북한 IT 조직원, 글로벌 구인구직 사이트에서 위장 취업 및 외화벌이 활동 포착
‘리’씨 성의 1993년생 김책공대 출신 북한 IT 엔지니어, 15명 개발자 보유 및 6년 이상 경력 홍보
악성코드 및 악성 앱 판매 서비스 등으로 발전...치명적 보안위협 초래할 수 있어

[보안뉴스 김경애 기자] 북한의 IT 조직원이 글로벌 구인구직 사이트에서 외주제작 업체 프리랜서로 위장해 활동한 정황이 포착됐다. 이는 외화벌이 수단으로 펼치는 활동이지만 정보수집, 정찰, 해킹 등 다양한 보안위협이 존재할 수 있어 기업에서의 IT 인력 채용에 주의가 필요하다.


지난 11일 한 글로벌 구인구직 사이트에서 ‘리’씨 성을 갖는 1993년생 김책공대 출신 북한 IT 엔지니어의 프리랜서 활동이 포착됐다. 해당 사이트에서는 자신의 프리랜서 프로필 공개와 함께 자신의 팀소개를 하며 외주 제작에 대한 서비스 제공 글로 홍보에 나섰다.

공개된 홍보 글에는 인사말과 함께 ‘15명의 개발자와 디자이너로 구성된 수석 모바일 & 웹 개발팀으로 구성돼 있다’며 ‘평균 6년 이상의 개발 경험으로 고품질 제품 및 광범위한 서비스를 제공하고 있다’고 내세우고 있다.

그는 지난 10여년간 이름과 지역을 지속적으로 바꿔가면서 다양한 IT 프로젝트를 수주하고 외화 수익을 올린 것으로 분석됐다. 문제는 이러한 북한 IT 인력들이 상당히 많다는 것. 실력도 좋아 평판이 우수하고 가격도 저렴해 많은 프로젝트를 수주한다는 게 보안전문가의 분석이다.

최근에는 북한 IT 조직원 ‘송림’이 중국 보이스피싱 조직에게 악성 앱을 팔며 설명하는 정황이 포착돼 언론에 보도된 바 있다. 이처럼 북한의 IT 인력이 외화벌이에 대거 투입되면서 활개를 치고 있다. 중국을 비롯해 국내로 위장 취업까지 활동을 확대하고 있는 만큼 기업과 관계 당국의 각별한 주의와 관심이 필요하다.

이와 관련해 이슈메이커스랩 관계자는 “코로나 시대에 비대면, 원격 취업이 활성화되면서 이들이 국내 IT 산업에도 충분히 영향을 끼칠 수 있기에 많은 관심과 주의가 필요하다”고 강조했다.

이에 따라 기업에선 보안위협 대응을 위해 취약점 점검 강화와 외주 인력 고용시 철저한 검증작업이 필요하다. 이는 북한 IT인력이 외주작업을 하며 악성코드를 심거나 소프트웨어 제작에 백도어를 설치하는 등 악성행위를 할 수 있기 때문이다.

고려대학교 정보대학 이재춘 겸임교수는 “과거 IT 서비스 외주 및 자체 악성코드를 통해 직접 돈을 벌던 북한 IT 엔지니어들은 악성코드 및 악성앱을 판매하는 서비스를 구축하기에 이르렀다”며 “보다 적극적인 관심을 갖고 악성코드와 취약점에 대응해야 한다”고 강조했다.

누리랩 최원혁 대표는 “사실 일반 기업에서 국내 외국인 취업자의 배경조사가 불가능하고 중국, 인도, 베트남 등으로 IT 개발 아웃소싱 역시 어떤 배경을 가진 개발자가 참여하는지 알 수 없다”며 “만약 북한 개발자가 다양한 국내 SW 개발에 참여할 경우 이는 단순 외화벌이가 아닌 자국 소프트웨어(SW)에 백도어가 설치될 수 있으며 주요 핵심 소스코드의 노출 및 개발을 핑계로 본사의 네트워크 침투가 가능하다. 따라서 외국으로 개발 아웃소싱을 하는 경우 철저하게 네트워크를 분리하고 작성된 소스코드에 대한 리뷰 및 취약점 점검이 필수”라고 강조했다.

리니어리티 한승연 대표는 “비상주하는 개발자를 고용하거나, 중국 등 해외법인을 통해 개발사업을 진행하는 경우 북한 해커가 작업을 진행할 가능성이 없지 않다”며 “개발자가 상주하지 않는 경우, 계약 또는 보안성 검토 등 사업 초기 단계에서 개발인력 검증 등의 조치를 추가할 필요가 있다”고 말했다.

그런데 더 큰 문제는 북한의 IT 인력이 악성 앱, 악성코드 제작 등 IT 기술을 활용해 정보 수집은 물론 사이버공격과 함께 남한 정찰, 외화벌이 등 갈수록 그 범위가 확대되고 있다는 것이다.

하우리 김정수 보안대응센터장은 “코로나로 인한 비대면 활동이 증가하면서 북한 해커들이 악성코드나 해킹 또는 불법적인 방법으로 취득한 정보를 이용해 또 다른 외화벌이 수단으로 활용하고 있는 만큼 지원 인력에 대한 꼼꼼한 검증과 채용 절차가 필요하다”며 “북한 인력이 위장 취업해 개발 업무를 진행하게 되면 기관이나 기업 내부에 구축된 기반 시스템의 중요 설정과 구조를 모두 파악할 수 있으며, 개발된 프로그램에 대한 안전성을 보장받을 수 없기에 치명적인 보안위협을 초래할 수 있다”며 주의를 당부했다.

이스트시큐리티 문종현 이사는 “지난 2019년 북한발 해킹사건 조사 중에 마치 해외 프리랜서 개발자처럼 프로필과 신분을 위장해 활동하던 해커가 포착된 바 있다”며 “북한의 엘리트 개발자로 선택된 인물들은 이미 오래 전부터 중국과 인도 등을 포함해 제3국에 파견돼 프로그램 외주 개발 대행 경험을 쌓아 외화벌이 업무에 참여했고, 일종의 프로 투잡러처럼 대남 해킹작전에도 투입된 사례가 포착된 바 있다”고 분석했다.

또한, 문 이사는 “북한의 해커조직은 도박 빚을 진 군 고위급 관계자를 포섭한 것과 같이 주요 정부 인사들을 노려 중장기적인 전략으로 정보 탈취 및 정찰을 수행하고, 이를 바탕으로 약점을 잡은 뒤 포섭해 적재적소에 활용하고 있다”며, “이들의 경험치가 쌓이면서 사이버안보 위협 수위가 올라가고 있다”며 우려했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>