"컴퓨터에서 허용되지 않은 행동을 하고 있습니다. 즉시 멈추십시오."
지난 4월, 리성호(가명)의 컴퓨터 화면에 갑자기 경고문이 떴다.
당시 리 씨는 해외 펜팔 사이트에서 여러 사람에게 접근하고 있었다. 겉으로는 친구를 찾는 평범한 이용자처럼 보였지만, 그의 목적은 달랐다.
리 씨는 자신이 북한 출신이라는 사실을 숨기고, 다른 이들의 신분을 이용해 해외 IT 일자리를 구하는 '위장 취업자'였다.
그는 펜팔 사이트에서 친근한 인사로 말을 건네고, 이후 돈을 주고 신분을 빌릴 수 있는 '파트너'를 찾고 있었다.
그가 건넨 제안에 수상함을 느낀 한 사용자가 '사기꾼이 아니냐'며 의심하자, 두 사람 사이에 말다툼이 벌어졌다. 바로 그 순간, 그가 더 접근을 못하게 막은 것은 북한 내부 감시자였다.
BBC 코리아의 취재 결과, 북한은 리 씨와 같은 IT 인력의 활동을 추적하고 이들의 업무 이탈을 막기 위해 내부 감시 프로그램을 운영하는 등 조직적으로 관리해온 것으로 드러났다.
전 세계 온라인 사기범들을 오랫동안 추적·관찰해 온 유튜버 '디비어(활동명)'는 북한 IT 인력들의 활동 무대가 "구인 사이트를 넘어 친목 사이트로까지 넓어지고 있다"며 해외 펜팔이나 소개팅 사이트에서 위장 취업에 필요한 신분과 계정을 제공해줄 사람을 찾고 있다"고 BBC에 밝혔다.
BBC 코리아는 북한 IT 인력들의 실제 온라인 활동이 담긴 컴퓨터 화면 기록을 입수했다. 자료에는 이들 내부에서 사용한 '업무용 메신저' 채팅 기록도 있었다. 자료 제공자 보호를 위해, 해당 자료가 확보된 구체적인 방식은 공개하지 않는다.
다만 사이버 안보 전문가들과 과거 실제 북한 IT 노동자로 일했던 탈북자에게도 검토를 의뢰했다. 이들은 자료 속 신원·계정 관리, 업무 분담, 내부 규칙 등이 기존에 알려진 북한 IT 인력들의 해외 위장 취업 방식과 부합한다고 설명했다.
그동안 북한 IT 인력 문제는 해외 기업에 위장 취업한 이후 '결과'를 중심으로 알려져 왔다. 하지만 이번 자료는 IT 인력을 통제한 북한 내 사이버 조직의 실체를 보여준다.
IT 노동자는 '조직의 말단'...배후에는 누가?
표면적으로는 한 사람이 온라인에서 원격 개발 일감을 찾는 것처럼 보인다. 하지만 실제 이들이 사용하는 컴퓨터에서 발견된 채팅 기록을 보면, 배후에는 더 큰 조직이 움직이고 있었다.
BBC는 지난해 하반기 동안 북한의 한 '사이버 부대'에서 오간 IP 메신저 채팅 100장의 분량의 기록도 확보했다. 이 메신저는 북한에서 주로 사용하는 업무용 메신저로, 같은 내부망에 연결된 컴퓨터끼리 메시지와 파일을 주고받을 수 있다.
"모든 팀 매니저와 어시스턴트(보조 인력)들은 회의를 위해 24시에 제3홀로 모이세요."
"비밀번호 Dandong****!"
채팅 기록에는 회의 소집과 비밀번호 공유 등 조직 내부의 일상적인 운영 방식이 그대로 드러났다. 특히 일부 공유 비밀번호에는 위장 취업의 운영 거점으로 알려진 중국과 북한의 접경 도시인 '단둥'이 쓰였다.
