미국인 사이버 보안 전문가, 구직자로 위장해 북한 IT 노동자들과 두 달간 접촉

기사 메일전송

HOME
북한

김만석
등록 2025-02-06 10:51:38

목록으로

▲ 사진=픽사베이

미국의 사이버 보안 전문가 에이든 래이니(Aidan Raney) 씨는 지난해 9월, 북한 IT 노동자들과 접촉했다.

한 기업이 직원 채용 과정에서 북한 IT 노동자와 연계된 정황을 포착하고 래이니 씨에게 도움을 요청한 것이 계기였다.

[에이든 래이니] 제 보안회사 고객을 위해 차후 피해 방지 대책을 세워야 했고, 또 과거 화이트 해커(악의적인 해킹에 대한 대응방안을 마련하는 선의의 해커)로 활동한 경험자로서 개인적으로 북한 IT 노동자들에 대해 매우 호기심이 생겼다.

래이니 씨는 즉시 북한 노동자들이 활동하는 온라인 프리랜서 구직사이트 피버(Fiverr)에 계정을 만들고, 북한 노동자로 추정되는 ‘벤(Ben)’이라는 인물에게 먼저 접근했다.

자신이 북한 노동자들의 연락을 받은 구직자의 친구인 척하며, “나도 이 일에 관심이 있다”는 메시지를 보냈다.

[에이든 래이니] 그들은 자신을 ‘폴란드에 사는 우크라이나 난민’이라고 이라고 소개했어요. 그리고 ‘나는 소프트웨어 개발자인데, 더 많은 돈을 벌고 싶다. 미국 회사에서 일할 수 있도록 도와주면 월급의 일정 부분을 나눠주겠다’고 말하면서 저를 설득했죠.

벤은 래이니 씨를 미국 기업에 입사시키려고 했다.

채용이 확정되면 실질적인 업무는 북한 IT 노동자들이 수행하고, 래이니 씨는 미국 국적을 이용해 신원 보증과 얼굴을 제공하는 역할을 맡는 거다.

대신 수익은 북한 해커들이 70%, 래이니 씨가 30%를 가져가는 구조였다.

그렇게 래이니 씨와 북한 IT 노동자들의 거래가 시작됐다.

이후 약 두 달 동안 래이니 씨와 북한 IT 노동자들은 거의 매일 연락을 주고받으며 취업을 준비했다.

이 과정에서 래이니 씨가 대화한 북한 노동자 ‘벤’은 한 명이 아니었다.

최소한 2-3명의 2-30대 남성들이 번갈아가며 래이니 씨와의 대화를 이어갔다.

[에이든 래이니] 첫 번째 회의에서 본 사람은 내내 카메라를 켜고 얼굴을 보인 채로 대화를 나눴습니다. 두 번째 회의에서는 다른 사람이 나왔는데, 10초 정도 이후 카메라를 껐습니다. 아마 실수였던 것 같아요. 그 사람은 얼굴이 아예 다른 사람이었는데, 계속 자신을 ‘벤’이라고 부르며 동일 인물인 척 했어요.

그들과 통화 중에 다른 사람의 목소리가 들리기도 했고, 뒤에 감독관으로 보이는 사람이 지나가기도 했다.

래이니 씨는 “일종의 콜센터 같은 환경이었고, 항상 누군가가 그들을 뒤에서 감시하고 있었다”고 말했다.

북한 노동자들은 래이니 씨의 이력서를 수정하고, 새로운 링크드인(구직 전문 온라인 사이트) 프로필을 생성하며 래이니 씨의 구직을 적극적으로 도왔다.

10월 초, 래이니 씨는 북한 노동자들과 협력해 미국 연방 정부 계약업체의 소프트웨어 개발자 자리를 위한 온라인 면접을 봤다.

북한 노동자들은 래이니 씨와 실시간으로 통화하며 래이니 씨에게 답변할 내용을 알려주기도 했다.

두 번의 면접을 거친 후, 래이니 씨는 미국 정부에서 지도 제작 및 데이터 분석을 위해 지리정보시스템을 개발하는 직책으로 구두 채용 제안을 받았다.

북한 노동자들은 래이니 씨에게 “면접을 잘 봤다”고 칭찬하며 “채용 제안서가 오면 바로 서명해서 입사를 확정짓자”면서 서둘렀다.

그러나 래이니 씨는 그 즉시 자신을 채용하려던 회사에 솔직하게 상황을 설명하고, 벤의 고용 계약 관련 연락에 응답하지 말라고 요청했다.

이렇게 래이니 씨의 두 달 간의 조사가 끝났다.

그리고 계획했던 대로 모든 조사 자료를 FBI(미 연방수사국)에 넘겼다.

