"북한 IT 위장취업자, PC 1대로 가짜 신분 5개 관리" 작성일 03-11 15 목록 <div id="layerTranslateNotice" style="display:none;"></div> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="5vSFoMDgyS"> <figure class="figure_frm origin_fig" contents-hash="eb1b620078b83f0a6fd5dc164d18b87e7af3aabf7b3cc97a6836da3753a6eb3f" dmcf-pid="1DETPKnQll" dmcf-ptype="figure"> <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202603/11/552796-pzfp7fF/20260311093717934vejg.jpg" data-org-width="640" dmcf-mid="ZGKeYC3Ghv" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202603/11/552796-pzfp7fF/20260311093717934vejg.jpg" width="658"></p> </figure> <p contents-hash="d8c3d58de7e2cf6a9897df1518dbeda1782fbc75466c7b14504c8f76a27d39d3" dmcf-pid="twDyQ9LxWh" dmcf-ptype="general">[디지털데일리 김보민기자] 해외 정보기술(IT) 기업에 위장 취업한 북한 노동자들이 컴퓨터 한 대로 최대 5개 가짜 신분을 관리하고 있다는 조사 결과가 나왔다.</p> <p contents-hash="68392b65113da13f3d16c30b4183f52b57879fd6b5dc7baf6565638a93ba2e87" dmcf-pid="FrwWx2oMyC" dmcf-ptype="general">통합 보안 전문기업 로그프레소는 '북한 IT 인력 위장 취업 OSINT 분석' 보고서를 발행했다고 11일 밝혔다. 이번 보고서는 가짜 신분으로 해외 기업에 취업한 북한 IT 노동자 활동을 추적한 결과를 담고 있다.</p> <p contents-hash="3013e2ca3a941b989d55226bb75cf0a8d247bbab1d7fc09fdb31f95a40766d90" dmcf-pid="3mrYMVgRSI" dmcf-ptype="general">딥웹·다크웹에서 유통되는 인포스틸러(InfoStealer) 악성코드 감염 로그를 활용한 것이 특징이다. 기존 악성코드 역공학 중심 분석에서 벗어나 실제 북한 IT 인력이 사용하는 기기에서 유출된 이메일 계정, 패스워드, 접속 IP, 하드웨어 ID(HWID), 언어 설정 등을 교차 분석해 위장 취업 운영 조직 클러스터 구조도 밝혀냈다.</p> <p contents-hash="b3515f7443d8607c82029906299f3e11023c7c9ca45fe97abcb1aa09786e5076" dmcf-pid="0smGRfaevO" dmcf-ptype="general">로그프레소는 미국 정부와 민간 연구기관이 공개한 북한 위장 취업 연관 이메일 계정 패턴 1879개와 2024년부터 현재까지 수집한 인포스틸러 감염 레코드를 비교해 추출된 104만5645건을 교차 검증했다.</p> <p contents-hash="54998b5f62033531716181c4b8d09228d3cc8ecb9f9397b8dbbf2cde661b5571" dmcf-pid="pOsHe4NdSs" dmcf-ptype="general">그 결과 이메일 계정 80개, IP 주소 66개, 하드웨어 ID 66개를 식별했고 이들이 28개 국가에 걸쳐 490개 도메인에 접속한 정황을 확인했다.</p> <p contents-hash="97e309e5da07c13a42245d9c781806986809c31efa81f2ed74b033ac44ddd426" dmcf-pid="UIOXd8jJTm" dmcf-ptype="general">북한 IT 노동자들은 컴퓨터 한 대로 최대 5개 가짜 신분을 만들어 서로 다른 기업에 취업을 시도한 것으로 나타났다. 