채팅 기록을 분석한 사이버 보안업체 '로그프레소'의 구동원 본부장은 이 조직 안에서 "최소 27개의 아이디와 33대 이상의 컴퓨터를 확인했다"고 밝혔다. 그리고 여러 계정과 장비를 역할별로 배치하고 관리한 흔적을 찾아볼 수 있다며, 위장 취업 활동이 조직적인 관리 체계 안에서 이뤄졌다고 분석했다.
다만 이 조직이 여러 북한 위장 취업 집단 중 하나일 가능성이 있다고 봤다.
다른 사이버 보안업체 '그룹-IB'도 이 조직이 여러 단계로 역할을 나눠 움직였다고 설명했다.
BBC 확인 결과 외부에 가장 잘 알려진 '북한 IT 노동자'들은 4단계 계급 중 가장 말단에 있었다.
그 위에는 IT 노동자들을 감독하는 관리자 그룹이 있었다. 이들은 크게
- 1) 전체 보안과 내부 규율을 관리하는 상위 관리자
- 2) 업무를 배정하는 중간 관리자
- 3) 가짜 이력서와 계정을 준비하는 실무 지원자들이었다.
IT 노동자들은 이들의 지시를 받아, 가짜 신원과 계정을 이용해 해외 원격 노동자로 위장했다.
그룹-IB의 아나스타샤 티호노바는 이 조직을 "북한 인력만으로 구성된 단일 조직으로 단정하기는 어렵다"며 3단계 실무 지원과 4단계 IT 인력에 "중국어를 사용하는 행위자들이 포함됐을 가능성이 있다"고 전했다.
그는 역할 분담이 이뤄지는 이유로 "효율"과 "추적 회피"를 꼽았다.
티호노바 연구책임자는 북한 위장 취업 생태계가 "중개자나 제3자와 협력하는 경우가 많다"며, "역할을 나누면 각 그룹이 위장 취업의 특정 단계에 집중할 수 있어 활동 규모를 더 쉽게 키울 수 있다"고 설명했다.
이런 분업 구조는 추적과 단속도 어렵게 만든다. 여러 행위자가 서로 다른 신원과 소통 채널, 인프라를 사용하면 조사기관은 전체 조직이 아니라 흩어진 활동의 일부만 보게 되는 경우가 많기 때문이다.
즉, 더 넓은 표적을 겨냥할 수 있게 하는 동시에, 한 명이 노출되더라도 전체 네트워크가 함께 드러날 위험을 줄일 수 있다는 설명이다.
거실로 출근...'한 집에 설치된 컴퓨터 20대'
이 같은 조직 구조는 탈북자의 증언과도 맞닿아 있다.
과거 중국에 파견돼 북한 해외 IT 노동자로 일한 탈북자 김현규 씨(가명)도 조직 체계가 존재한다고 밝혔다.
김 씨에 따르면 북한 위장 취업 조직은 "보위원, 해외지사장, 단장, 조장, 개발자" 순으로 이어지는 구조를 갖고 있다. 다만 파견 지역이나 업무 조건에 따라 일부 역할은 달라지거나, 축소될 수 있다고 덧붙였다.
김 씨는 북한의 IT 노동자 조직 전체 규모가 약 6000~7000명에 이를 것으로 봤다. 이 가운데 약 3000명은 중국과 동남아시아, 러시아 등지에 상시 파견돼 있는 것으로 추정했다.
그는 북한 IT 노동자들은 보통 수십 명 규모의 팀으로 움직이며, 10명 안팎씩 나뉘어 숙소에서 단체 생활을 했다고 밝혔다.
"큰 거실을 작업장처럼 쓰는 거죠. 거기에 다같이 모여 앉아서 일을 하고요."
김 씨는 한 집 안에 설치된 컴퓨터만 20대에 달했다고 설명했다. 노동자 한 명이 컴퓨터 두세 대를 오가며 여러 신분을 관리하고, 해외 기업의 개발 일감을 구하는 방식이다.
또 그의 주요 고객은 미국과 유럽 기업이었기 때문에 중국 현지 시간으로 저녁 9시쯤 일을 시작해 다음 날 새벽 6시까지 일했다.
