“AI로 얼굴·이력서·가짜 여권까지”…北해커, 해외 위장취업 성행

[이데일리 방성훈 기자] 북한 개발자·해커들이 핵·미사일 개발 자금을 마련하기 위해 해외 IT기업에 ‘위장 취업’하는 사례가 늘고 있다. 이는 매우 조직적·체계적으로 이뤄지고 있으며, 생성형 인공지능(AI)을 활용하기 시작하면서 침투 방식도 더욱 정교해졌다.

(사진=AFP)

◇코딩 면접 위장해 악성코드 심어 美기업에 접근

24일(현지시간) 미국 소프트웨어 개발 플랫폼 깃랩(GitLab)에 따르면 북한 해킹 조직이 2022년부터 소프트웨어 개발자를 노린 이른바 ‘컨테이저스 인터뷰’(Contagious Interview) 작전을 본격화한 사실이 최근 위협 분석 보고서를 통해 확인됐다.

해커들은 글로벌 IT·가상자산(암호화폐) 기업 채용 담당자로 위장해 구직 중인 개발자에게 접근한 뒤, 실무 코딩 테스트라고 속여 웹에서 프로젝트를 내려받도록 유도했다. 표면상으론 정상적인 개발 과제처럼 보이지만, 내부엔 자격 증명 탈취 및 원격 제어 악성코드가 탑재됐다. 해커들은 개발자 PC를 통로 삼아 해외 기업 내부망에 접근해 금융 정보 등을 빼냈다.

깃랩은 지난해 한 해 동안 이러한 악성 프로젝트 유포에 관여한 북한 연계 계정 131개를 적발해 차단했다면서 “북한 정찰총국 연계 해커들은 수백개의 가짜 계정과 조작 신분을 만든 뒤 IT 종사자를 대상으로 하는 위장 채용 캠페인을 벌이고 인터뷰까지 진행했다. 합법 서비스를 악용해 서방 기업 내부로 침투하고 있다”고 경고했다.

◇AI로 악성코드 튜닝부터 이력서·신분증 위조까지

북한 해커들은 작전 수행 과정에 챗GPT를 비롯한 생성형 AI를 적극적으로 썼다. 지난해 9월 한 북한 악성코드 개발자는 자바스크립트 기반 악성코드 ‘비버테일’(BeaverTail)의 난독화 도구(Obfuscator)를 개발하며 챗GPT와 AI 코딩 도구를 반복 호출했다.

이 개발자는 자신을 보안 연구자라고 소개한 뒤 직접 만든 코드를 챗GPT에 제공해 분석을 요청했다. 이후 어디까지 복호화되는지 시험하며 AI가 풀어내지 못하는 방식으로 코드를 계속 변형했다. 생성형 AI 내 악성코드 지원을 막는 안전장치가 마련돼 있지만, 마음만 먹으면 방어 시스템을 우회해 무력화될 수 있음을 보여준 것이다.

(사진=AFP)

가짜 신분이나 경력 등을 조작하는 데에도 생성형 AI가 쓰였다. 소셜미디어(SNS)와 AI 이미지 생성 서비스에서 사진을 모아 얼굴 합성 서비스로 가공한 뒤, 불법 신분증 제작 서비스로 가짜 여권을 만들어내고, 이를 기반으로 이메일과 전문직 네트워크 계정을 수십·수백개씩 발급받는 파이프라인을 구축했다. 자동화된 ‘신원 공장’인 셈이다.

깃랩이 확인한 합성 신원은 최소 135개에 달했다. 세르비아·폴란드·필리핀·인도네시아 등 동유럽·동남아 출신 개발자나 프리랜서를 사칭했으며, 이들 계정을 통해 최소 48개 민간 코드 저장소에 무단 접근한 정황이 포착됐다. 데이터베이스에는 7만 3000건이 넘는 잠재 고객 목록까지 저장돼 있었다.

이렇게 확보한 신분증으로 북한 해커들은 더이상 단순 피싱 메일에 머물지 않고, 합법적인 개발 생태계를 정교하게 악용하기 시작했다. 특히 미국 등 서방 기업들에 위장 취업하는 사례가 급증했다. 원격 근무가 가능한 개발자 포지션에 지원해 합법적인 개발자인 것처럼 위장했고, 부족한 업무 능력은 보조 AI 도구로 보완했다. 이는 해킹 탐지를 피하거나 흔적을 숨기는 데 유용하게 작용했다.

◇기업형 조직 활동…“안보 민감한 美기업들, 검증 강화해야”

중국 베이징에서 활동하는 것으로 추정되는 최소 7명의 북한 해커들은 2019년부터 웹·모바일 앱 개발 프리랜서로 위장해 활동했다. 이들은 2022년 1분기부터 지난해 3분기까지 164만달러(약 24억원)를 벌어들였다. 분기당 평균 11만 7000달러(약 1억 7000만원), 1인당 1만 4000달러(약 2002만원) 수준이다. 북한 해커들의 여권 사본, 사용 기기·계정·비밀번호 등과 함께, 미국·캐나다·유럽·동남아·남미 등 다국적 협력자 네트워크도 수면 위로 드러났다. 해외 협력자들의 신분증·은행 정보·원격 접속 계정은 사실상 글로벌 자금세탁·송금 통로로 활용됐다.

(사진=AFP)

개별 오퍼레이터 위장 취업 사례도 있었다. 러시아 모스크바 중심가에서 활동한 것으로 추정되는 한 위장 개발자는 2021년부터 2025년까지 미국·캐나다·우크라이나·에스토니아 등 5개국 신원을 도용·변조해 최소 21개의 페르소나를 운용했다. 이 인물은 자신의 얼굴을 포토샵으로 합성한 미국 운전면허증과 여권을 만들어 결제 수단까지 확보했다. 또한 불법 마켓에서 구한 여러 국가 신분증 템플릿을 활용해 필요에 따라 다양한 국적의 신원을 생산했다. 처음엔 프리랜서로 출발했지만 지난해 결국 미국 소형 기술 에이전시에 정규직으로 채용됐다.

깃랩은 “북한의 악성코드·위장 취업 작전은 단순한 사이버 범죄라기보다 뚜렷한 수익 목표·성과 관리·조직 구조를 가진 기업형 활동에 가깝다”며 “합성 신원과 위장 IT 노동자, 정상 개발 플랫폼 악용이 결합되며 기존 보안 통제로는 구분이 어려운 ‘내부자 위협’이 재생산되고 있다”고 경고했다. 이어 “암호화폐·핀테크·AI·국방 관련 기업들은 채용·프리랜서 계약 단계부터 보안 검증 체계를 재점검해야 한다”고 강조했다.