북한 IT인력 위장 취업 보니...한명 당 5개 가짜 계정

통합보안 전문기업 로그프레소(대표 양봉열)는 북한 IT 노동자들이 가짜 신분으로 해외 원격 IT 직무에 취업하는 행태를 분석한 ‘북한 IT 인력 위장 취업 OSINT 분석’ 보고서를 발행했다고 11일 밝혔다. 보고서 원문은 로그프레소 공식 홈페이지에서 확인할 수 있다.

이번 보고서는 가짜 신분으로 해외 기업에 취업한 북한 IT 노동자들의 활동을 추적한 결과를 담았다. 딥웹·다크웹에서 유통되는 인포스틸러(InfoStealer) 악성코드 감염 로그를 분석 원천으로 활용했으며, 기존의 악성코드 역공학 중심 분석에서 벗어나, 실제 북한 IT 인력이 사용하는 기기에서 유출된 이메일 계정, 패스워드, 접속 IP, 하드웨어 ID(HWID), 언어 설정 등을 교차 분석해 위장 취업 운영 조직의 클러스터 구조를 밝혀낸 것이 특징이다.

로그프레소는 미국 정부와 민간 연구기관이 공개한 북한 위장 취업 연관 이메일 계정 패턴 1879개와 2024년부터 현재까지 수집한 인포스틸러 감염 레코드를 비교해 추출한 104만 5645건을 교차 검증했다. 그 결과 이메일 계정 80개, IP 주소 66개, 하드웨어 ID 66개를 식별했고, 이들이 28개 국가에 걸쳐 490개 도메인에 접속한 정황을 확인했다.

보고서 핵심은, 북한 IT 노동자들이 컴퓨터 한 대로 최대 5개의 가짜 신분을 만들어 서로 다른 기업에 취업을 시도한 정황을 확인했다는 것이다. 동일한 기기에서 서로 다른 이메일 계정과 활동 내역이 발견됐으며, 각 신분은 각기 다른 이름과 국적으로 위장돼 있었다. 로그프레소는 이를 근거로 해당 활동이 개인 차원의 행위가 아니, 조직적으로 설계된 다중 신원 체계에 기반한 것으로 분석했다.

외국인 신분을 사칭한 계정에서 한국어 키보드와 운영체제(OS) 언어 설정이 확인된 사례도 포착했다. 일본이나 서구권 개발자인 것처럼 위장했지만, 실제 기기 환경에서는 한국어 사용 흔적이 드러난 것이다. 로그프레소는 이 같은 언어·환경 설정의 불일치가 위장 신분의 배후를 식별할 수 있는 유의미한 단서가 될 수 있다고 설명했다.

패스워드 분석에서도 조직적 운영 정황이 드러났다. 서로 다른 이름과 국적을 내세운 복수 계정에서 동일하거나 유사한 패스워드가 반복적으로 사용됐다. 레벤슈타인(Levenshtein) 알고리즘으로 패스워드 유사도를 분석한 결과, 단순 재사용을 넘어 일정한 변형 규칙도 확인했다고 밝혔다. 이는 동일 운영 그룹을 특정하는 핵심 지표라는 설명이다. 레벤슈타인 알고리즘(정확히는 Levenshtein distance)은 두 문자열이 얼마나 다른지 측정하는 방법이다. 한 문자열을 다른 문자열로 바꾸려면 최소 몇 번의 편집이 필요한지 계산하는 알고리즘이다.

로그프레소는 이들이 위장 취업 과정에서 SMS 인증 대행 서비스, VPN, 원격 접속 도구를 결합한 이른바 ‘인프라 3종 세트’를 활용한 정황도 포착했다. 동시에 깃허브(GitHub), 링크드인(LinkedIn), 프리랜서(Freelancer), 엔젤리스트(AngelList), 페이오니어(Payoneer), 스트라이프(Stripe) 등 실제 원격 개발자 활동에 필요한 다양한 서비스도 함께 사용한 것으로 나타났다.

양봉열 로그프레소 대표는 “북한 IT 인력의 위장 취업은 단순한 외화 획득 수단을 넘어 기업 내부 시스템, 소스코드 저장소, 클라우드 자산에 접근하기 위한 초기 침투 벡터로 악용될 수 있다”며 “합법적인 개발자로 위장해 내부 접근 권한을 확보할 경우, 이후 공급망 공격이나 정보 탈취 등 더 큰 보안 위협으로 확산될 가능성이 크다”고 말했다.