북한의 해킹 집단이 가상화폐 및 기업 데이터를 대상으로 한 사이버 공격으로 수십억 달러를 탈취한 것으로 드러났다. 해당 내용은 11월 29일 열렸던 사이버보안 컨퍼런스 ‘사이버워콘(Cyberwarcon)’에서 공개됐다.
마이크로소프트의 보안 연구원 제임스 엘리엇에 따르면, 북한 해커들은 가짜 인물 신원을 생성하고 이를 활용해 전 세계 조직에 침투하고 있다. 이들은 인공지능(AI) 기반 프로필과 악성 소프트웨어가 삽입된 채용 캠페인을 활용해 자산을 탈취한 뒤 이를 북한의 핵무기 개발 프로그램에 충당하고 국제 제재를 우회하고 있는 것으로 알려졌다.
엘리엇은 북한 IT 작업자들을 “3중 위협”으로 묘사했다. 그는 이들이 합법적인 수익을 창출하면서도 기업 비밀을 절취하고 탈취한 데이터를 폭로하겠다고 협박하여 기업에 추가적인 피해를 입힐 가능성을 지적했다. 현대의 원격근무 환경이 이들의 수법을 더욱 정교하게 만들고 있다는 분석도 제기됐다.
북한 해킹 집단 중 하나로 마이크로소프트가 “루비 슬리트(Ruby Sleet)”라 명명한 팀은 항공우주 및 방위산업 회사를 타깃으로 기술 정보를 빼돌려 무기 개발로 활용하는 데 집중하고 있다. 또 다른 그룹인 “사파이어 슬리트(Sapphire Sleet)”는 채용 담당자나 벤처캐피탈 투자자로 위장해 악성 코드가 포함된 도구나 평가 자료를 배포하며 피해자를 속이고 있다.
한 사례에서는 오프라인 화상회의 설정을 빌미로 악성 코드를 설치하도록 속이는 방식으로 개인과 기업을 대상으로 6개월간 약 1,000만 달러 상당의 가상화폐를 탈취했다. 가장 위협적인 수법은 원격 근무자를 가장하는 방식이다. 북한 해커들은 AI를 활용해 생성된 링크드인(LinkedIn) 프로필과 깃허브(GitHub) 저장소 등의 자료를 사용해 그럴듯한 온라인 인물을 만들어내고 이를 통해 일자리를 확보한 뒤 공격을 감행하고 있다.
회사가 지급한 노트북을 미국 내 공범들에게 보내 사전에 원격 접근 소프트웨어를 설치한 뒤 러시아나 중국 같이 추적이 어려운 지역에서 원격으로 작전을 실행하기도 했다.
엘리엇 연구원은 브리핑 중 한 북한 작업자가 실수로 공개적으로 설정한 저장소에서 발견한 자료를 통해 이들의 상세한 작전 계획을 파악했다고 밝혔다. 이 자료에는 가짜 이력서와 신원 정보서 등이 포함되어 있었다고 한다. 그는 “이는 전체 작전의 플레이북이었다”며 이들의 체계성과 조직력을 경고했다.
미국 검찰은 올해 북한 해킹 그룹과 연루된 노트북 운반 사건에 대해 기소를 진행했으며, 미국 연방수사국(FBI)은 기업들에게 AI를 활용한 사기 위험에 대한 경고와 주의를 요구했다. 특히 고용 사기 사건과 같은 방식에 대한 방지책 마련이 강조됐다.
보안 전문가들은 이 문제를 근본적으로 해결하기 위해 보다 엄격한 직원 확인 절차와 같은 강력한 방지책이 필요하다고 주장했다. 또한 언어적 오류, 지리적 정보의 불일치와 같은 일반적인 경고 신호로 의심스러운 신청자를 판별할 수 있는 방법도 제안되었다.
엘리엇은 이 같은 사이버 위협이 단기적인 문제가 아니라고 경고하며, 북한 사이버 캠페인은 전 세계 비즈니스 커뮤니티가 지속적으로 적응하고 방어를 강화해야 할 장기적인 위협이라고 강조했다.
북한의 사이버 활동은 진화하고 있으며, 이러한 기술 결합 전략은 글로벌 기업들에게 치명적인 결과를 초래할 가능성이 점점 커지고 있다. 이에 따라 전문가들은 국제 사회의 협력과 정보 공유가 필수적이라고 지적했다.
