보도자료 · 정보기술 · 유관기관 ·
한미일, 'WMD 자금줄' 北 IT 인력 공동 대응…美, 조력자 4곳 추가 제재
AI·신분 위조로 전 세계 기업 침투해 수억 달러 외화벌이… 3국, 도쿄서 민관 협력 강화로 제재망 촘촘히
[한국정보기술신문] 대한민국과 미국, 일본 정부가 8월 27일, 북한의 불법 대량살상무기(WMD) 및 탄도미사일 개발의 핵심 자금줄로 지목된 북한 정보기술(IT) 인력의 위협에 공동 대응하기 위한 통합 조치를 발표했다. 3국은 공동성명을 통해 북한 IT 인력들이 창출하는 불법 수익을 차단하기 위해 단합된 노력을 기울일 것을 천명했다. 이번 조치의 핵심은 △미국 재무부의 북한 IT 인력 활동 조력자에 대한 추가 제재 △일본 정부의 최신 위협 정보가 포함된 주의보 개정 △한미일 3국의 민관 협력 강화 방안이다. 특히 미국은 러시아, 중국, 라오스 등지에서 북한 IT 인력의 활동을 지원해 온 단체 및 개인 4곳을 신규 제재 명단에 올렸다고 밝혔다. 이는 인공지능(AI)과 신분 위조 등 고도화된 수법으로 전 세계 기업에 침투해 연간 수억 달러에 달하는 외화를 벌어들이고, 이를 핵과 미사일 개발에 전용하는 북한의 불법 활동 네트워크를 근본적으로 와해시키겠다는 3국의 강력한 의지를 보여준다.
'보이지 않는 위협'에 칼 빼든 한미일
2025년 8월 27일 발표된 한미일 공동성명은 북한의 IT 인력을 단순한 외화벌이 노동자가 아닌, 국제 안보를 위협하는 핵심 행위자로 규정하고 이에 대한 전방위적 압박을 공식화했다는 점에서 의미가 크다. 성명은 "단합된 노력"과 "진화하는 악의적 활동"이라는 표현을 통해 위협의 심각성과 3국 공조의 필연성을 강조했다. 최근 연이어 개최된 3국 간 고위급 안보 협의의 연장선에서 나온 이번 발표는, 비전통적 안보 위협에 대한 3각 공조 체제가 본격적으로 가동되고 있음을 시사한다.
이번 공동 대응은 각국의 역할을 명확히 분담한 입체적 방식으로 구성되었다.
첫째, 미국은 제재의 칼날을 더욱 날카롭게 다듬었다. 미 재무부 해외자산통제실(OFAC)은 러시아, 중국, 라오스 등에서 북한 IT 인력의 활동을 직접적으로 지원한 단체 및 개인 4곳을 제재 대상으로 지정했다. 이는 북한의 불법 활동을 가능하게 하는 해외 조력자 네트워크를 정밀 타격하는 전략이다. 과거 제재 사례를 보면, 미국은 북한의 위장 회사뿐만 아니라, 이들의 인력 채용, 신분 위조, 자금 세탁을 도운 외국인과 현지 법인까지 제재망에 포함시켜 왔다. 이러한 조치는 북한 IT 인력들이 활동하는 제3국 내 기반을 무너뜨리는 효과를 목표로 한다.
둘째, 일본은 민간 기업의 '방패'를 강화하는 데 초점을 맞췄다. 일본 정부는 기존에 배포했던 주의보를 개정하여, 북한 IT 인력들이 사용하는 최신 위장 수법과 이를 식별할 수 있는 구체적인 징후들을 상세히 알렸다. 개정된 주의보에는 △화상 회의 기피 △보수 수령 계좌의 잦은 변경 △부자연스러운 일본어 구사 등 기업들이 채용 과정에서 즉시 활용할 수 있는 실질적인 '위험 신호(Red Flag)'들이 포함되었다. 이는 민간 부문이 자신도 모르는 사이에 북한의 불법 활동에 연루되는 것을 방지하기 위한 선제적 조치다.
