허위 면접 보다가 딱 걸린 북한 해커들
- 두 명의 페이머스천리마 소속 해커들, 딱 걸려
- 한 명은 인공지능 필터 기능이 너무 과해서, 다른 한 명은 신경질적이어서
- 인공지능 동원한 허위 면접 전술, 갈수록 위협적으로 변모할 듯
북한 해커들의 위장 취업이 이어지고 있다. 보안 기업 퀘찰(Quetzal)은 최근 페이머스천리마(Famous Chollima)라고 하는 APT 그룹에 소속된 2명의 해커가, 서방 암호화폐 기업의 시니어 소프트웨어 엔지니어 직책에 지원한 사실을 밝혀냈다고 발표했다. 이들은 인공지능 딥페이크 기술까지 동원해 이러한 침투 전략을 구사하고 있었다고 한다.
“북한의 공격자들은 실제 소프트웨어 엔지니어들의 신원과 이력서를 먼저 탈취했습니다. 그리고 그 정보를 바탕으로 인공지능 기반 얼굴 필터를 만들어 영상 면접 때 사용했습니다. 그렇게 합격함으로써 회사에 침투해 중요 자료나 정보를 빼내고, 또 급여를 통해 돈을 벌기도 합니다. 북한은 이미 수년 째 이런 방법으로 서방 기업들에 피해를 주고 있습니다.” 퀘찰의 설명이다.
페이머스천리마는 북한의 유명 APT 공격 조직인 라자루스(Lazarus)의 하위 그룹이다. 서방 기업을 대상으로 한 공격에 특화돼 있다. 최근 몇 년 사이에는 위장 취업 전술을 적극 활용하고 있다는 경고가 여러 보안 기업들로부터 나오고 있다. 서방 기업들 중 암호화폐, Web3, 핀테크 기업들을 가장 많이 노린다. 즉, 페이머스천리마의 가장 주된 목적은 ‘돈’임을 알 수 있다.
처참한 실패, 하지만…
결과부터 말하자면 이번에 퀘찰이 발견한 북한 해커 두 명의 위장 취업 전술은 처참하게 실패했다. 제일 먼저는, 인공지능 필터의 기능이 너무나 부실했다고 한다. “첫 번째 지원자의 얼굴은 누가 봐도 필터 처리가 과도했습니다. 한 눈에 ‘불쾌한 골짜기’가 가감 없이 보입니다. 입술은 하나도 움직이지 않는데 음성은 들리고, 입술이 겨우 움직이는데 치아랑 전혀 어울리지 않는 등, 비전문가가 봐도 이상함을 느낄 수 있을 정도였습니다.” 퀘찰의 설명이다.
두 번째 해커의 경우는 조금 나았다. 딥페이크 필터링이 좀 더 정교했던 것이었다. “하지만 행동이 이상했습니다. 몸을 계속 앞뒤로 흔들고, 눈썹을 신경질적으로 움직이는 등 ‘오버액션’이 지나치게 빈번했습니다.” 수상함을 느낀 면접관이 거주 지역을 묻자 북한 해커는 “멕시코에서 공부했고, 멕시코에서 살고 있다”고 답했다. 면접관이 스페인어로 질문을 시작했지만, 두 해커는 단 한 마디의 스페인어도 말할 수 없었다고 한다.
면접이 끝나고서는 그 자리에 있던 모두가 ‘이게 그 유명한 북한 해커의 위장 취업 전술’임을 알 수 있을 정도였다고 퀘찰은 전한다. “심지어 침투를 시도했던 북한 해커들도 그런 분위기를 알아차란 모양이었습니다. 인터뷰가 종료되자 자신들의 가짜 링크드인 프로필이 즉각 삭제됐거든요.”
이 실패가 그러나 영원한 실패로 남아 있지는 않을 거라고 퀘찰은 설명한다. “북한 해커들은 예전부터 실수를 통해 배우고, 스스로를 향상시키는 데 일가견이 있었습니다. 이번의 실패를 통해서 이들은 자신들이 사용하고 있던 딥페이크 필터가 무용지물임을 알았을 겁니다. 그리고 개량을 하든가 더 강략한 것을 구매하던가 할 겁니다. 그러면 다음 공격은 조금 더 위협적으로 변하겠죠.”
추적은 불가했는가?
