성실했던 직원의 두 얼굴…전 세계서 '2조원' 슬쩍 '발칵'

8 hours ago 3

입력2025.07.02 07:38 수정2025.07.02 07:38

2018년 미국 연방수사국(FBI)의 공개 수배 명단에 오른 북한 해킹 조직 라자루스 소속 박진혁. /사진=AP

미국 법무부가 북한 IT 인력의 불법 활동 적발 및 대규모 단속에 나섰다고 발표한 가운데 최근에는 암호화폐 도난 사건의 70%가 북한 해커 소행이라는 분석도 제기됐다.

2일 블록체인 정보보안 업체 TRM 랩스(Labs)에 따르면 올해 1월부터 지난달 26일까지 전 세계적으로 약 21억 달러(약 2조8400억원)에 달하는 암호화폐가 도난당했다.

지난 2월엔 두바이에 본사를 둔 암호화폐 거래소 바이비트가 14억6000만 달러(약 2조원) 규모의 가상자산을 해킹당하며 역대 최대 피해 기록을 세웠는데, 그 배후로 지목된 건 북한 라자루스 그룹이었다. 북한 해커들이 전체 암호화폐 도난 양인 21억달러의 70%에 달하는 금액을 한 번의 해킹으로 탈취한 셈이다.

블록체인 분석가 잭엑스비트(ZachXBT)는 지난 5월 16일 여러 솔라나 지갑에서 320만 달러(약 44억 원)가 유출된 사건에도 라자루스 그룹이 관여했을 것으로 추정했다.

라자루스는 2014년 소니픽처스 해킹, 2016년 방글라데시 중앙은행 해킹, 2017년 워너크라이 랜섬웨어 공격 등에 연루됐던 대표적인 북한의 해킹 조직이다. 2018년 미국 연방수사국(FBI)의 공개 수배 명단에 오르며 국내에도 북한의 해커로 알려진 박진혁도 라자루스 소속이다.

미 국무부는 지난해 7월 25일 '정의를 위한 보상(RFJ)' 프로그램을 통해 북한 해커 임종혁에 대한 정보를 제공할 경우 최대 1000만달러(약 138억원)의 포상금을 지급한다고 밝혔다./사진=RFJ 엑스

북한은 해킹 외에도 IT기업에 취업에 조직적으로 외화벌이에 나서고 있는 것으로 파악됐다. 미 법무부는 지난달 30일(현지시간) 미국 IT 기업에 채용돼 조직적으로 외화벌이에 나선 북한인 4명을 기소했다.

이들은 탈취한 허위 개인식별정보를 이용해 사실상 가상의 인물, 혹은 위장 신분으로 기술 기업에 취업했다. 취업 기업 중엔 유명 대기업도 있는 것으로 알려졌다. 취업 후엔 해당 기업이 관리하는 가상화폐 자산에 접근해 가상화폐 자산을 횡령한 후 그 수익을 세탁한 혐의를 받는다. 이들이 얻은 이익은 수십만 달러에 달한다.

북한 IT근로자들이 신분을 위장한 원격근로가 가능했던 건 미국, 중국, 대만, 아랍에미리트 등 현지인들의 도움 덕분으로 드러났다. 북한 IT 근로자들은 포춘 500대 기업을 포함한 미국 기업의 원격 IT 직원으로 일자리를 구한 후, 기업에는 미국에 있다고 속였다. 하지만 실제로는 북한이나 중국에서 근무한 것으로 파악됐다. 이들이 받는 임금은 북한과 연루된 공모자들이 관리하는 미국내 계좌로 이체된다고 검찰은 밝혔다.

북한 IT 근로자들과 함께 재판에 넘겨진 피고인들은 수익을 얻기 위해 금융 계좌를 등록하고, 가짜 웹사이트를 통해 위장 회사를 설립해 직원들이 합법적인 사업체와 연결된 것처럼 보이게 한 혐의를 받고 있다. 또한 미국 내 신원 미상 지원자들의 도움을 받아 직원들의 원격 컴퓨터 접속을 도왔고 기업들은 직원들이 미국 지역에서 로그인하는 것처럼 믿게 됐다.

개중에는 해고된 직원들이 회사 데이터를 공개하겠다고 고용주를 협박하는 경우도 있었다. 해당 데이터는 향후 사이버 작전에 활용될 가능성도 배제할 수 없다. 헐퀴스트 구글 애널리스트는 "북한 IT 인력은 신중한 채용 프로세스를 갖춘 조직에 의해 쉽게 발각되고 있다"며 "조직 또한 자사의 채용 프로세스를 면밀히 점검하는 것이 중요하다"고 조언했다.

미국 정부에 따르면, 수천 명의 북한 노동자가 지난 몇 년 동안 다른 나라 국민인 척하며 미국과 전 세계의 회사에 침투해 수익성이 좋은 기술 직종에 취업했다. 구글의 '위협 정보그룹'은 4월 북한의 IT 근로자들이 원격 프리랜서로 가장하여 유럽 기업에 침투하려는 움직임이 점점 더 활발해지고 있다고 밝혔다.

해외 뿐 아니라 국내에서도 북한 IT 직원 고용이 이뤄질 수 있다는 진단이 나왔다. 지난 3월 루크 맥나마라 구글 위협 인텔리전스 그룹 부수석 애널리스트도 국내에서 간담회를 열고 북한 IT 인력의 해외 기업 위장취업을 경고했다.

맥나마라 부수석 애널리스트는 "북한의 사이버 공격 중 금전적 이득이나 갈취를 목적으로 한 활동이 눈에 띄게 늘어나고 있다"며 "북한 IT 인력이 해외 기업에 위장취업 해 자국에 임금을 송금하고 있다"고 말했다.

더불어 "북한 IT 인력은 스파이 활동에 가담하는 등 추가적인 위험을 일으킬 수 있다"며 "화상 면접에서 카메라를 사용하는 것을 거부하거나, 업무용 노트북을 이력서와 다른 곳으로 전달해달라고 요청하는 경우 의심해 봐야 한다"고 덧붙였다.