 글로벌 기업은 대응책으로 대면 검증을 강화하고 있다. 코인베이스는 전 직원을 대상으로 미국 내 보안 교육을 의무화했고, 핵심 시스템 담당자에게는 시민권 보유와 지문 등록을 요구한다.

그러나 전문가들은 기존 절차로는 한계가 뚜렷하다고 경고한다. 한 보안 전문가는 “AI 기반 합성 기술이 보편화되면서 위장 수준이 한층 고도화됐다”며 “북한 IT 인력을 가려내기가 갈수록 어려워지고 있다”고 지적했다.

국내에서도 북한의 활동이 확산되자 국가 차원의 대응 필요성이 제기된다. 하지만 법적 기반은 여전히 미흡하다. 2020년 조태용 의원의 ‘사이버안보기본법안’, 2021년 김병기 의원의 ‘국가사이버안보법안’이 발의됐지만 논의가 진전되지 못했다. 국회는 올해 하반기 관련 입법을 재추진한다는 계획이다.