로그프레소가 북한 IT 노동자들의 위장 취업 실태를 분석한 '북한 IT 인력 위장 취업 OSINT 분석' 보고서를 발행했다.
이번 보고서는 딥웹·다크웹에서 유통되는 인포스틸러(InfoStealer) 악성코드 감염 로그를 분석 원천으로 활용했다. 기존의 악성코드 역공학 중심 분석에서 벗어나 실제 북한 IT 인력이 사용하는 기기에서 유출된 이메일 계정, 패스워드, 접속 IP, 하드웨어 ID, 언어 설정 등을 교차 분석해 위장 취업 운영 조직의 클러스터 구조를 규명한 것이 특징이다.
로그프레소는 미국 정부와 민간 연구기관이 공개한 북한 위장 취업 연관 이메일 계정 패턴 1,879개와 2024년부터 수집한 인포스틸러 감염 레코드 104만 5645건을 교차 검증했다. 그 결과 이메일 계정 80개, IP 주소 66개, 하드웨어 ID 66개를 식별했으며 이들이 28개 국가에 걸쳐 490개 도메인에 접속한 정황을 확인했다.
보고서의 핵심 발견은 북한 IT 노동자들이 컴퓨터 한 대로 최대 5개의 가짜 신분을 만들어 서로 다른 기업에 취업을 시도했다는 점이다. 동일 기기에서 각기 다른 이름과 국적으로 위장한 복수의 이메일 계정과 활동 내역이 확인됐으며, 로그프레소는 이를 개인 차원이 아닌 조직적으로 설계된 다중 신원 체계로 분석했다.
외국인으로 위장한 계정에서 한국어 키보드와 운영체제 언어 설정이 발견된 사례도 포착됐다. 패스워드 분석에서는 복수 계정 간 동일하거나 유사한 패스워드가 반복 사용된 정황이 드러났으며 레벤슈타인 알고리즘으로 유사도를 분석한 결과 일정한 변형 규칙도 확인됐다.
이들이 위장 취업 과정에서 SMS 인증 대행 서비스, VPN, 원격 접속 도구를 결합한 이른바 '인프라 3종 세트'를 활용한 정황도 포착됐다. 깃허브, 링크드인, 프리랜서, 페이오니어 등 원격 개발자 활동에 필요한 다양한 서비스도 함께 사용한 것으로 나타났다.
로그프레소는 기업과 채용 플랫폼이 채용 단계부터 다차원 검증 체계를 강화해야 한다고 강조했다. 링크드인·깃허브 활동 이력 교차 검증, 화상 면접 기반 실존 인물 확인, 비정상적 다국가 접속 탐지, 동일 기기 기반 복수 계정 식별, 원격 근무자 대상 업무용 기기 지급 및 MDM 도입 등이 구체적인 대응 방안으로 제시됐다.
헬로티 구서경 기자 |
