[K-CTI 2025] 클로인트 루이 구 이사 “신분 세탁해 기업 침투…북한 IT 외화벌이 인력의 조직적 위협 심각”

신분 위장으로 전 세계 50개국 침투…외화 수입은 WMD 자금으로 활용

“북한 IT 인력은 보이지 않는 사이버 병력…기술과 인텔리전스로 막아야”

국내 최대 사이버 위협 인텔리전스 컨퍼런스 ‘K-CTI 2025’가 지난 4월 15일 서울 한국과학기술회관에서 성황리에 개최됐다. 데일리시큐가 주최한 이번 행사에는 700여 명 이상의 보안 실무자들이 참석해 최신 위협 인텔리전스 트렌드와 대응 전략을 공유했다.

이 자리에서 클로인트 루이 구 이사는 ‘북한 IT 외화벌이 인력들의 위협 및 대응방안’을 주제로 발표를 진행해 현장 참가자들의 큰 주목을 받았다.

◆신분 위장으로 전 세계 50개국 침투…외화 수입은 WMD 자금으로 활용

루이 구 이사는 먼저 북한 IT 외화벌이 인력들이 미국, 유럽, 아시아 등 50개국 이상에서 신분을 위장한 채 활동하고 있으며, 이들이 벌어들인 외화가 북한 정권 유지와 대량살상무기(WMD) 개발에 이용되고 있다고 밝혔다. 실제로 2023년 기준 북한의 IT 외화벌이 수익은 약 7천만 달러(한화 약 1천억 원)에 달하며, 대부분이 북한에 송금되고 있는 것으로 분석됐다.

미국 국무부는 이와 같은 북한 사이버 활동에 대해 경고하며 관련 인물들에게 최대 1,000만 달러의 현상금을 내건 바 있다. 북한은 단순한 원격 근무를 넘어, 위조 여권과 브로커를 동원해 프리랜서 플랫폼에 등록하고, 결제 시스템을 확보한 뒤 IT 기업에 위장 취업하는 방식으로 조직적으로 침투하고 있다.

◆KnowBe4 침투 사례…가짜 개발자, 노트북 통해 악성코드 배포

클로인트가 소개한 사례 중에는 미국 사이버 보안기업 KnowBe4에 북한 인력이 위장 취업한 사례가 포함됐다. 이 인력은 입사 후 노트북을 수령받았고, 이 노트북에서 악성코드를 실행해 내부망에 접근한 것으로 확인됐다. 이후 보안팀이 이상 행위를 탐지해 연락을 시도했으나, 해당 인력은 돌연 연락을 끊고 사라졌다.

이들은 주로 위조된 이력서와 포트폴리오를 활용해 신원을 위장했으며, 실제로 클로인트는 넷파이(Netlify) 호스팅 웹사이트와 구글 문서 등에서 서로 상이한 정보를 사용하는 정황을 포착했다. 또한 스톡 이미지나 AI로 생성된 인물 사진을 프로필로 사용하고 있었으며, 그중 일부는 일본 성우 사진을 변형해 사용한 사례도 있었다.

◆웹·블록체인·AI 직무 중심…깃허브 커뮤니티 내 조직적 네트워크 구축

클로인트는 깃허브(이하 GitHub) 내 북한 IT 인력들의 활동도 집중 분석했다. 이들은 웹 개발(43%), 블록체인(20%), AI 직무(9%) 비중으로 침투하며, GitHub를 포트폴리오 구축 및 정보 습득, 커뮤니티 침투에 적극 활용하고 있다. 이들은 조직적으로 GitHub 내 여러 계정을 만들어 서로 ‘스타(Stargazer)’를 눌러 인기도를 조작하고, 폐쇄적이면서도 구조적인 네트워크를 구축하고 있는 것으로 나타났다.

GitHub API를 이용한 자동 팔로잉·언팔로잉도 확인됐다. 팔로우 수가 수천 명에 이르는 계정들이 존재하며, 이는 기업 커뮤니티 내 신뢰를 얻기 위한 수단으로 악용되고 있다. 이들은 또한 클라우드 저장소처럼 GitHub를 활용해 고객사의 소스코드나 데이터를 무단 업로드하는 정황도 드러났다.

◆브로커 통한 계정 매입…가상자산 세탁도 활발

북한 인력들은 브로커와 협력해 Upwork 계정 등을 매입하고, Telegram·Slack 같은 메신저로 프로젝트를 수주하며, Workana 등 웹3 기반 플랫폼에서 활동하는 경향을 보였다. 클로인트는 'Dxxxx'라는 북한 IT 인력의 사례를 공개하며, 해당 인력이 80개 이상의 계정을 운영하며 다양한 프로젝트에 위장 참여한 사실을 밝혔다.

해당 인력은 미국 메릴랜드주 운전면허증, 영주권 등을 위조해 신분을 속였고, Coinbase, OKX, Stake.com 등 주요 거래소와 카지노 플랫폼을 통해 가상자산을 세탁하고 있었다. 클로인트의 분석에 따르면, 이 같은 대형 거래소들이 북한 인력의 활동에 대해 적절한 제재를 하지 않고 있는 실정이다.

◆철저한 신원 확인·AI 이미지 분석·이력서 진위 검증 필요

루이 구 이사는 이러한 북한 인력의 침투를 차단하기 위해서는 ‘지원자의 신분증·생체정보의 일치 여부 확인’, ‘AI 변조 이미지 검증’, ‘이력서의 학력·경력·프로젝트 진위 검증’ 등 3단계 검증 절차가 필수적이라고 강조했다. 그는 국내 여권 진위 확인 시스템, Google Lens, 이미지 포렌식 도구, 오픈소스 기반 AI 변조 탐지 시스템의 활용을 제안했다.

이력서와 GitHub·LinkedIn 등의 온라인 프로필 간 정보 일관성도 반드시 비교 검토해야 하며, 필요 시 교육기관 및 기업에 직접 연락해 확인하는 노력이 필요하다고 말했다.

◆“북한 IT 인력은 보이지 않는 사이버 병력…기술과 인텔리전스로 막아야”

루이 구 이사는 “북한 IT 외화벌이 인력은 단순한 원격 근무자가 아니라, 위장된 사이버 병력이다. 이들은 기술과 플랫폼, 브로커와의 협력까지 활용해 기업 내부로 침투한다. 우리는 인텔리전스와 기술적 검증 체계를 기반으로 이들의 활동을 조기에 식별하고 차단해야 한다. 클로인트는 이를 위한 데이터와 분석 기술을 지속적으로 발전시키고 있으며, 관련 보안 커뮤니티와의 협력을 확대해 나갈 것”이라고 강조했다.

클로인트(Kloint)는 디지털 자산 인텔리전스 전문 기업으로, 가상자산 관련 사이버 범죄로부터 사회와 대중을 보호하기 위한 기술을 개발하고 있다. 자체 기술과 노하우로 구축한 디지털자산 인텔리전스 플랫폼을 통해 디지털자산이 사이버 범죄의 자금 유통 수단으로 사용되는 것을 차단하고, 블록체인의 신뢰와 안정성을 증진시키는 데 기여하고 있다. 클로인트는 기관과 기업, 개인 고객을 대상으로 디지털자산 인텔리전스 서비스를 제공하며, 글로벌 시장에서 가장 신뢰받을 수 있는 디지털자산 데이터 플랫폼을 구축하고자 노력하고 있다.

K-CTI 2025 클로인트 강연자료는 비공개 요청으로 공개가 불가하다. 추가 문의사항은 클로인트 측으로 문의하면 된다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★