바이낸스 보안책임자, 북한 해커의 딥페이크 취업 시도 경고

세계 최대 암호화폐 거래소 바이낸스가 북한 해커들의 위장 취업 시도를 매일같이 막아내고 있는 것으로 나타났다. 이들은 인공지능(AI) 딥페이크와 음성 변조 기술까지 동원하지만, 결정적인 단서를 남긴다고 바이낸스 최고보안책임자(CSO)는 밝혔다.

지미 수(Jimmy Su) 바이낸스 CSO는 13일(현지시간) 디지털자산 전문 외신 디크립트와의 인터뷰에서 “현재 암호화폐 산업에 가장 큰 위협은 북한과 같은 국가 행위자”라며 라자루스 그룹을 특정했다. 그는 “지난 2~3년간 북한의 해킹은 암호화폐에 집중됐고 상당한 성공을 거뒀다”고 평가했다.

지미 수 CSO에 따르면, 북한 해커들은 바이낸스에 입사하기 위해 매일 의심스러운 이력서를 제출한다. 바이낸스는 특정 이력서 양식 등을 기반으로 이들을 1차적으로 걸러낸다.

이력서 심사를 통과하더라도 화상 면접이라는 관문이 남는다. 최근 북한 해커들은 AI 기술을 이용해 면접 과정을 속이려 시도하고 있다.

그는 “과거에는 주로 일본이나 중국 성씨를 가진 개발자로 위장했지만, 이제는 AI를 통해 유럽이나 중동 출신 개발자로도 행세한다”고 설명했다. 해커들은 면접 과정에서 실시간으로 음성을 변조하고 딥페이크 영상으로 얼굴을 조작한다.

하지만 여기에 결정적인 허점이 존재한다. 지미 수 CSO는 “그들의 인터넷 연결은 거의 항상 느리다”고 지적했다. 실시간으로 딥페이크 영상과 음성 변조, 번역을 처리하면서 통신 지연이 발생하기 때문이다.

바이낸스는 “얼굴 위로 손을 올려보라”고 요청하는 등 딥페이크를 탐지하는 다양한 방법을 사용하지만, 보안을 위해 모든 노하우를 공개하지는 않는다고 덧붙였다.

설령 해커가 채용되더라도 감시는 계속된다. 지미 수 CSO는 “북한 소행으로 의심되는 직원은 보통 최고의 성과를 내는 경향이 있다”며 “이는 여러 시간대에 걸쳐 여러 명이 하나의 역할을 수행하기 때문일 수 있다”고 분석했다. 잠을 자지 않는 것처럼 보이는 직원은 주요 감시 대상이 된다.

북한 해커들의 공격은 위장 취업에만 그치지 않는다. 지미 수 CSO는 두 가지 추가적인 공격 방식을 경고했다.

첫째는 개발자들이 자주 사용하는 공개 코드 라이브러리(NPM 패키지 등)에 악성 코드를 심어두는 방식이다. 개발자들이 해당 코드를 사용하면 악성 코드가 시스템 깊숙이 침투하게 된다. 바이낸스는 이를 막기 위해 코드를 면밀히 검토하고 다른 주요 거래소들과 관련 정보를 공유하고 있다.

둘째는 외부 활동이 잦은 직원들에게 가짜 채용 제안을 하는 수법이다. 해커들은 다른 디파이(DeFi) 프로젝트나 투자 회사인 척 접근해 현재 연봉의 2~3배를 제안하며 면접을 유도한다. 이후 화상 통화 중 ‘연결 문제’를 핑계로 가짜 줌(Zoom) 업데이트 파일을 보내 악성코드에 감염시킨다.

지미 수 CSO는 이러한 피싱 시도가 링크드인을 통해 매일같이 바이낸스 직원들에게 이뤄지고 있다고 확신했다.

체인애널리시스 보고서에 따르면 북한 연계 해커들은 2024년에만 47건의 해킹을 통해 13억 4000만 달러 상당의 암호화폐를 탈취했다. 올해(2025년) 들어서는 가짜 IT 채용 제안을 통한 해킹 피해액이 이미 16억 달러에 달하는 것으로 추정된다.

지미 수 CSO는 “라자루스 그룹은 항상 문제였지만, 최근 몇 년간 막대한 자금이 오가는 암호화폐 산업으로 자원과 초점을 옮겼다”고 강조했다.