구글 클라우드, 시큐리티 데이 미디어 브리핑 개최
루크 맥나마라 “北 위장 취업 공격 사례, 韓서 없어”
“위장 취업 공격 식별할 사례 발견…노하우 알아야”
“北, 韓 제조업·자동차·방산·반도체 업계 공격 노려”


북한 해커가 전 세계 각국에서 IT 인력으로 위장 취업해 내부 데이터 또는 소스코드를 공개하겠다며 비트코인 등 금전을 요구하는 사례가 나오고 있다. 구글은 이러한 사례가 아직 한국에서 발견되지 않았으나 향후 공격 가능성이 있다며 주의를 요구했다.

루크 맥나마라 구글 위협 인텔리전스 그룹 부수석 애널리스트는 19일 오전 서울 강남구 구글코리아 사무실에서 열린 구글 클라우드 시큐리티 데이 미디어 브리핑에서 “북한 연계 해킹 그룹 특이점은 북한 국적을 숨기고 다양한 산업 분야의 기업에 고용돼 북한 정권에 수익을 창출하는 데 기여하고 있다”고 밝혔다.

북한 사이버 위협 그룹은 미사일 개발 프로그램과 핵 야망, 정권 운영 비용에 대한 자금을 직접 조달하는 동시에 국제 사회 제재를 피하기 위해 암호화폐(가상자산) 분야와 블록체인 플랫폼 강탈에 집중하고 있다.

이때 활용하는 공격 방법 중 하나가 위장 취업이다. 북한 해커들이 프리랜서 구인 웹사이트 등을 통해 소프트웨어 개발자, IT 엔지니어로서 단기 프로젝트에 지원하는데 구직에 성공하기 위해 현지 브로커와 긴밀히 공조한다.

맥나마라 애널리스트는 “브로커는 실제로 북한 정권을 위해 활동에 가담하는 걸 모른 채 북한 IT 인력과 공조한다”며 이들이 현지 은행 계좌 개설, 노트북 수령 등을 돕는 역할을 한다고 전했다. 취업에 성공한 북한 해커들은 받은 월급을 세탁해 북한으로 송금한다.

문제는 위장 취업이 탄로 날 경우다. 북한 해커인지 모르고 고용한 기업이 이 사람을 해고하거나 특정 조치를 할 때 북한 해커가 외부에 유출돼서는 안 되는 내부 데이터나 소스 코드를 가지고 비트코인 등 금전을 요구한다는 것이다.

맥나마라 애널리스트는 “다행히도 현재까지는 한국에서 이러한 북한 IT 인력을 이용한 공격 활동이 발견되지 않았다”면서도 “(만일의 사태에 대비해) HR 담당 부서나 고용 담당자가 북한 IT 인력을 식별할 수 있는 사안을 교육하고 있다”고 말했다.

그는 “초기 인터뷰 단계에서 카메라를 켜는 것을 거부하거나 업무용 노트북을 보낼 때 이력서에 적혀 있는 주소가 아닌 다른 주소로 보내달라고 요청하는 경우가 힌트”라며 “북한 IT 인력을 고용할 가능성을 피하기 위해 철저한 백그라운드 체크가 필요하다”고 밝혔다.

구글은 북한뿐만 아니라 중국 해커 주의도 강조했다. 맥나마라 애널리스트는 지난해 보안업계에 알려진 제로데이(알려지지 않은 취약점을 활용하는 공격) 공격자 대다수가 중국과 관련된 조직이었다고 말했다.

그는 “(중국이) 과거에는 광범위한 시스템을 대상으로 과감한 대규모 공격을 펼쳤다면 오늘날에는 특정한 목표를 겨냥해 보안 시스템에 걸리지 않도록 흔적을 최소화하며 보다 정밀하고 은밀하게 공격하는 방식으로 변화했다”고 말했다.

이에 ‘ORB 네트워크(해킹된 장치를 연결해 만든 손상된 네트워크 인프라)’, ‘LOTL 공격(기존 시스템에 설치된 도구·기능을 악용한 기법, 멀웨어 기반 보안 탐지 시스템 우회)’ 등을 조심해야 한다고 전했다.

맥나마라 애널리스트는 “지난 2년간 한국에서 추적·표적 활동 영향을 가장 많이 받은 산업군은 제조업이었으며 금융 서비스와 미디어·엔터테인트먼트 산업이 그 뒤를 이었다”고 말했다.

이어 “APT45, 라자루스 등이 한국 제조업, 자동차 산업, 방산업, 반도체 산업을 겨냥하고 있는 것으로 파악한다”며 이들 산업군의 해킹 피해 주의를 당부했다.

[서울=뉴시스]