혹시 추적은 불가능했을까? 올 여름 미국에서 열린 사이버 보안 행사 데프콘(DEF CON)에서 두 명의 화이트해커(자칭 핵티비스트)가 북한 혹은 중국의 APT 조직 중 한 명의 컴퓨터를 해킹하여 많은 데이터를 가져왔다며 공개한 일이 있었다. 해커를 해킹한 것으로, 이 자료 덕분에 APT 공격 조직이 어떤 것에 집중하며, 어떤 전략을 구사하고, 또 어떤 식으로 움직이는지 파악하는 데 적잖은 도움이 될 것으로 보안 업계는 기대하고 있다(해당 APT 조직의 직접적 피해자였던 한국은 제외).
퀘찰이나 인터뷰를 진행했던 회사는, 너무나 가짜임이 명백해 보이는 인터뷰를 진행한 두 명의 북한 해커를 역추적하기는 어려웠을까? 일단 해커 둘 다 VPN을 사용했기 때문에 추적이 마냥 쉬운 일은 아니었다고 퀘찰은 설명한다. “아스트릴VPN(Astrill VPN)이라는 도구를 사용하고 있었습니다. 원래 중국 사용자들이 정부가 설정한 만리방화벽을 우회하기 위해 사용하는 도구인데, 최근 들어 북한 해커들까지도 선호하기 시작했습니다.”
이 VPN 덕분에 두 명의 해커는 유럽과 미국의 IP 주소로 인터뷰에 응할 수 있었다고 한다. “이들은 자신들이 북한 출신이라는 걸 숨기고, 미국이나 유럽에 거주하는 중이라는 걸 강조하기 위해, VPN을 적극 활용했습니다. 게다가 추적도 어려워지니 북한 해커들 입장에서 VPN은 1석 2조의 도구였다고 할 수 있습니다.”
원격 채용 시스템
코로나로 인해 기업들의 많은 기능들이 ‘비대면’으로 전환됐다. 꼭 같은 공간에서 일해야 한다는 선입견을 깬 코로나는, 일할 사람을 뽑는 채용마저 비대면으로 하도록 만들었다. 그러면서 긍정적인 현상이 나타나기 시작했다. 소프트웨어 개발 기술을 보유하고 있지만, 사는 곳에 멀쩡한 기업이나 일터가 모자라 다크웹으로 빠져드는 이들이 다른 나라의 구인구직 공고에 응해 일할 수 있게 되는 경우들이 생겨났다. 기업들도 거리에 상관없이 전문 인력의 전문 기술을 활용할 수 있게 됐으니 ‘윈-윈’이었다.
하지만 북한 해커들이 여기에 착안해 가짜로 면접을 보고, 가짜로 취업하는 식의 공격 전략을 채택하면서 ‘비대면 채용’ 시스템에 대한 검토가 촉구되고 있다. “게다가 북한 해커들이 인공지능으로 필터까지 가져와 쓰고 있다는 것 때문에 기업들은 더 꼼꼼하게 채용 프로세스를 가다듬어야 할 것입니다. 얼굴을 직접 대면하지 않은 채 신뢰를 주고 받는 게 얼마나 힘든 일인지를 이해해야 합니다.”
퀘찰은 “이력서를 통해 얻어낸 정보를 가지고 신원 조회를 보다 엄격히 진행해야 한다”고 주장한다. “그리고 인사팀에서만 단독으로 온라인 면접을 진행하지 마세요. 준법 감시 팀과 함께여야 합니다. 그래야 합법적으로 인터뷰이의 모습을 녹화한다든가, 음성을 녹음하고, 신원 조회 및 확인도 할 수 있게 됩니다. 어떻게 해야 합법적인지 스스로 조사해서 적용하려 하면 너무 긴 시간이 걸리게 됩니다.”
북한 해커들은 이미 IT 전문가로 위장해 서방 국가의 여러 기업들에 피해를 입히는 중이다. 2025년 상반기까지 북한 해커들은 미국 IT 기업들에서부터 8800만 달러 이상을 탈취한 것으로 나타나기도 했다. “인공지능까지 곁들인 위장 취업 전술이 앞으로 더 빈번히 나타날 것입니다. 나타날 때마다 점점 더 좋은 모습을 보여, 언젠가는 맨눈으로 진위 여부를 따지기 힘들어지는 때가 올 겁니다.”
by 문가용 기자(anotherphase@thetechedge.ai)
Related Materials
- North Korean Hackers Targeted Hundreds in Fake Job Interview Attacks, SecurityWeek, 2024년
- Firm Hacked After Accidentally Hiring North Korean Cyber Criminal, BBC News, 2024년
- How We Identified a North Korean Hacker Who Tried to Get a Job at Kraken, Kraken Blog, 2024년
- North Korean Hackers Pose as American Job Applicants to Infiltrate Companies, EPSPros, 2024년
문가용 기자
문가용 기자
