구글 위협 인텔리전스 그룹(GTIG)은 북한의 IT 인력이 미국을 넘어 유럽 기업까지 타깃으로 삼고 있다고 경고했다. 이들은 정상적인 원격근로자로 위장해 채용되고 있으며, 블록체인과 AI까지 포함한 첨단 기술 프로젝트에 관여하고 있는 것으로 드러났다.

가상 인프라(BYOD)와 암호화폐를 활용한 자금 세탁, 신분 위조까지 동반된 이번 활동은 단순한 해킹이 아닌 ‘국가 주도 사이버 산업’의 일환으로 진화하고 있다.

2025년 4월, 구글 클라우드 공식 블로그를 통해 GTIG는 북한 IT 인력이 유럽에서 활동 범위를 확장하고 있다고 밝혔다.

이는 2024년 9월 발표한 첫 보고서 이후 몇 개월 만에 나온 후속 분석으로, 그동안 미국 중심이던 침투 작전이 이제는 유럽 방위산업체와 공공 부문으로까지 퍼지고 있음을 공식 확인한 것이다.

특히, 2024년 말 기준으로 단일 북한 IT 인력이 최소 12개의 가짜 신분을 활용해 유럽과 미국 내 복수 기업에 접근했고, 독일, 포르투갈, 영국 등에서 활동 흔적이 발견됐다. 이들은 Next.js, React, Solana, AI, Electron 등 최신 기술을 다루는 고급 개발 프로젝트에 깊숙이 관여해왔다.

최신 개발 프레임워크를 활용한 위장 침투

GTIG 분석에 따르면 북한 IT 인력은 단순한 웹개발 수준을 넘어서 Solana 스마트컨트랙트, AI 웹앱 개발, MERN 스택 기반의 블록체인 마켓플레이스 구축 등 복잡한 기술 프로젝트에 참여했다.

특히, Next.js + Tailwind CSS 기반 사이트 추가 작업, Anchor/Rust 기반 스마트컨트랙트 개발 등은 고도화된 기술 숙련도를 시사한다.

또한, 이들은 위조된 인적 정보를 통해 유럽 기업에 접근하며, 딥페이크 영상, AI 기반 작성 도구, 위조 여권 브로커 연결 정보까지 포함된 내부 가이드 문서를 활용하고 있었다.

암호화폐 기반의 자금 흐름과 ‘사이버 외화벌이’ 구조

북한 IT 인력은 Upwork, Telegram, Freelancer 등의 플랫폼을 통해 채용되고, 암호화폐, Payoneer, TransferWise 등 추적이 어려운 수단으로 대금을 수령하고 있었다. 이는 사이버 작전과 외화벌이 간의 구조적 연결을 보여주는 대목이다.

이처럼 기업은 합법적 비용을 지불하고도 북한 정권의 사이버 작전에 간접 자금을 지원하는 결과를 초래할 수 있다.

원격 근무 환경과 BYOD 정책의 보안 취약성

많은 글로벌 기업이 원격근무 환경에서 BYOD(Bring Your Own Device) 정책을 활용하고 있다. 이는 기업 장비가 아닌 개인 기기를 사용하는 방식으로, 보안 로깅·모니터링이 제한되며 북한 IT 인력에게 익명의 작전 공간을 제공한다.

GTIG는 2025년 1월부터 이 BYOD 환경을 활용한 은밀한 내부 활동이 증가하고 있다고 밝혔다.

• 사이버 위협의 ‘노동 위장’ 전략

이번 사례는 전통적인 해킹을 넘어서 ‘정상 노동자’로 위장한 사회공학 기반의 사이버 위협 전략으로 해석된다. 이들은 수개월에 걸쳐 신뢰를 구축하고, 내부 접근권을 확보한 뒤 고의적 해고 유발 및 데이터 유출 협박(extortion)으로 이어지는 전략을 사용하고 있다.

• 다국적 ‘페르소나 인프라’와 위조 생태계 형성

북한 IT 인력은 미국, 영국, 이탈리아, 일본, 말레이시아 등 다양한 국적을 사칭하며, 유럽 구직 플랫폼에서 다수의 가짜 계정을 동시에 운용하고 있었다. GTIG는 세르비아 베오그라드 대학 졸업장, 슬로바키아 주소, 유럽 채용 전략서 등이 포함된 내부 문서도 확보했다. 이는 단순한 해커의 개별 행위가 아닌 조직적인 위장 생태계임을 보여준다.

• 사이버 작전과 국제 정치의 교차점

미국 법무부의 기소와 관련된 사이버 활동이 늘어남에 따라, 이들은 미국보다 법적 제재가 느슨한 유럽으로 전장을 옮겼다. 이 같은 움직임은 국제 제재와 사이버 작전의 역학을 보여주는 사례다.

실제로 카네기 국제평화재단(Carnegie Endowment)의 2023년 보고서와 유럽 사법협력기구(Europol) 및 유럽연합 사이버안보국(ENISA)의 2022년부터 2024년까지의 공동 보고서는 암호화폐, 원격 근무, 채용 플랫폼 등을 활용한 새로운 유형의 사이버 위협이 실제 안보를 위협하고 있음을 경고하고 있다.

카네기 국제평화재단은 보고서를 통해 "암호화폐와 원격 근로 계약의 결합이 제재 회피의 가장 실용적인 경로가 되고 있다"고 분석했다. 이는 국제 사회의 제재망을 우회하여 불법 자금을 은닉하거나 테러 자금 등으로 유입될 수 있는 가능성을 시사하는 것으로, 각국 정부와 국제기구의 긴밀한 협력이 요구되는 부분이다.

특히 익명성이 보장되는 암호화폐의 특성과 국경을 넘나드는 원격 근무의 용이성이 결합되면서, 기존의 금융 감시 시스템으로는 추적하기 어려운 새로운 형태의 제재 회피 수단으로 악용될 수 있다는 점을 강조하고 있다.

유로폴과 ENISA도 유럽 내 채용 플랫폼을 이용한 국가 기반 사이버 위장 활동이 급증하고 있다고 경고했다. 공동 보고서에 따르면, 2024년 기준으로 독일, 포르투갈, 영국이 주요 침투 경로로 분석됐다.

이는 사이버 공격의 주체가 합법적인 채용 과정을 위장하여 특정 국가의 정보 시스템에 침투하거나, 핵심 기술 및 기밀 정보를 탈취하려는 시도가 조직적으로 이루어지고 있음을 의미한다.

특히 채용 플랫폼의 보안 취약점을 악용하여 악성 코드를 유포하거나, 사회 공학적 기법을 통해 내부자의 정보를 빼내는 등의 수법이 사용될 수 있어 각별한 주의가 필요하다.
 
시사점

신원 인증 및 원격근무 보안 정책의 전면 개편이 필요하다. 기업은 BYOD 환경에서의 행동 기반 이상 징후 탐지, 페르소나 활동 모니터링, AI 기반 위조 탐지 시스템 구축에 나서야 한다.

또한 웹3 기반의 탈중앙 신원 시스템(DID)은 위조된 신원 증명서를 줄이고, 블록체인 기반 투명한 고용 이력 관리가 가능하다는 점에서 중장기적 대안이 될 수 있다.

이번 사례는 기술 노동이 외화 획득과 사이버 공격의 통로로 악용되는 현상을 보여주며, 향후 노동·보안·정책이 융합된 대응 체계가 필요함을 시사한다.

이제 우리는 해커만이 아닌 ‘노동자-위장자-공격자’라는 복합적 정체성의 존재를 인식해야 한다.

[저작권자ⓒ META-X. 무단전재-재배포 금지]