북한의 10만 명 가짜 IT 직원, 김을 위해 연간 5억 달러 순이익
발행: (2026년 3월 19일 AM 12:59 GMT+9)
6 분 소요
원문: Hacker News
Source: Hacker News
IBM X‑Force와 Flare Research의 연구원들은 북한의 가짜 IT 인력 사기 수법이 어떻게 운영되고 기업에 침투해 체제에 자금을 흘려보내고 민감한 정보를 탈취하는지를 보여주는 데이터를 밝혀냈습니다.
발표된 보고서 Inside the North Korean infiltrator threat 에서 두 연구팀은 운영을 관리하는 최상위 인프라, 인력들이 IT 직무에 지원하고 확보하는 과정, 그리고 기업이 피해를 방지하기 위해 사용할 수 있는 완화 전략에 대한 증거를 상세히 제시합니다.
북한 국적자가 원격 IT 계약자(https://www.theregister.com/2022/05/17/fbi_korea_freelancers/) 혹은 무방비한 기업 내부에서 정규 기술 직원으로 활동하는 위협은 지난 몇 년간 점차 드러났지만, 보고서는 보안 전문가들이 아직 이 작전의 규모와 정교함을 깨닫기 시작한 단계라고 말합니다.
작전 규모
- 미국 정부 자료에 따르면 이들 IT 인력은 연간 30만 달러 이상을 벌 수 있습니다.
- 40개국에 걸쳐 10만 명 이상의 북한 인력이 퍼져 있어, 평양에 연간 약 5억 달러를 창출하고 있습니다.
가짜 IT 인력 생태계
역할
| 역할 | 설명 |
|---|---|
| 리크루터 | 잠재적인 IT 직원을 선별하고 인터뷰를 기록한 뒤, 후보자를 퍼실리테이터에게 전달합니다. 종종 직무를 “초기 단계 스텔스 스타트업”(예: “C Digital LLC”)으로 포장합니다. |
| 퍼실리테이터 | 후보자를 수락하거나 거절하는 결정을 내리며, 채용 담당자와 유사한 역할을 합니다. |
| IT 인력 | 실제 개발 작업을 수행합니다. 풀스택 웹 애플리케이션 개발, .NET, WordPress 경험을 갖추어야 합니다. |
| 협력자 / 브로커 | 사기 스킴에 사용할 실제 신원을 제공하고, 기타 방식으로 지원하는 서구인 개인들입니다. |
프로세스
- 멘토링 및 신원 생성 – 후보자에게 미국 기반 신원을 제공하고 서구 기업에 지원하는 방법을 안내합니다.
- 프리랜스 활동 – 타임시트에 “Bids”(Upwork와 같은 플랫폼에서 일일 입찰)와 “Msg”(Upwork, LinkedIn, Freelancer에서의 메시지 또는 연결)로 기록된 시간이 표시됩니다.
- 정규 고용 – 채용이 되면 인력은 다수의 도우미와 함께 작업을 수행하며 승진과 더 높은 시스템 접근 권한을 목표로 합니다.
도구
- Google Translate – 직무 설명 번역, 지원서 작성, 커뮤니케이션 등에 사용됩니다.
- OConnect / NetKey – 알려진 북한 VPN으로, 평양 내부 네트워크에 연결하는 데 사용될 가능성이 높습니다.
- IP Messenger (IPMsg) – 중앙 서버 없이 작동하는 오픈소스 메신저 앱으로, Discord나 Google과 같은 플랫폼에 의존하지 않습니다.
완화 전략
- 경고 신호 감시: 가짜 배경, AI 생성 얼굴 또는 온라인 인터뷰 중 목소리 변조 등.
- 이력서와 인터뷰 불일치: 주장된 언어 능력, 거주지, 경력 등을 검증합니다.
- 인터뷰 질문: “김정은은 얼마나 뚱뚱한가?”와 같은 터무니없는 질문을 던집니다 – 북한 참여자는 즉시 전화를 끊을 가능성이 높습니다.
참고 자료
- 가짜 북한 IT 인력이 의료, 금융, AI 분야에 침투
- 북한 라자루스 그룹, Medusa 랜섬웨어로 의료 기관 표적
- 우크라이나인, 북한 인력의 미국 기술 직업 확보를 도와 5년형 선고
- 북한 가짜 인력으로부터 보호할 수 있는 단 하나의 인터뷰 질문
보고서 출처: “Inside the North Korean infiltrator threat” (Flare Research).