로그프레소, 북한 IT 인력 위장 취업 실태 분석 보고서 발표

[디지털투데이 황치규 기자]통합 보안 전문기업 로그프레소는 북한 IT 노동자들이 가짜 신분으로 해외 원격 IT 직무에 취업하는 행태를 분석한 ‘북한 IT 인력 위장 취업 OSINT 분석’ 보고서를 발행했다고 11일 밝혔다.

이번 보고서는 가짜 신분으로 해외 기업에 취업한 북한 IT 노동자들 활동을 추적한 결과를 담고 있다. 딥웹·다크웹에서 유통되는 인포스틸러(InfoStealer) 악성코드 감염 로그를 분석 원천으로 활용했으며, 기존 악성코드 역공학 중심 분석에서 벗어나, 실제 북한 IT 인력이 사용하는 기기에서 유출된 이메일 계정, 패스워드, 접속 IP, 하드웨어 ID(HWID), 언어 설정 등을 교차 분석해 위장 취업 운영 조직 클러스터 구조를 밝혀낸 것이 특징이라고 회사측은 강조했다.

로그프레소는 미국 정부와 민간 연구기관이 공개한 북한 위장 취업 연관 이메일 계정 패턴 1879개와 2024년부터 현재까지 수집한 인포스틸러 감염 레코드를 비교하해 추출된 104만5645건을 교차 검증했다. 그 결과 이메일 계정 80개, IP 주소 66개, 하드웨어 ID 66개를 식별했으며, 이들이 28개 국가에 걸쳐 490개 도메인에 접속한 정황을 확인했다.

보고서에 따르면 북한 IT 노동자들은 컴퓨터 한 대로 최대 5개 가짜 신분을 만들어 서로 다른 기업에 취업을 시도한 정황을 확인됐다. 동일한 기기에서 서로 다른 이메일 계정과 활동 내역이 발견됐으며, 각 신분은 각기 다른 이름과 국적으로 위장돼 있었다. 로그프레소는 이를 근거로 해당 활동이 개인 차원의 행위가 아니, 조직적으로 설계된 다중 신원 체계에 기반한 것으로 분석했다.
패스워드 분석에서도 조직적 운영 정황이 드러났다. 서로 다른 이름과 국적을 내세운 복수 계정에서 동일하거나 유사한 패스워드가 반복적으로 사용됐다.

양봉열 로그프레소 대표는 “북한 IT 인력 위장 취업은 단순한 외화 획득 수단을 넘어 기업 내부 시스템, 소스코드 저장소, 클라우드 자산에 접근하기 위한 초기 침투 벡터로 악용될 수 있다”며 “합법적인 개발자로 위장해 내부 접근 권한을 확보할 경우, 이후 공급망 공격이나 정보 탈취 등 더 큰 보안 위협으로 확산될 가능성이 크다”고 말했다.