미국 수사 당국이 기업을 대상으로 한 북한 IT 노동자들의 사이버 범죄 행위에 대해 경고하며 주의를 당부했습니다. 업계 전문가는 북한 IT 노동자들의 공격이 진화하고 있다며 정보 공유의 중요성을 강조했습니다. 안소영 기자가 보도합니다.
미 연방수사국(FBI)이 23일 북한 IT(정보기술) 노동자들이 위장 취업한 기업의 소스 코드를 훔쳐 이들 기업에 금전을 요구하고 있다는 내용의 공익 발표문을 공개했습니다.
[발표문] “The Federal Bureau of Investigation (FBI) is providing an update to previously shared guidance regarding Democratic People's Republic of Korea (North Korea) Information Technology (IT) workers to raise public awareness of their increasingly malicious activity, which has recently included data extortion. In recent months, in addition to data extortion, FBI has observed North Korean IT workers leveraging unlawful access to company networks to exfiltrate proprietary and sensitive data, facilitate cyber-criminal activities, and conduct revenue-generating activity on behalf of the regime.”
FBI는 발표문에서 “FBI는 최근 데이터 탈취 등 더욱 악의적으로 변하는 북한 정보기술(IT) 노동자들의 활동에 대한 대중의 인식을 제고하기 위해 이전에 공유했던 관련 지침을 갱신해 제공하고 있다”고 설명했습니다.
그러면서 “최근 몇 달간 북한 IT 노동자들이 회사 네트워크에 불법 접근해 독점적이고 민감한 데이터를 유출하고 사이버 범죄 활동을 조장하며 북한 정권을 대신해 수익 창출 활동을 벌이는 것을 포착했다”고 밝혔습니다.
그러면서 “북한 IT 노동자들은 훔친 (기업의) 독점 데이터 및 코드를 담보로 피해 기업들을 협박해 돈을 갈취해 왔다”면서 “어떤 경우에는 북한 IT 노동자들이 피해 기업의 독점 코드를 유출하기도 했다”고 설명했습니다.
[발표문] “North Korean IT workers have extorted victims by holding stolen proprietary data and code hostage until the companies meet ransom demands. In some instances, North Korean IT workers have publicly released victim companies' proprietary code. North Korean IT workers have copied company code repositories, such as GitHub, to their own user profiles and personal cloud accounts. This activity represents a large-scale risk of theft of company code. North Korean IT workers could attempt to harvest sensitive company credentials and session cookies to initiate work sessions from non-company devices and for further compromise opportunities”
“대규모 기업 코드 도난 위험성”
이어 “이들은 깃허브(GitHub)와 같은 회사 코드 저장소를 자신의 프로필과 개인 클라우드 계정으로 복사하기도 했다”면서 “이 같은 활동은 회사 코드의 대규모 도난 위험성을 보여준다”고 경고했습니다.
그러면서 이 같은 피해 방지를 위해 “로컬 관리자 계정을 비활성화하고 원격 데스크톱 애플리케이션 설치 권한을 제한할 것”을 권고했습니다.
아울러 “비정상적인 네트워크 트래픽을 모니터링해야 한다”며 “북한 IT 노동자들은 종종 여러 IP 주소에서 짧은 시간 내에 하나의 계정으로 여러 차례 로그인하는데, 이 IP 주소들이 다양한 국가와 연관돼 있을 수 있다”는 점을 상기했습니다.
“원격 채용 과정 강화해야…대면 진행 권고”
무엇보다 채용 과정을 강화할 것을 권장했습니다.
FBI는 “북한 IT 노동자들은 면접에서 인공지능(AI)과 얼굴 변환 기술을 이용해 신원을 숨기는 경우가 있었다”면서 인사관리 시스템에서 동일한 이력서 내용 및 연락처를 가진 다른 지원자가 있는지 교차 확인해야 한다”고 설명했습니다.
또한 “북한 IT 노동자들은 종종 미국 이외의 교육 기관을 다녔다고 주장한다”면서 “지원자의 출신 지역 및 학력에 대한 세부적인 질문을 하고, 가능한 한 대면으로 채용 및 입사 과정을 진행할 것”을 권고했습니다.
“북한 IT 노동자 수법, 공격적으로 진화”
구글 산하 사이버 보안업체 맨디언트의 테일러 롱 수석분석가는 이날 VOA와의 통화에서 북한 IT 노동자들의 공격이 진화하고 있다며 정보 공유의 중요성을 강조했습니다.
[녹취: 롱 수석분석가] “So we think with the public attention and the industry alerts surrounding the IT workers that they're getting a bit more aggressive in their techniques because they are being discovered more quickly. We’ve been seeing from the fall (last year) them collect as much sensitive data they can at the companies they’re at and then emailing, HR or leadership and then demanding ransoms. So awareness training and threat intelligence sharing are important.”
롱 수석분석가는 “대중의 관심과 업계의 경각심으로 (북한) IT 노동자들의 (범죄 행위가) 더 빨리 발각되면서 그들의 (범죄) 수법이 더 공격적으로 변하고 있다”고 말했습니다.
이어 지난 가을부터 IT 북한 노동자들이 위장 취업한 기업에서 최대한 민감한 정보를 많이 훔쳐 이메일로 인사팀 또는 경영진에게 금전을 요구하는 것을 확인했다며, 이에 대한 “인식 교육과 위협과 관련한 정보 공유가 중요하다”고 덧붙였습니다.
그동안 FBI는 여러 차례 북한 IT 노동자들이 미국과 전 세계 여러 기업에 취업하기 위해 신분을 위조하고 있다고 경고해 왔습니다.
앞서 23일 미국 법무부는 국적과 신분을 속이고 미국 IT 회사에서 일감을 받은 북한인 2명과 이들의 조력자 3명을 법원에 기소했습니다.
법무부는 이들 북한 IT 노동자 진성일과 박진성은 가짜 신분증과 허위 웹사이트를 개설해 자신들이 미국에 거주하는 것처럼 속여, 미국 IT 회사로부터 돈을 받아 북한 무기 프로그램을 위한 자금을 마련했다고 설명했습니다.
앞서 미국과 한국, 일본은 지난 14일 ‘북한 암호화폐 탈취 및 민간 협력에 대한 공동성명’을 내고 지난 2024년에 북한 해킹 그룹은 6억 5천913만 달러 상당의 암호화폐를 탈취했다고 밝힌 바 있습니다.
VOA 뉴스 안소영입니다.
Forum