北·中 해커, IT 인력 위장 취업해 내부 정보 탈취…기업 보안 주의 필요

북한·중국과 연계된 해커들이 기업 및 기관에 IT 인력으로 위장 취업한 뒤, 내부 정보를 빼돌리거나 협박을 통해 금전을 요구하는 사례가 증가하고 있다.

루크 맥나마라 구글 위협 인텔리전스 그룹 부수석 애널리스트는 19일 열린 '구글 클라우드 시큐리티 데이'에서 “북한 IT 인력의 활동이 전 세계적으로 다양한 산업에서 관찰되고 있다”고 경고했다. 그는 "이들은 자신의 국적을 숨기고 기업에 고용돼 북한 정권에 수익을 창출하는 데 기여하고 있다"며, 이를 채용한 기업들이 예상치 못한 리스크에 직면할 수 있다고 지적했다.

구글에 따르면 북한 해커들은 주로 프리랜서 구직 사이트를 통해 소프트웨어 개발자나 IT 엔지니어로 취업한 후 활동을 시작한다. 이 과정에서 현지 브로커와 협력해 은행 계좌를 개설하고 업무용 노트북을 수령하는 등의 수법을 사용한다. 월급은 다른 계좌를 거쳐 북한으로 송금되며, 만약 정체가 드러나 해고될 경우 기업의 민감한 데이터나 소스코드를 인질로 삼아 비트코인 등 암호화폐를 요구하는 방식으로 협박을 가하는 것으로 알려졌다.

이 같은 위협을 막기 위해서는 기업이 신입 직원의 배경 조사를 철저히 해야 한다는 조언이 나온다. 맥나마라 애널리스트는 "초기 인터뷰 과정에서 카메라를 거부하거나 회사 업무용 노트북을 이력서에 기재된 주소와 다른 곳으로 보내달라고 요청하는 경우 의심해야 한다"고 설명했다.

최근 해커들의 공격 방식이 더욱 정교해지면서 추적이 어려워지고 있다. 사이버 범죄 조직, 국가 지원 해킹 그룹, 그리고 해커티비스트(사회적·정치적 목적을 가진 해커) 간의 경계가 점점 모호해지고 있으며, 다양한 공격 기법이 동원되고 있다.

특히 하나의 사이버 범죄 집단이 획득한 초기 접근 권한을 다른 해킹 조직이나 국가 지원 해커들에게 판매하는 사례가 늘어나고 있으며, 랜섬웨어 및 데이터 탈취 목적의 공격이 증가하고 있다. 구글에 따르면 2020년부터 추적된 데이터 유출 사이트(DLS)를 통한 피해 사례가 2024년 들어 가장 많았다.

한국 역시 이러한 공격에서 자유롭지 않다. 맥나마라 애널리스트는 "지난 2년 동안 한국에서 가장 많이 공격받은 산업은 제조업, 금융 서비스, 미디어 및 엔터테인먼트 부문"이라며 "최근 북한과 연계된 해킹 그룹인 APT38과 라자루스가 제조업, 자동차, 방산, 반도체 산업을 집중적으로 노리고 있다"고 말했다.

구글은 국가 지원 해킹 그룹의 활동이 두드러지는 가운데, 중국 해커들은 주로 첩보 활동에 집중하고 있는 반면, 북한 해커들은 금전적 이득을 목표로 한다고 분석했다.

중국 해커들은 ‘제로데이’ 공격을 활용해 보안 시스템을 우회하고, 기존 시스템에 설치된 도구를 악용하는 LOTL(Living Off The Land) 공격 방식 등을 통해 탐지를 피한다. 반면 북한 해커들은 암호화폐 및 블록체인 플랫폼을 집중적으로 노려 금전을 탈취하며, 이를 미사일 개발과 정권 운영 자금으로 활용하는 것으로 분석됐다.

최근 북한의 라자루스 해킹 조직이 암호화폐 거래소 바이비트를 공격해 약 14억6000만 달러(한화 약 2조1000억 원)를 탈취한 사건도 이러한 행보를 보여주는 대표적인 사례다. 맥나마라 애널리스트는 "북한은 암호화폐 산업에서 일어나는 기술적 변화를 빠르게 이해하고 해킹에 악용하는 능력이 뛰어나다"고 평가했다.

이 같은 위협을 막기 위해 전문가들은 다중 보안 인증(MFA) 적용, 계정 정보 변경 주기 단축, 피싱 방지 교육 강화, 실시간 클라우드 환경 모니터링 등의 보안 조치를 강화해야 한다고 조언했다. 기업들은 북한 해커들의 교묘한 침투 방식에 대비해 더욱 철저한 보안 대책을 마련해야 할 필요가 있다.