"잠 자는 시간 빼고 일했고, 개인 자유 시간은 없었어요."
하지만 정해진 업무 시간만 일하면 끝나는 구조도 아니었다. 일감이 없을 때는 위장 취업을 위한 새로운 사람의 신분을 찾고, 추가 구직 활동을 해야 했다. 그는 이를 "신분 낚시질"이라고 표현했다.
"사람들을 계속 사냥하는 거예요. 신분을 빌려줄 사람을 찾는 거죠."
'신분 낚시질'은 텔레그램과 디스코드와 같은 소셜플랫폼에서 주로 이뤄진다. 북한 IT 인력들은 "쉽게 돈 버는 방법이 있다"며 이름과 생년월일, 구직 사이트 계정 등 신원을 빌려줄 사람을 찾는 글을 올린다.
글에 관심을 보이는 사람이 있으면 대화는 온라인 미팅으로 이어졌다. 이들은 친근한 말투로 접근해 신뢰를 쌓고, 이후 월 수입의 10~15%를 제공하겠다며, 신분 대여를 시도했다.
이처럼 신분을 빌리거나 도용해 위장 취업을 돕는 행위는 최근 실제 단속 사례로 드러나고 있다. 지난 2월 미국 법무부에 따르면, 우크라이나 키이우 출신 올렉산드르 디덴코는 미국 시민의 신원을 도용해 북한 IT 노동자들에게 판매하고, 이들이 미국 기업에 취업하도록 도운 혐의로 징역 60개월을 선고받았다.
그러나 실제로 이들의 위장 취업이 적발되는 사례는 드물다. 이력서와 면접 답변, 온라인 프로필, 말투와 접속 시간까지 실제 지원자처럼 보이도록 맞추기 때문이다.
티호노바 연구책임자는 특히 AI 기반 도구가 이력서와 면접 답변, 프로필 내용, 언어 표현 조정 등에 활용되면서 가짜 지원자를 더 그럴듯하게 만드는 데 쓰일 수 있다고 설명했다.
말투부터 접속 시간까지... '북한 지우기' 비밀 규칙
이런 추적 회피 방식은 이들의 내부 규칙에서도 드러난다. 자료에는 어떻게 외국인 개발자처럼 보일지, 어떤 말을 조심해야 하는지 등 북한 신분을 숨기기 위한 지침들이 담겨 있었다.
예컨대 기술 면접 답변을 쉬운 구어체로 바꾸고 "you know(있잖아요)", "I guess(그런 것 같아요)", "um(음)", "uh(어)" 같은 표현을 자연스럽게 섞으라는 지시가 담겨 있었다. 준비한 답변을 그대로 읽으면 의심을 살 수 있기 때문에, 면접자가 즉석에서 말하는 것처럼 보이게 하려는 의도였다.
면접 대응뿐 아니라, 실제 구인·구직 플랫폼에서 계정을 운용하는 방식도 상세하게 적혀 있었다. 대표적인 지침 중 하나는 이른바 '업워크(Upwork) 12조'였다.
규칙의 핵심은 하나였다. 자료를 분석한 구 본부장은 "여러 신분과 계정을 동시에 쓰면서도 실제 위치와 작업 주체가 드러나지 않게 하는 것"이라고 설명했다.
그 중 "PC에서 Gmail에 절대 로그인하지 말라"는 규칙이 있었다. 한 기기에서 여러 신원이 오간 흔적이 남으면 계정 운용 방식이 드러날 수 있기 때문이다.
응답 시간도 관리 대상이었다. 클라이언트와 메시지를 주고받을 때는 세르비아 시간대에 맞춰 응답하라는 지침도 있었다. 실제 위치를 숨기기 위한 장치였다.
구 본부장은 이런 지침들이 북한 IT 인력들의 위장 활동이 얼마나 조직적으로 관리됐는지를 보여준다고 설명했다.
"북한이 아니면 의심할 수 있을 만한 집단이 없죠. 이렇게까지 신원을 속여가며 조직적으로 일감을 따내려는 집단이 또 어디 있겠어요."
