[IGLOO]합동 주의보! 신분 위장을 조심하라!

북한의 IT 전문가들이 북한 사람이 아닌 것으로 위장하여 돈을 벌어들이거나, 기업 내의 중요 정보를 빼돌리기도 한다.

이 글에서는 북한의 해킹 인력 양성 방법, 북한 IT 노동자들의 위장 취업 행위 및 관련 악성 행위에 대해 알아보자.

 

---

 

1. IT/해킹 인력 조기 양성에 집중하는 北 정권

국가정보원은 지난 22년 12월 21일 열린 기자간담회에서 "한국은 공부 잘하는 학생들이 의대에 가지만 북한은 IT 분야로 진학해 군(軍) 산하에서 집중 훈련을 받는다."라고 했다.

1. 북한의 전국 초등학교에서 뽑힌 수학/과학 영재들은 금성학원(IT 분야의 최고 수재 학교) 컴퓨터반에서 최상급 교육을 받는다.
2. 금성학원의 상위 인재들은 김일성종합대학, 평양콤퓨터기술대학, 김책공업종합대학 등으로 진학한다.
3. 대학에 진학한 이후부터는 실질적으로 북한 정권에 이득을 가져다 주는 '해킹'에 대한 전문적인 교육을 받는다.

2023년 해커어스(HackerEarth)가 개최한 코딩 및 해킹 대회인 'May Circuits 2023'에서 1위~4위를 북한 대학생들이 차지하면서 상위권을 기록하는 등 실력이 입증됐다.

그리고 이렇게 양성된 인력들이 핵/미사일 개발 자금 확보를 위한 암호화폐와 국가 기밀을 탈취하는 것이다.

 

2. 북한 IT 인력에 대한 '합동 주의보'

지난 9월 29일, 美 사이버 보안 업체 맨디언트(Mandiant)가 발표한 '북한 IT 노동자로 인한 위협 완화(Mitigation the DPRK IT Worker Threat)' 보고서에 따르면 북한의 'UNC5267'이 서방 국가를 겨냥해 위장 취업을 이어가고 있다고 발표했다. UNC5276에 소속된 인력들은 가짜 신원으로 원격 근무가 가능한 계약직으로 일한다. 해당 인력들은 자신의 정체가 탄로 나는 것을 막기 위해 현지인을 고용하거나 페이퍼 컴퍼니 역할을 해줄 단체를 구성하기도 한다.

 

미국인이지만 북한인들의 이러한 활동을 돕는 '촉진자'들이 있다. 촉진자는 회사에서 주는 업무용 노트북을 대신 수령하고, 해당 노트북을 자신의 집에 연결시켜 북한 해커가 원격에서 제어하게 해준다. 

도용된 신원을 사용해 현지에서 필요한 서류를 꾸미거나 자금 세탁을 돕기도 한다.

 

UNC5276의 목표

• 피해 기업으로부터 불법적인 급여를 받아 재정적 이익을 거둠
• 고용 관계가 해지된다 하더라도 지속적으로 피해를 입힐 수 있도록 피해 기업 내에 장기적인 접근 방법을 마련
• 정보 수집이나 정보 파괴 활동을 위해 접근 경로를 따로 마련

UNC5726이 원격 접근 권한을 획득하려는 이유 : 원격에서 업무하는 사람들에게 높은 접근 권한을 허용하려는 경향 때문(코드 수정, 네트워크 시스템 관리 등)

 

피해 기업이 지급한 노트북들과 행동 패턴에서의 공통점

• IP 주소가 할당되는 키보드, 비디오, 마우스 장치를 노트북에 연결시키는 경우가 대다수
• 기업으로부터 노트북을 수령한 직후에 각종 원격 관리 도구 설치(GoToRemote, LogMeln, GoToMeeting, Chrom Remote Desktop, AnyDesk, TeamViewer, RustDest가 자주 확인)
• 신중한 원격 관리 도구(VPN) 설치(대부분 중국 또는 북한과 관련된 아크릴VPN(Astril VPN)의 IP 주소와 연결)
• 기업 노트북의 위치를 추적해 보면 근무자가 거주하고 있다고 한 곳과 일치하지 않는 경우 다수
• 정체를 드러내지 않기 위한 철저한 포커페이스(절대로 얼굴이나 근무 환경이 노출되지 않도록 영상 통화나 회의에 참석하는 것을 거부
• 현저히 떨어지는 업무 성과와 작업물 품질(한 사람이 여러 페르소나를 가지고 여러 프로젝트에 참여함에 따라 현저히 떨어지는 업무 성과와 작업물 품질)

 

北 IT 인력의 위장 취업을 경고하는 글로벌 주요국들의 안보 기관

독일 : 연방헌법수호청(Bundesamt für Verfassungsschutz)

영국 : 재무부(Office of Financial Sanctions Implemention)

 

영국 재무부가 소개한 사례 2개

Case 1:자신도 모르게 북한 IT 노동자 고용, 수익 제공

1. 북한 IT 노동자가 온라인 플랫폼에서 허위 정보를 사용하여 서비스 광고
2. 북한 외 거주자는 해당 노동자에 대한 대리인의 역할을 하는데 동의(수수료)
3. 무의식적인 조력자는 영국 IT 기업과의 프리랜서 계약을 체결
4. 기업은 북한 IT 노동자에게 HW를 제공 / 접근 권한 등 부여
5. 조력자는 수익의 일부를 가지고 나머지는 북한 IT 노동자의 계좌로 이체 

Case 2:북한의 자금 조달을 위한 페이퍼 컴퍼니로 운영되는 기업

1. IT 회사인 A사는 비즈니스 및 개인 은행 계좌에서 영국 EMI 계좌로 거액의 입금을 받고, 자체 은행 계좌에서도 상당한 금액을 입금 받음
2. 해당 자금은 동일한 EMI 내의 베트남과 라오스의 개인 계좌와 중국과 베트남의 은행 계좌로 이체됨
3. 개인들은 또한 다양한 다른 IT 회사로부터 자금을 받기도 함
4. 이렇게 받은 자금은 중국과 베트남의 개인 은행 계좌로 이체된 후 최종적으로 북한으로 송금됨

영국의 재무부는 이러한 프로세스를 바탕으로 북한 IT 노동자들이 얻은 수익은 유엔(UN)이 금지한 물품과 군사 장비 등에 사용되며, 북한의 대량살상 무기와 미사일 개발 프로그램에 기여한다고 지적했다.

북한 IT 노동자의 위장 취업은 악성코드를 유포하는 등의 대단한 해킹 기술을 필요로 하지 않으면서도 비교적 손쉽게 정보나 자금을 탈취할 수 있는 수단으로 자리 잡고 있다고 지적했다.

 

이러한 위장 취업은 20년도를 기점으로 폭증했는데, 당시에는 금전적인 이점을 보는 경우가 다수였다. 그러나 최근에는 국가 또는 기업의 기밀을 탈취하는 데 목적을 둔 공격이 대다수이다. 기밀 유출을 무기로 삼아 가상화폐를 요구하면 더 큰 수익을 벌어낼 수 있기 때문이다.

 

---

본 게시글은 아래의 링크 속 콘텐츠를 기반으로 작성.

https://www.igloo.co.kr/security-information/%ed%95%a9%eb%8f%99-%ec%a3%bc%ec%9d%98%eb%b3%b4-%ec%8b%a0%eb%b6%84-%ec%9c%84%ec%9e%a5%ec%9d%84-%ec%a1%b0%ec%8b%ac%ed%95%98%eb%9d%bc/

합동 주의보! 신분 위장을 조심하라!