그룹아이비, 북한 IT 인력이 AI 악용해 위장 취업한 정황 포착

그룹아이비는 북한 IT 인력 연계 조직이 인공지능(AI)과 합성 신원, 프리랜서 플랫폼을 활용해 글로벌 기업에 원격 취업을 시도한 정황을 담은 보고서를 공개했다고 13일 밝혔다.

그룹아이비는 이날 공개한 ‘북한 IT 근로자의 발자취를 따라서(Following the Footsteps of DPRK IT Workers)’ 보고서에서, 북한 조직이 사기성 원격 고용 방식으로 기업 내부에 합법적으로 들어가려는 움직임을 포착했다고 설명했다. 전통적인 해킹처럼 시스템 취약점을 직접 파고드는 방식이 아니라, 가짜 신분으로 채용 절차를 통과해 조직 안으로 들어가는 방식이라는 점이 특징이다.

그룹아이비는 북한 해커의 공격 방식을 ‘인력을 활용한 접근 모델’이라고 규정했다. 여러 개인정보 조각을 조합해 만든 가짜 신원인 합성 신원, AI로 작성한 입사 지원서, 신뢰도 높은 디지털 플랫폼을 결합해 기존 보안 통제를 우회하려 했다는 것이다.

보고서에 따르면, 그룹아이비 위협 인텔리전스 팀은 깃허브(GitHub), 프리랜서 마켓플레이스, 포트폴리오 사이트 등에서 움직이는 가짜 개발자 페르소나의 조직적 생태계를 확인했다. 이 활동은 최소 2021년부터 시작돼 2026년 3월까지 이어졌다. 보고서에는 취업 지원서에 쓰인 사진이 깃허브 저장소에 남아 있던 사례도 담겼다.

그룹아이비는 이번 조사에서 기존에 드러난 계정 외에 저장소와 이메일, 포트폴리오 사이트에 걸친 더 넓은 네트워크를 확인했다고도 밝혔다. 위협 행위자들은 개발자 페르소나를 반복 사용하거나 일부 정보만 바꿔 다른 사람처럼 꾸미는 방식으로 신원을 재활용했다. 기술 경력과 역량 정보는 유지한 채 이름, 이력, 국적 같은 개인 정보만 바꾸는 식이다. 이 외에도 신원 제작 도구와 입사 지원서 서식, AI 생성 답변, 계정 접속 정보가 함께 담긴 ‘합성 신원 패키지 저장소’도 발견됐다.

생성형 AI 도구를 활용한 사회공학 정황도 확인됐다. 지원서 작성은 물론 고용주와의 소통 과정에서도 AI를 이용한 흔적이 포착됐다. 또 업워크(Upwork) 같은 플랫폼에서는 인증된 계정을 확보해 신뢰도를 높이고 일자리를 얻으려 한 시도도 발견됐다.

그룹아이비는 이번 사안을 단순한 보안 이슈로만 보기 어렵다고 짚었다. 북한 연계 인력을 인지하지 못한 채 고용한 기업은 내부 시스템 접근을 허용하는 보안 위험뿐 아니라 국제 제재 위반, 규정 준수 실패 같은 법적 위험에도 노출될 수 있다는 설명이다.

글. 바이라인네트워크
<곽중희 기자>god8889@byline.network