“美 해킹 절반, 北 소행”… 기업 정보 턴 AI 위장 취업자들

2 days ago 4

미국 테크 업계를 겨냥한 국가 주도 실시간 해킹 공격의 절반 가량이 북한 연계 해킹 그룹의 소행이라는 보고서가 나왔다.

이들은 위조된 신분으로 미국 유명 테크 기업에 원격 근무 개발자로 위장 취업한 뒤, 내부자 권한을 악용해 시스템 제어권을 쥐는 ‘핸즈온 키보드(hands-on-keyboard)’ 방식으로 핵심 소스코드를 훔치거나 회사를 협박하는 대담한 수법을 쓰고 있다.

이는 불특정 다수에게 자동화된 악성코드를 살포하는 일반적인 해킹과 달리, 해커가 권한을 획득한 목표 시스템에 직접 접근해 실시간으로 자판을 두드리며 기밀을 탈취하는 고위험·지능형 공격을 뜻한다.

10일(현지시간) 테크크런치는 글로벌 사이버 보안 기업 크라우드스트라이크가 발간한 ‘2026 기술 위협 환경 보고서’를 인용해 이 같은 내용을 전했다.

보고서에 따르면 2025년 4월 1일부터 2026년 3월 31일까지 미국 테크 부문에서 발생한 국가 주도 실시간 해킹 작전의 47%가 북한 해킹 그룹 ‘페이머스 천리마(Famous Chollima)’에 의해 수행됐다. 페이머스 천리마는 생성형 AI 기술을 동원해 신원을 위조하고, 원격 화상 면접을 통과해 위장 취업하는 방식으로 악명이 높다.

보고서는 테크 업계가 “원격 근무 구조와 고액 급여 특성으로 인해 역사적으로 북한의 침투 활동에 매력적인 표적”이었다고 밝히며 “페이머스 천리마는 특히 내부자 위협 및 악성코드 작전으로 테크 기업에 영향을 준 가장 활발한 적대 세력”이라고 정의했다.

과거 이들 해커 집단은 단순히 신분을 숨기고 급여를 받아 북한 정권으로 송금하는 외화벌이 목적에 충실했으나, 최근에는 수법이 훨씬 대담해졌다. 사내 서버나 클라우드 환경에 자유롭게 접근할 수 있는 내부자 권한을 악용해 기업의 지적 재산과 민감 정보 등을 통째로 탈취하는 주범이 된 것이다.더욱 심각한 것은 기업이 위장 취업 사실을 눈치채고 계약을 종료하거나 해고하려 할 때 발생하는 보복성 범죄다. 회사가 내부자 위협을 인지하고 해고 조치를 취하려 하자, 정체가 탄로 난 북한 해커가 탈취한 사내 기밀 정보를 다크웹에 폭로하겠다고 협박하며 기업에 거액의 몸값을 요구하는 사례가 다수 관측됐다.

북한 연계 해킹 그룹들의 공격 방식은 개별 기업 침투를 넘어 전 세계 하위 공급망까지 침해하고 있다. 보고서에 따르면 페이머스 천리마 외에도 ‘라비린스 천리마’와 ‘스타더스트 천리마’ 등 다양한 북한발 해킹 그룹들의 위협이 현실화됐다.

이들은 가짜 투자사 채용 담당자로 위장해 화상 면접을 진행하며 현지 개발자들의 신뢰를 얻은 뒤 악성 코드를 유포하는 사회공학적 전술도 구사한다. 올해 3월에는 주당 다운로드 수가 약 1억 회에 달하는 유명 오픈소스 패키지를 침해해 수백만 명의 하위 사용자에게 악성코드를 유포하는 대규모 공급망 공격을 감행하기도 했다.

나아가 블록체인 인프라와 Web3 기능을 보유한 핀테크 기업까지 집요하게 표적 삼아 암호화폐를 탈취하고 있다. 이를 통해 무기 개발 등 북한 정권의 우선순위 과제를 위한 자금을 조달하는 것으로 분석됐다.

황지혜 기자 hwangjh@donga.com