AI로 위장한 북한 해커가 기업을 공격하고 있다. 단순히 몇몇 개인의 범죄 행위가 아니다. 국가 차원에서 진행된 대규모 해킹 공격이 지난 2년 동안 꾸준히 발생하고 있다. 끓는 물 속 개구리처럼, 많은 조직들은 이러한 위협에 대한 사전 대책을 세우지 않은 채 뒤늦게서야 그 심각성을 깨닫고 있다.
보안 기업 시큐로닉스(Securonix)의 설문조사에 따르면, ‘악의적인 내부자’에 대한 우려가 2019년 60%에서 2024년 74%로 증가했으며, 90%의 기업이 내부자 공격이 “외부 공격보다 탐지하기가 동등하거나 더 어렵다”고 생각하는 것으로 나타났다. 이러한 증가의 이유는 급속도로 가속화되고 있는 북한 IT 인력의 최근 활동 관련 소식을 살펴보면 명확히 알 수 있다.
- 2022년 5월: FBI는 북한 IT 노동자들이 북한 국민이 아닌 것처럼 위장해 취업하려는 시도가 있으며, 그 목표는 북한의 무기 개발 자금을 확보하기 위한 것이라고 경고했다.
- 2023년 10월: FBI는 딥페이크 기술을 이용한 가짜 지원자에 대한 2가지 특징으로 지원자가 영상 인터뷰나 화상회의에서 카메라에 자신을 드러내는 것을 꺼리며, 지원자의 소셜 미디어 프로필이 이력서의 정보와 일치하지 않는 점을 지적했다.
- 2024년 5월: 미 법무부는 ‘상위 5위 안에 드는 국영 방송사’, ‘미 실리콘밸리 주류 기술 회사’ 등에소속된 직원의 신원을 도용해 포춘 500대 기업에 침입하려는 북한의 계획에 도움을 준 미국 및 외국인 조력자가 존재했으며, 해당 범죄자를 체포했다고 발표했다.
- 2024년 6월: 월스트리트저널은 딥페이크로 취업을 시도한 악의적 행위자를 만났던 CEO들의 이야기를 보도했다. 한 경영자는 “북한 스파이로 추정되는 지원자 50명 이상을 막아냈다”고 밝혔다.
- 2024년 8월: 보안 회사 노비포(KnowBe4)는 북한 스파이를 의도치 않게 고용한 사실을 공개했다. 이 위협 행위자는 딥페이크 프로필 사진과 도용된 신원 정보를 이용해 미국 시민으로 위장했으며, 회사 지급 노트북에 악성 프로그램을 설치하려다 적발됐다.
합법 및 불법 면접자 모두가 활용하는 AI
소프트웨어 리뷰 서비스 업체 캡테라(Capterra)가 12개국 3,000명의 구직자를 대상으로 진행한 설문 조사에 따르면, 응답자의 58%가 현재 구직 과정에서 AI를 사용하고 있으며, 83%는 자신들의 능력을 과장하거나 거짓으로 꾸몄다고 고백했다. 또한 4명 중 1명 이상이 AI를 이용해 인터뷰 답변을 생성한 경험이 있다고 밝혔다. 합법적인 구직자도 이러한 도구를 사용하고 있다면, 범죄자들도 당연히 활용하고 있을 것이다.
사기꾼들에게 생성형 AI는 무료로 제공되는 강력한 무기와 같다. 인터뷰 코파일럿(Interview Copilot)이나 센세이 AI(Sensei AI)와 같은 소프트웨어는 모의 인터뷰를 통해 준비를 돕는 것뿐만 아니라, 실제 인터뷰 중 실시간으로 맞춤형 답변을 생성해준다. 이러한 도구들은 대부분 무료 버전이나 체험판을 제공하며, 개인화된 답변, 실시간 음성 인식, 면접관이 사용하는 언어의 즉각 번역 기능을 갖추고 있다. 일부 도구는 면접관이 탐지할 수 없고, 특별한 조작 없이 간편하게 이용할 수 있다.
생성형 AI로 면접을 통과한 위협 행위자는 딥페이크 도구를 이용해 가짜 신분증과 프로필 사진을 만든다. 이때 실제 미국 시민의 개인 정보가 사용된다. 노비포의 사례에서 공격자는 이미지 플랫폼 사이트에서 쉽게 구할 수 있는 이미지로 딥페이크 프로필 사진을 만들었고, 도용된 개인 정보를 결합해 회사의 채용 및 배경 조사 절차, 4번의 영상 인터뷰와 신원 확인 절차를 모두 통과했다.
