구글 위협 인텔리전스 그룹 발표...미국 단속 강화 이후 유럽이 주요 타깃으로 부상

▲ 북한 IT 인력의 사이버 공격에 영향을 받고 있는 국가들 [사진=구글 위협 인텔리전스 그룹]

구글 위협 인텔리전스 그룹(Google Threat Intelligence Group)이 최근 발표한 보고서에 따르면, 북한 IT 근로자들이 미국을 넘어 유럽 전역에서 사이버 위협 활동을 크게 증가시키고 있는 것으로 나타났다. 이는 미국 내 단속이 강화되면서 북한 IT 인력의 활동 범위가 확장되고 있다는 점을 시사한다.

유럽을 겨냥한 북한 IT 근로자들의 활동

보고서에 따르면, 2024년 말 한 북한 IT 근로자는 12개 이상의 위조 신분을 사용해 유럽과 미국에서 활동했으며, 특히 방위 산업 및 정부 기관에 취업을 시도했다. 그는 조작된 추천서를 제출하고, 채용 담당자와 친분을 쌓는 등 교묘한 전략을 활용했다.

또한, 독일과 포르투갈에서 활동한 또 다른 북한 IT 근로자는 유럽 내 구직 웹사이트와 자본 관리 플랫폼에서 로그인 자격 증명을 활용한 것으로 드러났다. 영국에서는 웹 개발, 봇 개발, 콘텐츠 관리 시스템(CMS) 개발, 블록체인 기술 등 다양한 프로젝트에 참여한 북한 IT 근로자들의 활동이 관찰됐다. 이 같은 활동은 북한 IT 인력이 단순한 웹 개발을 넘어 고급 블록체인 및 AI 애플리케이션까지 다룰 수 있는 높은 기술력을 갖추고 있음을 보여준다.

신원 위조와 온라인 플랫폼 활용

북한 IT 근로자들은 이탈리아, 일본, 말레이시아, 싱가포르, 우크라이나, 미국, 베트남 등 다양한 국적으로 위장해 신원을 조작하고 있다. 실제 인물과 가상의 신원을 결합하여 철저히 신분을 속이는 방식도 사용되고 있다.

특히, 이들은 업워크(Upwork), 텔레그램(Telegram), 프리랜서(Freelancer) 등 온라인 플랫폼을 통해 채용되며, 수익을 은닉하기 위해 암호화폐, 트랜스퍼와이즈(TransferWise), 페이오니아(Payoneer) 등의 금융 서비스를 활용하고 있다.

고도화된 갈취 공격과 기업 보안 위협

2024년 10월 이후, 북한 IT 인력의 사이버 갈취 시도가 급증했으며, 이는 미국 정부의 단속이 강화된 시기와 맞물린다. 이에 따라 북한 IT 인력이 대기업을 대상으로 더욱 공격적인 사이버 위협을 전개하고 있다는 분석이 나온다.

특히 일부 기업이 직원들에게 가상 머신(virtual machines)을 통해 개인용 노트북으로 기업 시스템에 접근할 수 있도록 허용하는 BYOD(Bring Your Own Device) 정책을 시행하면서, 이러한 정책이 사이버 보안의 취약점으로 작용하고 있다는 우려가 커지고 있다. 개인 디바이스 사용으로 인해 활동 추적이 어려워지고, 사이버 공격의 위험이 증가하고 있다는 점이 문제로 지적된다.

전 세계로 확산되는 북한의 사이버 위협

구글 위협 인텔리전스 그룹의 제이미 콜리어(Jamie Collier) 유럽 지역 수석 고문은 "북한은 지난 10년간 금융기관 해킹(SWIFT 공격), 랜섬웨어, 암호화폐 탈취, 공급망 공격 등 다양한 사이버 공격을 감행해왔다"며 "이러한 지속적인 진화는 사이버 공격을 통한 자금 조달이 북한 정권의 주요 전략 중 하나임을 보여준다"고 설명했다.

그는 이어 "북한 IT 인력의 활동이 성공을 거둬온 만큼, 앞으로 활동 범위를 더욱 확장할 가능성이 크다"며 "특히 사이버 위협에 대한 인식이 부족한 아시아-태평양 지역이 새로운 타깃이 될 가능성이 높다"고 경고했다.

한편, 전문가들은 기업 및 기관들이 채용 과정에서 신원 확인 절차를 강화하고, 보안 정책을 더욱 엄격하게 적용해야 한다고 강조하고 있다. 북한 IT 인력의 활동이 점점 더 정교해지고 있는 만큼, 국제 사회의 협력을 통한 대응이 시급하다는 지적이 나오고 있다.

윤재은 기자 yje@esgkoreanews.com 이 기자의 다른 기사 보기