[에이든 래이니] 사실 좀 걱정이 됐죠. 사실상 제가 그 회사에 합격을 한 상태였으니까, FBI가 저를 공모자라고 생각해서 저에 대한 조사를 착수하거나, 그로 인해 제 경력이 망가질 수도 있으니까요. FBI와 어느 식당에서 만나서 대화했는데, 역시나 FBI는 제가 제공한 정보에 대해 이미 어느 정도 알고 대수롭지 않게 여기는 듯 했어요. 제가 공모자가 아니라는 걸 확인하고 나서는 “왜 그랬냐, 뭘 원하냐”고 물었어요.

래이니 씨의 조사에 따르면 북한 IT 노동자들의 IP주소는 처음엔 중국이었다가 나중엔 러시아로 바뀌었다.

그러나 그 두 위치 조차도 조작된 정보일 가능성이 높으며 실제 그들의 위치는 확인할 수 없다고 그는 말했다.

[에이든 래이니] 기본적으로 그들은 8-10개의 IP 주소(서브넷)를 가지고 있습니다. 추적을 어렵게 하기 위해 네트워크를 계속 이동합니다. 그들은 중국에 있을 수도 있고, 러시아에 있을 수도 있습니다. 어쩌면 그들 말대로 폴란드에 있을 가능성도 있고요. 근데 제가 폴란드 날씨는 어떠냐고 물었을 때, 대답하는데 엄청 오래 걸린 걸로 봐서 폴란드는 아닌 것 같지만요.

래이니 씨의 조사 과정에서 현재까지 드러난 정황만 보면 이들 북한 IT 노동자들은 수익 창출을 목적으로 미국 기업에 위장 취업을 시도한 것으로 보인다.

그러나 래이니 씨는 그들은 언제든지 더 큰 사이버 안보 위협을 초래할 수 있다고 경고했다.

[에이든 래이니] 지금은 수입만을 원했지만, 추가 피해자나 공모자가 있다면 기업 서버에 랜섬웨어(중요 데이터를 암호화한 다음 금품을 요구하는 악성코드)를 설치할 수도 있고, 또 해킹을 통해 그 기업의 소프트웨어에 침투해 관리자 시스템이나 매우 민감한 정보에 대한 접근 권한을 얻을 수도 있습니다.

실제로 래이니 씨가 면접에 합격한 그 직책 역시 미국의 국가 안보와 직결된 정보에 접근할 수 있도록 허가하는 보안 심사 등급(Public trust)을 통과해야 하는 자리였다.

또한 북한 노동자들은 원격 제어 프로그램을 이용해 상대의 컴퓨터를 직접 제어할 수 있는 환경을 구축하고 있었다.

래이니 씨는 조사 결과, 북한 IT 노동자들이 위장 취업을 매우 일상적인 활동처럼 수행하고 있다면서, 이들을 직접 체포하는 것이 현실적으로 불가능한 상황에서, 기업과 정부가 보안을 강화하고 피해를 최소화하는 것이 유일한 대응책이라고 강조했다.

래이니 씨에게 북한 해커들과의 2개월 간의 대화는 단순한 조사가 아니었다.

그는 처음에는 그들의 수법을 파악하는 데 집중했지만, 시간이 지나면서 그들이 그저 해커가 아니라, 북한 체제 속에서 통제받는 개인들이라는 점에 주목하게 됐다.

[에이든 래이니] 그들에게 일상적인 대화를 이끌어 내는 것은 쉽지 않았어요. 할로윈 데이에 뭐 했냐고 물었을 때, '사무실에서 파티를 했다'고만 답했죠. 만약 시간이 더 있었다면, 그들이 저에게 조금 더 마음을 열었을지도 모릅니다. 하지만 그들의 메시지가 감시받고 있다는 느낌이 강했어요. 아마 하고 싶은 이야기가 있어도 직접적으로 말하지 못했을 겁니다.

래이니 씨는 이번 조사가 북한 노동자들에게 어떤 위험을 초래할지 고민하지 않을 수 없었다고 말했다.

[에이든 래이니] 물론 저는 이 사안을 조사하고 공개함으로써 미국인들을 보호하고 혹시 모를 피해 발생을 막으려는 게 목표지만, 저와 매일 대화한 그 북한 노동자들도 사람이잖아요. 그들이 처벌받거나 고문 당하거나 심지어 목숨을 잃을 수 있다고 생각하면 마음이 무겁습니다.

래이니 씨가 마지막으로 ‘벤’에게 연락을 받은 것은 지난 1월 7일이다.

연휴를 잘 보내고 있느냐는 래이니 씨의 질문에, 북한 노동자는 이렇게 답했다.

“가족들과 보내고 있어, 가족보다 좋은 건 없지!”