로그프레소 “북한 IT 인력 위장 취업, 채용 단계 탐지가 핵심”
로그프레소는 북한 IT 인력이 신분을 위조해 해외 원격 IT 직무에 취업한 정황을 분석한 ‘북한 IT 인력 위장 취업 오픈 소스 인텔리전스(OSINT) 분석’ 보고서를 발행했다고 11일 밝혔다.
이 보고서는 정보탈취형 악성코드인 인포스틸러 감염 로그를 바탕으로 북한 IT 인력의 위장 취업 활동을 추적한 내용을 담았다. 인포스틸러는 감염된 기기에서 계정 정보, 비밀번호, 쿠키, 시스템 정보 같은 민감한 데이터를 훔쳐 외부로 빼내는 정보탈취형 악성코드다.
로그프레소는 악성코드 역공학 중심 분석에서 나아가 실제 사용 기기에서 유출된 이메일 계정, 비밀번호, 접속 IP, 하드웨어 식별자(HWID), 언어 설정 등을 교차 분석해 운영 조직의 군집 구조를 파악했다고 설명했다.
로그프레소는 미국 정부와 민간 연구기관이 공개한 북한 위장 취업 연관 이메일 계정 패턴 1879개와 2024년부터 현재까지 수집한 인포스틸러 감염 레코드를 비교해 104만5645건을 교차 검증했다. 그 결과 이메일 계정 80개, IP 주소 66개, 하드웨어 식별자 66개를 식별했고, 이들이 28개 국가의 490개 도메인에 접속한 정황을 확인했다.
보고서는 북한 IT 인력이 컴퓨터 한 대로 최대 5개의 가짜 신분을 만들어 서로 다른 기업 취업을 시도한 정황을 핵심 사례로 제시했다. 동일 기기에서 서로 다른 이메일 계정과 활동 내역이 발견됐고, 각 신분은 서로 다른 이름과 국적으로 꾸며진 것으로 분석됐다. 로그프레소는 이를 개인 차원이 아니라 조직적으로 설계된 다중 신원 운영 체계의 정황으로 봤다.
외국인 신분을 사칭한 계정에서 한국어 키보드와 운영체제(OS) 언어 설정이 확인된 사례도 나왔다. 일본이나 서구권 개발자인 것처럼 꾸민 계정이었지만, 실제 기기 환경에서는 한국어 사용 흔적이 드러났다는 설명이다. 로그프레소는 이런 언어·환경 설정의 불일치가 위장 신분의 배후를 식별하는 단서가 될 수 있다고 밝혔다.
비밀번호 분석에서도 공통점이 확인됐다. 서로 다른 이름과 국적을 내세운 복수 계정에서 동일하거나 유사한 비밀번호가 반복적으로 사용됐다. 로그프레소는 레벤슈타인 알고리즘으로 비밀번호 유사도를 분석한 결과, 단순 재사용을 넘어 일정한 변형 규칙도 확인했다고 설명했다. 회사는 이를 동일 운영 그룹을 특정하는 지표 가운데 하나로 제시했다.
북한 IT 인력이 위장 취업 과정에서 문자메시지(SMS) 인증 대행 서비스, 가상사설망(VPN), 원격 접속 도구를 결합해 사용한 정황도 포착됐다. 동시에 깃허브, 링크드인, 프리랜서, 엔젤리스트, 페이오니어, 스트라이프 등 실제 원격 개발자 활동에 필요한 서비스도 함께 활용한 것으로 나타났다.
양봉열 로그프레소 대표는 “북한 IT 인력의 위장 취업은 단순한 외화 획득을 넘어 기업 내부 시스템, 소스코드 저장소, 클라우드 자산에 접근하기 위한 초기 침투 경로로 악용될 수 있다”며 “합법적인 개발자로 위장해 내부 접근 권한을 확보하면 이후 공급망 공격이나 정보 탈취로 이어질 가능성이 크다”고 말했다.
로그프레소는 기업과 채용 플랫폼이 채용 단계부터 다차원 검증 체계를 강화해야 한다고 제안했다. 링크드인과 깃허브 활동 이력 교차 검증, 화상 면접을 통한 실존 인물 확인, 비정상적 다국가 접속 탐지, 동일 기기 기반 복수 계정 식별, 가상번호 인증 계정 별도 검토, 원격 근무자 대상 업무용 기기 지급과 모바일기기관리(MDM) 도입 등이 필요하다고 밝혔다.
글. 바이라인네트워크
<곽중희 기자> god8889@byline.network