셋째, 대한민국은 지속적인 정보 공유와 주의 환기를 통해 국내 기업의 피해를 막는 역할을 수행해왔다. 외교부, 국가정보원, 경찰청 등 관계 부처는 이전부터 미국과 합동으로 여러 차례 주의보를 발표하며 북한 IT 인력의 활동 실태와 위험성을 알려왔다.
특히 이번 3국 공조에서 주목할 점은 민간 부문과의 융합을 통한 새로운 방어 체계 구축이다. 공동성명은 3국이 최근 도쿄에서 세계적인 사이버 보안 기업 '맨디언트(Mandiant)'와 협력해 민관 파트너십 강화 행사를 개최했다고 명시했다. 이 행사에는 3국 정부 관계자뿐만 아니라 프리랜서 플랫폼, 결제 서비스 제공업체, 가상자산 기업 등 130여 명의 산업계 핵심 관계자들이 참여했다. 이는 정부 주도의 사후 제재만으로는 진화하는 사이버 위협을 막기 어렵다는 현실 인식을 바탕으로 한다. 이제는 북한의 주된 활동 무대인 민간 플랫폼과 금융 시스템 자체의 방어 능력을 끌어올리는, 보다 능동적이고 네트워크 중심적인 방어 전략으로 패러다임이 전환되고 있음을 보여준다. 정부가 정보를 제공하고 기업이 현장에서 위협을 차단하는 유기적인 협력 모델을 통해 제재의 실효성을 극대화하려는 전략적 변화다.
'사이버 전사'들의 외화벌이 실태
북한이 해외에 파견한 노동자는 약 10만 명에 달하며, 이 중 상당수가 고도로 숙련된 IT 전문 인력이다. 이들은 유엔 안전보장이사회 보고서에 따르면 연간 최대 6억 달러(약 8,000억 원)에 달하는 막대한 외화를 벌어들이는 것으로 추정된다. 이는 북한 전체 외화 수입의 절반에 육박하는 규모이며, 이렇게 벌어들인 자금의 약 40%가 핵무기 및 탄도미사일 등 WMD 개발 프로그램에 직접 투입되는 것으로 분석된다. 이는 북한 IT 인력 고용 문제가 단순한 노동이나 경제 문제를 넘어, 국제 평화와 안보를 직접적으로 위협하는 심각한 사안임을 명백히 보여준다.
이들 '사이버 전사'는 국가적 차원에서 체계적으로 양성되고 관리된다. 북한은 초등학교 단계부터 수학과 과학에 재능을 보이는 영재를 선발하여 평양의 금성제1·2고등중학교와 같은 엘리트 교육 기관에 입학시킨다. 이후 미림대학(지휘자동화대학), 김책공업종합대학 등 최고 수준의 기술 대학에서 집중적인 해킹 및 프로그래밍 교육을 받는다. 졸업 후에는 중국이나 러시아 등지에서 실전 기술을 연마한 뒤, 정찰총국과 같은 핵심 기관 소속으로 해외에 파견된다.
하지만 이들의 해외 생활은 열악하고 통제된 환경 속에서 이루어진다. 여러 명이 단체로 합숙하며 '수석 대표'로 불리는 관리자의 엄격한 감시를 받는다. 장시간 노동에 시달리면서도 벌어들인 수입의 최대 90%를 당에 상납해야 하는 사실상의 '국가 주도 강제 노동'에 동원되는 것이다.
이러한 운영 방식은 북한 정권이 단순한 사이버 범죄 후원자를 넘어, 국가 자체가 하나의 거대한 '초국가적 범죄 조직(Transnational Criminal Organization, TCO)'처럼 기능하고 있음을 보여준다. 인력 선발부터 교육, 해외 파견, 임무 부여, 수익금 환수에 이르는 전 과정을 국가가 직접 통제하고 조직하는 이 모델은 일반적인 사이버 범죄 그룹과는 차원이 다른 조직력과 지속성을 갖는다. 따라서 개별 해커나 소규모 그룹을 단속하는 기존의 법 집행 방식으로는 이 거대한 국가 범죄 시스템에 효과적으로 대응하기 어렵다. 위협의 본질이 국가 단위의 조직적 범죄라는 점을 인식하는 것이 효과적인 대응 전략 수립의 출발점이다.
