615 읽음
북한 IT 공작원들, AI로 유럽 대기업 위장 취업…'가짜 근로자' 임금 수취
아시아투데이
0FT는 사이버보안 전문가들을 인용해 '가짜 근로자 현상'이 미국 달러를 벌기 위한 전면적인 기만의 글로벌 전문가가 된 김정은 정권에서 거의 전적으로 비롯된 것이라고 전했다.
◇ 북 '가짜 근로자', 미 기업 넘어 유럽으로…수백만 달러 외화벌이 수단 된 '가짜 취업'
미국 법무부에 따르면 2020∼2024년 사이 북한 공작원은 원격 근로자로 위장해 300여개 미국 기업에 침투해 북한 정권에 최소 680만달러(102억원)를 벌어다 준 것으로 나타났다.
제이미 콜리어 구글위협정보그룹(GTIG) 유럽 선임 고문은 FT 인터뷰에서 이러한 현상이 유럽으로 확산하는 징후가 나타나고 있다고 밝혔다.
그는 북한 공작원들이 영국에 '노트북 팜(laptop farms)'이라는 원격 작업 거점을 마련해 이러한 사기행각을 벌이고 있다고 경고했다.
콜리어 고문은 "채용이 본질적으로 안보 문제로 여겨지지 않기 때문에 기업 시스템에서 취약한 영역"이라며 "북한 공작원들은 바로 그런 취약성을 노린다"고 지적했다.
또 그는 "고객사에 직원 한명이 실제로는 북한 공작원이라고 알렸더니 '100% 확실하냐, 그는 우리 최고 직원 중 하나인데'라는 반응이 돌아왔다"고 전했다.
◇ 계정 탈취부터 딥페이크 면접까지…AI로 완성한 북 '가짜 근로자'의 '신분 세탁'
FT에 따르면 이 사기행각은 전형적으로 신분 도용에서 시작된다. 북한 공작원들은 오래 사용되지 않은 링크드인 계정을 탈취하거나 계정 보유자에게 돈을 주고 접근 권한을 사들인다.
이후 이력서와 신원 서류를 위조하고 다른 공범들이 링크드인 추천을 제공해 경력을 조작한다. 또한 가짜 근로자들은 AI를 이용해 디지털 마스크 또는 아바타를 생성하고 딥페이크 영상 필터를 사용해 원격 면접에 참여한다.
사이버보안업체 핑아이덴티티(Ping Identity)의 앨릭스 로리 최고기술책임자(CTO)는 AI가 가짜 지원자의 신뢰성을 크게 높였다고 지적했다.
로리 CTO는 "대형언어모델(LLMs)을 이용하면 문화적으로 자연스러운 이름과 이메일 주소 형식을 만들어낼 수 있어 과거 사기를 식별하던 언어적 또는 문화적 '위험 신호'를 피할 수 있다"고 말했다.
그는 또 "영국 국가 안보의 미래는 지속적인 AI 기반 적대적 충격에 맞서 기업 부문이 인력의 진짜 신원을 확인할 수 있는 능력에 달려 있다"고 강조했다.
◇ '대리 면접'에 '노트북 가로채기'…점점 교묘해지는 원격근무 사기
전문가들에 따르면 지원자가 AI 프롬프트와 답변을 활용한다는 우려로 기업들이 온라인 채용 절차를 강화하자 북한 공작원들은 실제 사람이나 조력자에게 돈을 주고 온라인 인터뷰를 대신 보게 하는 방식도 사용하고 있다.
사기의 두 번째 단계에서는 기업이 신입 직원에게 보내는 노트북을 중간에서 가로채는 방식이 사용된다. 이후 해당 장비에 원격으로 로그인해 대형언어모델과 챗봇 명령을 이용해 업무를 수행하며, 경우에 따라 여러 직업을 동시에 처리하기도 한다.
사이버보안업체 소포스(Sophos) 위협 대응 부서의 레이프 필링 위협정보국장은 이러한 활동을 국가가 지원하는 사업이라고 규정했다.
그는 "북한의 소부대가 고임금의 완전 원격 기술직을 노리고 있으며 약 7∼10년 경력을 가진 인재로 자신들을 포장해 취업하고 임금을 받는 과정을 반복한다"고 설명했다.
◇ 아마존서만 1800명 적발…"첨단 AI 직군 노리는 국가급 위협"
아마존의 스티븐 슈미트 보안 책임자는 지난 1월 링크드인 게시물에서 2024년 4월 이후 북한 공작원으로 의심되는 1800여명의 취업을 차단했다고 밝혔다.
FT에 따르면 그는 이들이 점점 더 AI·머신러닝 역할을 목표로 삼고 있다며 "이는 아마존에 국한된 문제가 아니라 업계 전반에서 대규모로 발생하고 있는 현상"이라고 말했다.
또 FT는 사이버보안업체 노비포(KnowBe4)가 이러한 사기행각의 피해자가 된 최초의 미국 기업 가운데 하나라고 전했다.
이 사건에서 가짜 근로자는 회사의 보안 시스템에 접근하려는 목적을 가지고 있었으며, 식별되기 전에 악성코드를 설치하려 시도한 것으로 알려졌다.