북한 도와 노트북농장 운영했던 여성, 징역 8.5년

북한의 가짜 IT 요원들을 도운 미국 여성에 대한 최종 판결이 선고되면서 형량도 결정됐다. 다수 매체에 의하면 애리조나에 거주하면서 자택에서 이른 바 ‘노트북농장(laptop farm)’을 운영하던 이 인물은 8년 6개월의 3징역형을 선고 받았다고 한다. 이 여성이 촉진시킨 범죄 때문에 미국 기업 300곳 이상이 3억 달러 이상의 손해를 봤기 때문에 형량이 지나치게 가볍다는 이야기도 나오고 있다.

문제의 여성은 크리스티나 마리 채프먼(Christina Marie Chapman)으로, 작년 5월에 체포됐다. 전산 사기 공모, 신원 도용, 자금 세탁 등 여러 혐의에 대해 유죄를 인정 받은 건 지난 2월이었다. 8년 6개월의 징역을 살고 난 이후에는 풀려나지만, 3년 동안 경찰의 감독을 받아야 한다. 북한 정부에 송금할 28만 달러는 압수됐고, 17만 달러가 넘는 판결 금액도 부담해야 한다.

북한 정부의 요원들은 가짜 IT 노동자로 둔갑해 미국 및 여러 서방 국가들로 위장 취업을 한다. 

목적은 기업들의 중요 정보를 빼돌리거나, 외화벌이다. 정당한 노동력 혹은 기술력을 제공하고 그 대가로 월급을 받아 챙기는 것이면 범죄라고 하기 애매하다. 하지만 이들은 신원 도용 등을 통해 단기간 내 여러 회사에 취직만 하고 해고 당할 때까지 별 다른 일을 하지 않고 급여만 받는다. 이 과정에서 미국인 68명의 신원이 도용됐고, 309개 미국 기업들이 피해를 입었다고 사법부는 발표했다.

신원 도용만으로는 취업 후 활동에 어려움이 있을 수 있다. 진짜 요원들은 북한에 있기 때문이다. 회사의 요구에 따라 미국 영토 내에 거주하고 있다는 걸 증명할 수 있어야 할 때도 있다. 일부 회사들은 보안 목적으로 원격 근무자들의 위치와 IP 주소를 모니터링하기도 한다. 그래서 필요한 게 북한에서 원격 조작 가능한 미국 현지 컴퓨터 시스템이다. 채프먼이 이런 시스템을 다수 거느리며 북한 공격자들에게 대여해주었던 것이다. 2020년 10월부터 2023년 10월까지 이런 활동을 한 것으로 알려져 있다. 경찰이 수색했을 땅시 90대 이상의 컴퓨터가 자택에 있었다고 한다.

이런 도움을 통해 북한의 IT 요원들은 포춘 500대 기업, 미국 대형 방송사, 실리콘밸리의 테크 회사, 항공우주 업체, 자동차 업체 등 굵직한 회사들에 좋은 조건을 취업해 활동했다. 미국 정부 기관으로 취업하려는 시도도 있었으나 성공하지 않았다고 사법부는 밝혔다. 

이 회사들은 급여를 채프먼의 자택 주소 혹은 은행 계좌로 보냈다. 채프먼은 여러 경로로 이 돈을 세탁해 북한으로 송금했다. 사법부는 이 돈이 북한 무기 개발 프로그램에 투자됐을 가능성이 높다고 보고 있다. 사법부는 “적이 집안에 있었다”며 “내로라 하는 대형 기업들에 이런 식으로 침투했다면, 그보다 보안이나 검사 절차가 허술한 소규모 기업들은 이미 침투됐거나, 조만간 피해를 입을 것”이라고 경고하기도 했다. 꺼진 불도 다시 보라는 의미다.

실제 많은 보안 전문가들은 “당신의 기업이 이미 침투됐다고 보고 보안 아키텍처를 디자인해야 한다”고 주장한다. “잘 막고 있으며, 해킹 당한 적 없다고 믿는다면, 당신은 현실 감각이 떨어진 것”이라는 게 빅테크 수장들의 공통된 의견이기도 하다. 사법부는 판결문을 통해 미국 기업 모두에 “여러분이 해외로부터 오는 위협에 대한 최초의 방어선”임을 강조하기도 했다.

미국은 북한의 이러한 움직임을 중대 국가 안보 사안으로 보고 있으며, FBI는 기업들을 위한 보안 수칙을 따로 발표했다. 이는 아래와 같다.

1) 신원 검증 서류를 철저히 점검한다. 여권, 사회 보장 번호, 세금 신고 관련 서류 등 모든 서류를 면밀히 확인하되, 문서의 일관성, 발행 기관, 위조 여부 등을 꼼꼼하게 살핀다.

2) 되도록 대면 인터뷰, 최소 화상 면접을 진행한다. 북측 IT 요원들의 공통된 특징은 대면 인터뷰나 실시간 영상 통화를 회피하려 한다는 것이다. 인터뷰를 통해 얼굴만이 아니라 언어에 섞이 억양 등도 관찰할 수 있으며, 직무 능력도 간파 가능하다.

3) 수상한 원격 접속 활동을 모니터링한다. VPN을 과도하게 사용한다거나, 비정상적인 시간대에, 비정상적인 IP 주소로 접속을 시도한다고 했을 때 바로 알 수 있도록 조치를 취한다. 특히 중국, 러시아, 동남아 등 북한 인근 지역에서의 접속 시도가 발견된다면 경계해야 한다.

4) 다중인증을 도입한다. 계정을 보호해 네트워크에 대한 불법 접근 이후에도 계정 탈취가 용이하지 않도록 만든다. 인증 앱이나 하드웨어 키를 동원한 다중인증일수록 안전하다.

5) 업무용으로 지급한 장비의 사용 내역을 정기적으로 검사한다. 노트북이나 서버에 설치된 의심스러운 소프트웨어나 트래픽 기록을 확인하고, 스크립트 자동 실행 및 백도어, 파일 업로드 기록을 유심히 살핀다.

6) 신입이나 프리랜서인데 이력이 지나치게 화려하면 경계한다. 북한 IT 요원들은 큰 회사들의 선택을 받기 위해 포트폴리오를 화려하게 꾸미려는 경향이 있다. 이 때문에 이력만 볼 게 아니라 실제 실력을 실시간으로 검사하는 게 중요하다.

7) 급여 계좌가 본인이 아닌 제3자의 주소와 연결돼 있는지 살핀다. 실제 근무지와 급여 수령지 주소가 일치하지 않는다거나, 다수의 계좌로 분산될 경우 의심하는 게 맞다.

8) 내부 인력을 대상으로 한 지속적인 보안 교육이 중요하다. 특히 채용 담당자나 팀장, 보안 담당자 등은 북한 IT 요원들과 관련된 트렌드를 숙지하고 있어야 안전하다.

Related Materials

• Arizona woman sentenced to eight years in prison for running North Korea IT workers 'laptop farm' - POLITICO , 2025년
• Arizona woman in North Korean IT workers scheme sentenced to 8.5 years for helping to trick Fortune 500 companies out of millions - Fortune , 2025년
• Laptop farmer behind $17M IT worker scam locked up - The Register , 2025년
• American Sentenced to 8½ Years in Prison for Helping North Koreans Get Jobs at Nike, Other U.S. Firms - Wall Street Journal , 2025년