참고하면 좋은 FBI 지침
현재의 채용 절차는 이런 새로운 위협을 막기에 충분하지 않다. 일부 기업들은 새로운 방어책을 실험하고 있지만, 이마저도 부족하다. 예를 들어, 월스트리트저널에서 인터뷰했던 한 경영자는 면접에서 후보자에게 영상 통화로 신분증을 보여주도록 요청했고, 신분증과 얼굴이 일치하는지 확인한다고 밝혔다. 그러나 딥페이크로 만들어진 가짜 신분증은 본인인증(KYC) 소프트웨어도 통과할 수 있을 만큼 정교해져 있으며, 화질이 그다지 좋지 않은 영상 통화에서는 특히 진짜처럼 보이기 쉽다.
FBI는 북한 IT 노동자에 대한 대응 지침을 계속해서 개선하고 있으며, 기업은 이를 참고해보면 좋다. 흥미롭게도 의료 업계에서 딥페이크 및 소셜 엔지니어링 위협에 대해 발표한 지침과 매우 유사한 요소가 있다. 현재 FBI, 법무부, 보건부에서 발표한 지침을 도입하려는 조직의 경우, 자동화된 신원 확인 도구를 사용해 보다 신원 확인 절차를 강화할 수 있다.
북한 스파이 고용을 방지하는 방법
이러한 위협에 효과적으로 대처하기 위해 기업은 인식 교육, 체계적인 절차, 딥페이크에 대응할 수 있는 강력한 신원 확인 도구를 활용해야 한다. 다음은 기업의 보안을 지키기 위해 CIO가 취할 수 있는 세 가지 구체적인 조치다.
첫째, 생성형 AI 도구를 사용하는 지원자는 독특한 특징을 보인다. 해당 특징이 나타나는지 주의 깊게 살펴보자. 예를 들어, 질문에 답하기 전에 화면의 다른 쪽을 잠시 쳐다보거나, 응답을 제공하기 전에 시간이 걸리고 모호하거나 반복적인 답변을 할 경우 의심해야 한다. 의심스러울 때는 “취미가 무엇인가?”와 같은 간단한 개인적 질문을 던져, 생성형 AI가 답하기 어려운 상황을 만들어보라.
둘째, 신규 계정 생성 시 강력한 신원 확인(Identity Verification) 절차를 거치도록 만들어라. 직원이 첫 번째 비밀번호를 생성하기 전에 그들이 신원 확인 절차를 확실히 통과했는지 확인해야 한다. 피싱이나 딥페이크에 속지 않는 신원 확인 시스템을 찾아라. 이러한 과정을 완전히 자동화할 수 있는 솔루션도 이미 존재한다. 이는 보안을 강화할 뿐만 아니라 IT 및 인사팀에 연간 수천 시간을 절약해 줄 수 있다.
마지막으로, 기존 직원의 신원도 다시 확인해보는 것을 추천한다. 확장 가능하고 자동화되며 무엇보다 신뢰할 수 있는 방법을 사용하는 것이 중요하다. 많은 보안 요소들이 안전해 보이지만, 이메일이나 전화로 보안 코드를 보내는 것은 충분하지 않다. 이미 시스템에 침투한 위협 행위자는 사용 가능한 전화번호나 2단계 인증 기기를 등록해두었을 수 있기 때문이다.
AI가 더욱 정교해짐에 따라 위협 행위자들은 채용 절차를 계속해서 속이려 할 것이다. 인사팀만으로는 이를 막기 어렵다. 너무 늦기 전에 기업은 생성형 AI, 딥페이크, 도용된 신원으로 무장한 위협 행위자를 차단하기 위한 선제적인 조치를 취해야 한다. 직원 채용과 온보딩 과정에서 강력한 신원 확인 절차를 도입함으로써, IT 및 보안 리더는 보안 사고를 예방하는 것은 물론, 팀과 기업에 큰 시간과 비용을 절약할 수 있다.
[email protected]
Read More from This Article: 칼럼 | AI로 늘어나는 북한 해커의 공격, 3가지 조치로 기업을 보호하자
Source: News