'극심한 스트레스…현대판 노예제도'
그렇다면 이런 일자리는 북한 내부에서 어떻게 평가될까?
탈북자 김현규 씨는 북한에서 IT 노동자는 비교적 선망받는 자리라고 밝혔다. 개발 인력은 어릴 때부터 육성되는 경우가 많고, 해외에서 외화를 벌 수 있다는 점도 선택받은 기회로 받아들여지기 때문이다.
그러나 실제로 노동자들이 겪는 현실은 달랐다. 이들은 매달 정해진 목표액을 채우기 위해 장시간 일해야 했고, 제대로 된 인건비를 받지 못한 채 통제와 감시 속에 놓였다.
"중국 현지에 떨궈놓고 무조건 외화를 벌어서 바치래요."
김 씨는 자신에게 주어진 임무를 이렇게 설명했다.
그의 업무는 해외 기업에 위장 취업해 매달 정해진 외화벌이 목표를 채우는 것이었다.
처음에는 한 달에 3000달러 (약 440만원) 수준이던 목표액이 시간이 지나며 올랐고, 코로나 기간에는 6000~7000달러 (약 890만~1000만원)까지 늘었다고 했다.
목표액을 채우기 위해 이 씨는 세네 개 회사의 업무를 동시에 맡아야 했다.
벌어들인 돈의 상당 부분은 국가 상납금으로 빠져나간다. 나머지는 조직 내 책임자, 중국 현지 파트너, 운영비 등으로 나뉘었고, 개인에게 돌아가는 몫은 15~20%에 불과하다고 말했다.
목표액을 채우지 못하면 처벌도 뒤따랐다. 그는 6개월 동안 계획을 달성하지 못하면 다시 북한으로 송환된다고 말했다.
김 씨는 가장 힘들었던 점으로 "집단 규율생활"을 꼽았다. 같이 생활하는 팀원들이 사실상 사회의 전부였고, 외부인과의 접촉은 강하게 통제됐다.
또 컴퓨터에는 24시간 모니터링 시스템이 돌아갔다. 누가 어떤 화면을 봤고, 어떤 활동을 했는지 감시할 수 있는 구조였다. 개인 외출도 허용되지 않았다. 밖에 나갈 때는 반드시 2~3명이 함께 움직여야 했다.
김 씨는 극심한 스트레스를 견디지 못한 동료가 스스로 목숨을 끊은 일도 있었다고 말했다.
탈북민 인권단체 피스코어의 남바다 국장은 이를 "국가가 운영하는 현대판 노예제도"라고 말했다.
"수천 명이 계속 인력을 갈아 넣으면서 제대로 된 인건비도 받지 못하고 착취 구조 속에서 열악한 환경에 살고 있어요. 이 노예 제도를 만들고 유지하는 책임은 북한 정부와 김정은에게 있습니다."
그 구조 속에서 오랜 시간 일한 김 씨는 인터뷰를 결심하고 세상에 목소리를 내기까지 오랜 고민이 있었다.
"이 이야기를 세상에 알리면 국제 규제와 보안이 강화되고, 그 안에서 일하는 친구(옛 동료)들이 돈 벌기 더 어려워지니까… 제게도 딜레마였어요."
그럼에도 그는 침묵할 수 없었다고 했다.
"해외에 나와서 일을 한다면 (김정은 독재에 대한) 진실을 분명히 알 거예요. 솔직히 IT 하는 친구들만큼 속속들이 잘 아는 사람들이 없어요. 해외 자료도 가장 많이 접할테니까요. 그 진실을 혼자만 알고 있지 말고 알리거나, 잘못된 현실을 바꾸기 위해 무언가 해야 한다고 생각합니다."
- '북한 IT 인력들', 가짜 신분으로 글로벌 기업에 취업해 외화벌이
- 북한, '15억달러 규모의 바이비트 해킹' 암호화폐 수입 중 수억달러 현금화
- 초저가 중국산 가발, 속눈썹…북한 감옥에서 만들어진다?
Copyright ⓒ BBC News 코리아 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
