[박찬 기자]

(사진=셔터스톡)

<이미지를 클릭하시면 크게 보실 수 있습니다>

북한이 AI와 딥페이크 기술을 활용해 원격 근무자로 위장해 글로벌 기업에 취업하는 '가짜 노동자' 작전을 확대하는 것으로 나타났다. 외화를 벌어들이기 위한 조직적인 국가 차원의 활동으로 파악됐다.

미국 법무부는 15일(현지시간) 보고서를 통해 북한 IT 요원들이 2020년부터 2024년까지 300개 이상의 미국 기업에 침투해 최소 680만달러(약 100억원) 이상의 수익을 올린 것으로 추정된다고 발표했다.

이들은 대부분 고연봉 원격 기술직을 노린다. 보안 전문가들은 이를 "북한 IT 인력으로 구성된 미니 군대(mini army)"에 비유했다.

보안업체 소포스의 라페 필링 위협 인텔리전스 책임자는 파이낸셜 타임스와의 인터뷰에서 "이들은 보통 7~10년 경력의 개발자처럼 자신을 포장한 뒤 취업하고 급여를 받는 방식을 반복한다"라고 설명했다.

수법은 점차 정교해지고 있다. 일반적인 과정은 먼저 도용한 신원을 확보하는 것에서 시작된다. 이들은 휴면 상태의 링크드인 계정을 탈취하거나 계정 소유자에게 돈을 주고 접근 권한을 얻는다.

이후 위조된 신분증과 경력 자료를 바탕으로 가짜 이력서를 만들고, 공범들이 링크드인에서 추천서를 작성해 신뢰도를 높인다.

마지막 단계에서는 AI 기술을 활용해 면접에 대응한다. 딥페이크 영상 필터나 아바타를 이용해 화상 면접에 참가하고, AI로 생성된 음성이나 영상 마스크를 사용해 실제 인물처럼 보이도록 위장한다.

보안 기업 핑 아이덴티티의 알렉스 로리 CTO는 대형언어모델(LLM)이 이러한 사기를 크게 강화했다고 말했다. 그는 "LLM을 이용하면 문화적으로 자연스러운 이름과 이메일 형식, 문장 스타일을 생성할 수 있어, 과거에는 쉽게 발견되던 언어적 이상 신호가 거의 사라진다"라고 설명했다.

이 같은 활동은 이제 유럽으로 확산하는 조짐을 보이고 있다.

구글 위협 인텔리전스 그룹의 제이미 콜리어 유럽 담당 고문은 영국에서 '노트북 팜(laptop farm)'이 운영되는 사례가 확인됐다고 밝혔다.

노트북 팜은 기업이 새로 채용한 직원에게 보내는 회사 노트북을 중간에서 가로채거나 전달받는 방식으로 시작된다. 이후 실제 장비는 특정 장소에 모아 두고, 북한 요원이 원격으로 접속해 업무를 수행한다. 이 과정에서 LLM과 챗봇을 활용해 업무를 처리하며, 동시에 여러 회사의 일을 맡아 수행하기도 한다.

콜리어 고문은 기업이 채용 과정을 보안 문제로 인식하지 않는 점이 취약점이라고 지적했다. "한 고객사에 직원이 사실 북한 요원이라고 알렸지만, '우리 직원 중 최고 성과자 중 한 명인데 확실한가'는 반응이 돌아왔다"라고 전했다.

기업들이 AI를 이용한 면접 부정행위를 막기 위해 채용 절차를 강화하자, 북한 요원들은 돈을 주고 면접에 다른 사람을 참여시키는 방식까지 사용하는 것으로 알려졌다.

이 문제는 이미 주요 기업에서도 확인됐다. 스티븐 슈미트 아마존 보안 책임자는 회사가 2024년 4월 이후 1800여건의 북한 관련 취업 시도를 차단했다고 밝혔다.

특히 AI와 머신러닝 분야 직무가 주요 목표가 되고 있으며, "이 현상은 특정 기업만의 문제가 아니라 업계 전반에서 대규모로 벌어지고 있을 가능성이 높다"라고 경고했다.

사이버 보안 기업 노비4는 이러한 사기에 실제로 피해를 입은 사례를 공개한 바 있다. 당시 가짜 직원은 노비4의 내부 보안 시스템 접근을 시도했고, 악성코드를 설치하려다 적발됐다.

전문가들은 앞으로 기업이 직원의 신원을 제대로 확인하고 인증하는 능력이 국가 안보와도 직결될 수 있다고 경고한다.

AI와 딥페이크 기술이 빠르게 발전하면서 가짜 신원을 만들어내거나 원격 근무자로 위장하는 것이 가능해졌고, 심지어 자동화된 시스템을 활용해 실제 업무까지 수행할 수 있게 됐기 때문이다.

박찬 기자 cpark@aitimes.com

<저작권자 Copyright ⓒ AI타임스 무단전재 및 재배포 금지>