신분 속인 북한 IT기술자, 미 사이버 보안회사 취직했다 적발
북한 IT 기술자가 미국에 본사를 둔 유명 사이버 보안 회사인 ‘KnowBe4’에 직원으로 잠입, 회사 정보를 훔치려다 적발된 사건이 발생했다. 이 회사의 대표인 스튜 샤워맨은 23일 블로그를 통해, “북한의 가짜 IT 인력이 우리 회사에 침투하려 했다”고 밝혔다. 이 회사는 최근 AI 관련 부서의 소프트웨어 엔지니어 채용 공고를 냈다. 이후 이력서를 받고 면접을 진행했으며 신원 조회와 추천인 확인을 거쳐 해당 인력을 채용했다. 회사는 해당 신규 채용자에게 업무용 맥북을 보냈는데 맥북이 전달되자마자 ‘말웨어(malware)’가 설치되기 시작됐다고 설명했다. 이 회사의 인사팀은 지원자가 지원서에 제공한 사진과 일치하는지 확인하기 위해 화상 면접을 네 차례 진행했다고 했다. 신원 조회 및 모든 표준 채용 절차를 따랐으나 도용된 신원을 사용해 문제가 없는 것으로 확인됐다고 한다. 샤워맨은 “해당 직원은 미국인 신원을 사용했으며 AI로 조작된 사진을 지원서에 첨부했다”고 설명했다. 이 직원의 의심스러운 활동이 포착되자 회사는 즉시 글로벌 사이버 보안회사인 맨디언트 및 미 연방수사국(FBI)에 이 사실을 공유했다. 조사 결과 이 직원은 북한에서 활동하고 있는 IT 종사자인 것으로 확인됐다. 샤워맨은 “이 직원은 7월 15일 컴퓨터 기록 파일을 조작하고 잠재적으로 유해한 파일을 전송했으며 승인되지 않은 소프트웨어를 실행하는 등 다양한 작업을 수행했다”고 했다. 그는 “라즈베리 파이라는 프로그램을 통해 말웨어를 다운로드했다”며 “(이를 확인한 즉시) 그와 전화통화를 시도했다”고 했다. 해당 직원은 전화를 받을 수 없다고 말했고 이후 연락이 끊겼다고 한다. 이 회사는 이날 미국 동부시간 오후 10시 20분쯤 해당 기기의 접속 권한을 모두 차단했다고 설명했다. 샤워맨은 이 직원이 북한이나 중국 국경 지역에서 VPN을 사용했으며, 미국 낮 시간대에 근무하는 것처럼 보이기 위해 현지 시각으로는 야간에 근무했다고 했다. 그는 “이들이 실제로 일을 하는 것처럼 행동하고 돈을 많이 받고 있는데 문제는 북한의 불법 (무기 등) 프로그램 개발에 많은 자금을 제공하고 있다는 점”이라고 했다. 샤워맨은 25일 또 한 차례 블로그에 글을 올린 뒤, 자신의 회사의 정보나 기밀이 유출된 것은 없다고 설명했다. 그는 “이 직원은 신입 사원이었기 때문에 고객 데이터, 사설 네트워크, 클라우드 인프라, 또는 기밀 정보에 전혀 접근할 수 없었다”고 했다. 기본적인 커뮤니케이션 프로그램 정도만 사용할 수 있었다는 것이다. 이 직원이 컴퓨터에 말웨어를 다운받은 이유와 관련 샤워맨은, “아마도 컴퓨터에 남아 있는 과거 정보를 추출하려고 했던 것 같다”고 했다. 그는 “미국 시민의 신원을 도용해 국가(북한)가 지원하는 범죄 인프라의 지원을 받는 숙련된 북한 IT 인력이 저지른 사건”이었다며 “이제 신입 직원에게 제공되는 컴퓨터 등은 가까운 UPS 시설로만 배송하고 사진이 있는 신분증을 확인한 뒤에만 전달될 수 있도록 할 것”이라고 덧붙였다. 김영남 기자 [kim.youngnam@koreadaily.com]북한 사이버회사 해킹 말웨어 북한 해커 사이버공격
