북한의 가짜 IT 인력 사기가 기술 및 기타 기업을 표적으로 삼는 사례가 늘어는 가운데, 데이터 절도 및 갈취도 함께 증가하고 있다. 이러한 사기는 일반적으로 북한 요원들이 합법적인 IT 전문가로 위장하여 서방 기업에 취업을 시도하는 형태로 이뤄진다. 대부분 원격 근무 옵션을 제공하는 직책을 노린다.
일단 고용된 ‘원격 근무자’들은 내부자 접근 권한을 악용하여 기업의 인프라에 대한 정찰을 수행하고 민감한 정보를 훔치는 동시에 월급을 받아 북한 정권에 전달한다.
가짜 직원
최근 보안 회사 엑사빔(Exabeam)에서 발생한 사례가 있다. 회사의 공개 채용에서 한 지원자는 인사 담당자와의 1차 면접을 통과할 만큼 충분한 기술 지식을 보유하고 있었다. 하지만 채용 담당자는 1차 면접 이후 지원자의 답변이 “다소 각본에 짜여진 것 같다”라고 지적했다. 곧이어 부서장과의 면접에서도 문제가 발생했다.
회사의 GRC 팀장 조디 마스와 CISO 케빈 커크우드는 정규직 선임 거버넌스, 리스크 및 규정 준수 분석가 채용을 위한 온라인 면접이 처음부터 “이상했다”라고 말했다.
커크우드는 “눈도 움직이지 않고, 입술도 움직이지 않았으며, 목소리도 기계적이었다. 마치 1970년대 일본 고질라 영화에 나오는 것 같았다”라고 말했다.
커크우드와 그의 동료는 지원자가 딥페이크 비디오 기술을 사용해 면접을 치르고 있다는 결론을 빠르게 내렸다. 답변이 지연되고 응답이 기계적으로 처리되는 현상을 감안할 때 지원자가 질문에 답할 때 음성 번역 기술을 사용하고 있다는 판단이었다. 커크우드는 “이번에는 쉽게 발견할 수 있었지만 향후 기술이 발전하면서 앞으로 더 까다로운 딥페이크가 등장할 것”이라고 경고했다.
사이버 범죄자들은 이렇듯 딥페이크 이미지, 비디오, 오디오를 소셜 엔지니어링 및 및 갈취 캠페인에 사용할 수 있는 새롭고 강력한 도구로 바라보고 있다. 딜로이트의 최근 조사에 따르면 사이버 범죄자들은 이미 전체 기업의 4분의 1 이상을 표적으로 삼고 있으며, 주로 금융 데이터에 초점을 맞추고 있다.
인터뷰가 끝난 후, 마스와 커크우드는 인사팀 동료들과 함께 엑사빔의 채용 프로세스를 개선하여 원격 입사 지원자를 위한 화상 면접과 추가 직원 교육 등 더욱 엄격한 안전장치를 도입했다.
이번 사건은 기업이 지원자의 신원과 서류를 확인하고 화상 통화 중 의심스러운 활동에 주의를 기울여야 함을 시사한다. 또 신입사원 온보딩 과정에서 기업은 원격 액세스 및 VPN 도구의 무단 사용에 특히 주의해야 한다.
북한의 가짜 근로자 IT 사기에 휘말린 조직은 300곳 이상으로 추정되며, 북한에 유입된 금액은 수백만 달러에 달하는 것으로 분석된다. 지난 8월, EDR 공급업체 크라우드스트라이크는 한 북한 단체가 사칭 캠페인을 통해 100개 이상의 기업에 침투했다는 보고서를 발표했다.
미 국무부, 미 재무부, FBI는 2022년 5월 공동 권고문을 통해 북한 IT 종사자들은 개별적으로 연간 30만 달러 이상을 벌 수 있으며, IT 종사자들로 구성된 팀은 연간 300만 달러 이상을 벌 수 있다고 경고했다.
보안 인식 공급업체 노우비4(KnowBe4)도 실수로 북한 IT 직원을 고용한 바 있으며, 해당 직원은 네트워크 침입을 시도했다가 실패했다. 노우비4는 이 사기가 실제로 어떻게 작동하는지 자세히 설명하는 블로그 게시물을 통해 회사의 경험을 공개했다.
위장 근로자 IT 사기에 대한 자세한 배경과 탐지 팁은 2024년 8월의 ‘북한발 가짜 IT직원 주의보··· 현황은? 걸러낼 방법은?’에서 확인할 수 있다.
갈취 수법도 등장
북한 IT 인력 사기가 새로운 양상으로 변모하고 있다. 이들은 데이터 도용을 통한 갈취를 수법에 추가했다. 사이버 보안 사고 대응 기업 시큐어웍스는 2024년 중반에 한 계약업체가 고용이 시작된 직후에 익명의 회사에서 기밀 정보를 유출한 사례를 보고했다.
이 직원은 성과 문제로 4개월 만에 해고됐다. 그러나 불과 며칠 후 회사는 탈취한 지적 재산의 증거가 담긴 압축 파일과 함께 탈취한 민감한 정보가 공개되는 것을 막기 위해 암호화폐로 6자리 숫자의 금액을 지불하라는 요구를 포함한 일련의 이메일을 받았다. 피해 기업이 이러한 강압적인 요구에 응했는지는 알려지지 않았다.
시큐어웍스는 “내부자 접근 권한을 얻은 후 강압적인 요구를 하는 북한 IT 종사자들과 관련된 여러 건의 유사한 사건을 조사했으며, 이는 이전 계획에서는 관찰되지 않았던 전술”이라고 보고했다.
북한은 지속적이고 진화하는 사기의 일환으로 북미, 유럽, 호주의 기업들을 표적으로 삼고 있으며, 영국 정부와 다른 국가들도 경고를 발한 바 있다.
dl-ciokorea@foundryco.com
Read More from This Article: 기술 기업 노리는 북한의 가짜 IT 인력 캠페인··· 데이터 탈취도 주의해야
Source: News