배신자들이 있었다… 미 보안회사, 북 해커 고용 전말
미국인으로 신분을 도용한 북한 해커가 인공지능(AI)으로 조작해 노비드에 제출한 증명사진(오른쪽)과 원본(왼쪽). 노비드 보고서 ©국민일보
최근 북한 해커가 가짜 신분으로 미국 보안회사에 취직하는 과정에는 미 시민권자를 포함해 최소 3명의 국내 조력자가 있었던 것으로 나타났다. 미국으로서는 자국 안보를 위협하는 배신자들인 셈이다.
플로리다주 사이버보안 전문회사 노비포(KnowBe4)는 신분을 도용한 북한 해커에 속아 그를 수석 소프트웨어 엔지니어로 채용한 사실이 있다는 내용을 담은 사건 공유 보고서를 지난달 발표했다. 북한 해커는 노비포가 채용하는 직원의 근무 형태가 직접 얼굴을 마주하지 않는 원격 근무라는 점을 이용했다.
노비포 보안전문가 로저 그라임스는 “돌이켜 보면 적신호는 일찍부터 나타났다”며 이 음모에 적어도 3명의 ‘악의적인 배우’가 있었던 것으로 추정했다고 플로리다 유력 매체 탬파베이타임스가 19일(현지시간) 전했다.
철저한 역할 분담에 철벽같던 채용문 뚫려
첫 번째 ‘배우’는 북한 해커에게 자신의 신분을 내준 미국인이다. 그는 신원 확인 과정에서 진행한 대면 약물검사를 직접 마쳤다. 실존하는 인물이었기 때문에 배경 조사를 비롯한 채용 전 검사 결과는 양호했다고 노비포는 설명했다.
두 번째 조력자는 UPS 배송시설에서 노비포가 보낸 노트북 컴퓨터를 수령해간 사람이다. 그는 북한 해커가 도용한 미국인 이름이 적힌 신분증을 제시했지만 실물이 사진과 달랐다고 한다. 그라임스는 노트북을 받아간 사람이 일종의 위장 데이터센터인 ‘랩톱 농장(laptop farm)’의 일원일 가능성이 있다고 본다.
세 번째 공범은 지원자라고 속이고 화상 면접에 응한 인물이다. 노비포 인사팀은 4차례에 걸친 화상 면접에서 상대방인 지원자의 얼굴이 지원서에 제공된 사진과 일치하는지 확인했다. 노비포는 당시 인터뷰를 한 사람이 누구였는지 현재까지도 알아내지 못했다.
노비포는 채용 공고문 게시 후 지원자로부터 이력서를 받고 면접, 배경 조사, 추천인 확인 과정을 거쳤다. 이렇게 여러 단계를 밟고도 지원자가 미국인 신원을 도용한 북한 해커인지 알아채지 못했다.
지원자가 제출한 추천서에는 그가 모두 유명한 회사에서 일한 것으로 돼 있었다. 각 회사에서 그를 감독했다는 추천인들은 공교롭게도 모두 지메일 주소를 사용했다고 탬파베이타임스는 설명했다.
회사는 그를 정식으로 고용한 뒤 업무용 컴퓨터인 애플 맥 워크스테이션을 우편으로 보냈다. 지원자는 자신이 거주한다고 밝힌 주가 아닌 다른 주의 주소로 노트북을 배송받았지만 노비포는 의심하지 않았다.
“그걸 왜 다운받아?”…이상하게 엉성한 해커
북한 해커가 꼬리를 잡힌 건 정작 자신의 전문 분야인 기술적인 부분에서였다. 그는 노비포에서 받은 노트북을 켜자마자 악성 소프트웨어를 다운로드하기 시작했다. 암호를 훔치는 프로그램이었다.
이를 감지한 노비포 보안팀이 “카메라를 켜고 상황을 설명해달라”고 요청했지만 북한 해커인 그 직원은 거부했다. 노비포는 문제의 직원이 회사 노트북에 접근할 수 없도록 차단한 뒤 연방수사국(FBI)에 신고했다. 회사는 그 직원이 미국 내 랩톱 농장과 협력하는 북한 해커라는 사실을 뒤늦게 확인했다.
탬파에 본사를 둔 채용기관 헤이즈의 닐 카토드 최고정보보안책임자는 명백한 암호 도용 소프트웨어를 다운로드한 것은 초보적인 실수라고 평가했다.
그는 “그냥 장기전을 펼치며 천천히 정보를 빼내고 그들(회사)이 시키는 일을 하면서 신뢰를 얻을 수도 있었다”며 “하지만 이번 사례에선 ‘이제 진입했으니 빨리 뭔가를 하겠다’는 식의 움직임이 보인다”고 탬파베이타임스에 말했다.
그라임스도 “왜 그들이 알려진 악성 소프트웨어를 설치하는 엄청난 위험을 감수했는지 이해할 수 없다”고 했다. 노비포는 고객사 직원 중 누가 피싱(개인정보 탈취) 시도에 걸릴 가능성이 높은지 추적하는 인터페이스를 판매하는 회사다.
초기에 적발된 탓에 북한 해커는 아무것도 하지 못한 것으로 전해졌다. 노비포는 회사 시스템에서 데이터가 손실·침해·유출되지 않았다고 보고서에서 밝혔다.
이미 여러 회사가 당했다… 데이터 뺏긴 곳도
탬파베이타임스는 “노비포의 사기꾼 채용 사례는 소중한 고객 데이터를 보유한 회사들이 원격근무의 함정에 빠질 수 있다는 점을 시사한다”고 해설했다. 최근 테네시주에서는 북한 정부 관계자들이 미국과 영국 회사에서 IT 관련 직책을 얻도록 도운 혐의로 38세 남성이 기소됐다.
최근 라스베이거스에서 열린 한 전국 단위 회의에서 그라임스는 자신들과 같은 사기를 당한 5개 회사와 이야기를 나눴다고 한다. 그중 한 회사는 정확히 똑같은 방식으로 도용된 신원에 당했다. 일부 회사는 가짜 직원을 의심하기 전까지 몇 달 동안 데이터를 뺏겼다고 그라임스는 전했다.
강창욱 기자 ©국민일보