동일한 기기에서 서로 다른 이메일 계정과 활동 내역이 발견됐고 각 신분은 각기 다른 이름과 국적으로 위장돼 있었다.</p> <p contents-hash="9c7fdfc9772bf760b91d95ede5b2ff19bc87e98ba65c4e75a8432fc96154f5b6" dmcf-pid="uCIZJ6AiWr" dmcf-ptype="general">로그프레소는 이를 근거로 해당 활동이 개인 차원의 행위가 아니, 조직적으로 설계된 다중 신원 체계에 기반한 것으로 분석했다.</p> <p contents-hash="75d6894c82b4dc52ce2fb123ad2fd3176127a98e1ebe8e7326731f3579ce27d4" dmcf-pid="7hC5iPcnWw" dmcf-ptype="general">외국인 신분을 사칭한 계정에서 한국어 키보드와 운영체제(OS) 언어 설정이 확인된 사례도 포착했다. 일본이나 서구권 개발자인 것처럼 위장했지만 실제 기기 환경에서는 한국어 사용 흔적이 드러난 것이다. 로그프레소는 이 같은 언어·환경 설정 불일치가 위장 신분 배후를 식별할 수 있는 단서가 될 수 있다고 설명했다.</p> <p contents-hash="903b1bd580a06f5c50e42391071e98a94801c311b284a83d492a1b4da038cfa4" dmcf-pid="z3F2sAyOWD" dmcf-ptype="general">패스워드 분석에서도 조직적 운영 정황이 드러났다. 서로 다른 이름과 국적을 내세운 복수 계정에서 동일하거나 유사한 패스워드가 반복적으로 사용됐다. 레벤슈타인(Levenshtein) 알고리즘으로 패스워드 유사도를 분석한 결과 단순 재사용을 넘어 일정한 변형 규칙도 확인했다고 밝혔다. 이는 동일 운영 그룹을 특정하는 핵심 지표라는 설명이다.</p> <p contents-hash="2bbd67cb635dd5d30e8bac72163e78014797bf09d25c270b9cc239d1bbc883ac" dmcf-pid="q03VOcWIWE" dmcf-ptype="general">로그프레소는 이들이 위장 취업 과정에서 SMS 인증 대행 서비스, 가상사설망(VPN), 원격 접속 도구를 결합한 이른바 ‘인프라 3종 세트’를 활용한 정황도 포착했다. 동시에 깃허브, 링크드인, 프리랜서, 엔젤리스트, 페이오니어, 스트라이프 등 실제 원격 개발자 활동에 필요한 서비스도 사용한 것으로 나타났다.</p> <p contents-hash="45f902c78789ed28368dd96983e60a84a21f8710ca3c9e34c865bbb91d4207f8" dmcf-pid="Bp0fIkYCCk" dmcf-ptype="general">양봉열 로그프레소 대표는 "북한 IT 인력 위장 취업은 외화 획득 수단을 넘어 기업 내부 시스템, 소스코드 저장소, 클라우드 자산에 접근하기 위한 초기 침투 벡터로 악용될 수 있다"며 "합법적인 개발자로 위장해 내부 접근 권한을 확보할 경우 공급망 공격이나 정보 탈취 등 더 큰 보안 위협으로 확산될 가능성이 있다"고 말했다.</p> <p contents-hash="ece4ef609722ce74d80b09737606085012b526479e20eae46ee29522d9fc0976" dmcf-pid="bUp4CEGhhc" dmcf-ptype="general">로그프레소는 기업과 채용 플랫폼이 채용 단계부터 다차원 검증 체계를 강화해야 한다고 강조했다. 구체적으로는 링크드인·깃허브 활동 이력 교차 검증, 화상 면접 기반 실존 인물 확인, 비정상적 다국가 접속 탐지, 동일 기기 기반 복수 계정 식별, 가상번호 인증 계정 별도 검토, 원격 근무자 대상 업무용 기기 지급 및 MDM 도입 등이 필요하다고 제안했다.</p> </section> </div> <p class="" data-translation="true">Copyright © 디지털데일리. All rights reserved. 무단 전재 및 재배포 금지.</p> 관련자료 이전 '왕과 사는 남자' 흥행 돌풍에 피싱 사기 기승…제작사 "이벤트 진행 없어" 03-11 다음 [현장] 과기정통부 "한국, 반도체·ICT·제조 강점"…AI 풀스택으로 G3 도약 03-11 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