첨단 기술 악용한 '위장 취업'의 해부
북한 IT 인력들은 전 세계 원격 근무 시장의 확대를 교묘하게 파고들며, 첨단 기술을 동원한 고도로 정교화된 위장 전술을 구사한다. 맨디언트, 미 연방수사국(FBI), 법무부(DOJ) 등의 분석에 따르면, 이들의 수법은 크게 △신원 세탁 △기술적 기만 △물리적 지원 네트워크의 세 가지 축으로 이루어진다.
먼저, '신원 세탁' 단계에서는 도용한 미국인의 이름, 사회보장번호, 주소 등을 이용해 완벽한 가짜 신분을 만들어낸다. 이들은 이렇게 만든 가짜 신분으로 링크드인, 깃허브 등 구직 플랫폼에 허위 프로필과 포트폴리오를 등록하고, 심지어 유령 회사를 설립해 합법적인 미국 기업 소속인 것처럼 위장하기도 한다.
'기술적 기만'은 이들의 핵심 역량이다. 화상 면접 시에는 AI를 이용해 생성한 가짜 프로필 사진을 사용하거나, 더 나아가 다른 사람의 얼굴을 실시간으로 합성하는 '딥페이크' 기술까지 동원하여 면접관을 속인다. 또한, 중국이나 러시아 등 실제 활동 거점을 숨기기 위해 가상사설망(VPN) 서비스와 원격 관리 소프트웨어를 필수적으로 사용한다.
마지막으로, 이러한 가상 공간에서의 활동을 뒷받침하는 것이 바로 '물리적 지원 네트워크'다. 이 네트워크의 핵심은 미국 내에 위치한 '랩톱 팜(Laptop Farm)'이다. 미국인 조력자들은 자신의 거주지를 랩톱 팜으로 제공하고, 미국 기업들이 보낸 업무용 노트북을 대신 수령한다. 이후 이 노트북들을 인터넷에 연결해두면, 북한에 있는 IT 인력들이 원격으로 접속하여 마치 미국 내에서 근무하는 것처럼 위장할 수 있게 된다.
이러한 치밀한 사기 행각의 피해는 상상을 초월한다. 미 법무부 기소장에 따르면, 북한 IT 인력들은 국방, 항공우주, 미디어, 금융 등 핵심 산업에 속한 300개 이상의 미국 기업(다수의 포춘 500대 기업 포함)에 침투하는 데 성공했다. 애리조나주에 거주하며 랩톱 팜을 운영하는 등 조력자 역할을 한 크리스티나 채프먼은 이 수법으로 1,700만 달러 이상의 불법 수익 창출을 도운 혐의로 유죄 판결을 받았다.
코로나19 팬데믹 이후 확산된 원격 근무 환경은 북한에게 완벽한 공격 표면을 제공했다. 북한은 원격 채용 과정에 내재된 신뢰를 무기화하여, 외부에서 네트워크를 공격하는 전통적인 방식에서 벗어나 국가 요원을 기업 내부에 합법적인 직원으로 침투시키는 새로운 위협 모델을 만들어냈다. 이는 단순한 해킹을 넘어 '서비스형 내부자 위협(Insider Threat as a Service)'이라 할 수 있다. 이들의 1차 목표는 급여를 통한 외화벌이지만, 일단 기업 내부에 합법적인 접근 권한을 확보하면 그 전략적 가치는 기하급수적으로 커진다. 내부자로서 기업의 지적 재산, 고객 정보, 심지어 수출 통제 대상인 군사 기술까지 탈취할 수 있는 발판을 마련하게 되며, 이는 곧바로 대규모 가상자산 탈취와 같은 파괴적인 사이버 공격으로 이어질 수 있다.
가상자산 해킹과 자금 세탁: '검은 돈'의 흐름
북한 IT 인력의 위장 취업은 단순히 급여를 편취하는 것을 넘어, 국가 차원의 대규모 가상자산 해킹을 위한 교두보 역할을 한다. 기업 내부에 침투한 이들은 시스템의 취약점을 파악하거나, 동료 직원을 상대로 한 사회공학적 공격을 통해 가상자산 거래소의 개인 키(private key)를 탈취하는 등 결정적인 정보를 빼돌린다.
이러한 사전 작업을 통해 북한의 정예 해킹 그룹 '라자루스(Lazarus Group)'는 전 세계 가상자산 시장을 뒤흔드는 대규모 탈취 공격을 감행한다. 블록체인 분석 기업 체이널리시스와 TRM랩스의 보고서에 따르면, 북한은 최근 몇 년간 전 세계 가상자산 도난 사건의 60~70%를 차지하는 압도적인 점유율을 보이고 있다. 대표적인 사례는 2025년 2월 발생한 세계 2위 규모의 가상자산 거래소 '바이비트(Bybit)' 해킹 사건으로, 단 한 번의 공격으로 약 15억 달러(약 2조 원)에 달하는 막대한 자금을 탈취하며 역사상 최대 규모의 가상자산 탈취 사건으로 기록되었다.
바이비트 해킹 당시, 불과 48시간 만에 1억 6,000만 달러 이상이 세탁된 속도는 이것이 즉흥적인 범죄가 아니라, 사전에 계획된 거대한 자금 세탁 파이프라인이 가동되고 있음을 증명한다. 이는 북한이 중국 등지의 범죄 네트워크 및 암묵적 조력자들과 깊은 공생 관계를 맺고 있음을 시사한다. 이들은 제재를 피해 중앙화된 믹서에서 탈중앙화 금융(DeFi) 프로토콜로 수법을 계속해서 진화시키고 있다. 이에 맞서 한미일 법 집행 기관과 블록체인 분석 기업들은 거래소와의 공조를 통해 실시간으로 자금을 추적하고 동결하는 등, 보이지 않는 사이버 공간에서 치열한 금융 첩보전을 벌이고 있다.
국제 사회의 대응과 한계: 중국과 러시아라는 변수
북한의 불법 사이버 활동에 대응하기 위해 국제 사회는 유엔 안보리 결의안과 미국의 국제긴급경제권한법(IEEPA) 등을 근간으로 하는 촘촘한 제재망을 구축해왔다. 하지만 이러한 노력은 중국과 러시아라는 지정학적 변수로 인해 그 효과가 심각하게 저해되고 있다.
미국 전략국제문제연구소(CSIS) 등 주요 싱크탱크의 분석에 따르면, 중국과 러시아는 북한의 사이버 범죄 활동에 있어 핵심적인 '조력자' 역할을 하고 있다.
△ 중국은 선양과 같은 국경 도시를 북한 해커들의 물리적 활동 거점으로 제공하고, 안정적인 인터넷 인프라와 유령 회사 설립이 용이한 환경을 통해 사실상의 '안전 가옥' 역할을 한다.
△ 러시아는 대체 인터넷망을 공급하고 북한 IT 인력팀의 체류를 허용하는 한편, 유엔 안보리 상임이사국 지위를 이용해 결정적인 '외교적 방패막'이 되어준다. 특히 최근에는 대북 제재 위반을 감시해 온 안보리 전문가 패널의 임기 연장을 거부권을 행사해 무산시키며 국제 사회의 감시망을 의도적으로 허물었다.
이러한 지정학적 구도는 업워크(Upwork), 파이버(Fiverr)와 같은 글로벌 프리랜서 플랫폼들에게도 심각한 도전 과제를 안겨준다. 이들 플랫폼은 신원 확인 절차 강화, 의심 활동 보고 시스템 운영 등 자체적인 보안 조치를 도입하고 있지만, 국가적 자원을 총동원해 이를 우회하려는 북한과 같은 행위자를 완벽하게 막아내기에는 역부족이다.
결과적으로 국제 제재는 역설적인 상황을 낳았다. 북한의 WMD 개발을 막기 위해 가해진 강력한 경제적 압박이 오히려 북한으로 하여금 생존을 위해 국가 주도의 사이버 범죄 조직을 육성하게 만든 핵심 동력이 된 것이다. 제재가 범죄적 혁신의 어머니가 된 셈이다. 더 나아가 중국과 러시아의 비호는 이 문제를 단순한 제재 회피를 넘어 강대국 간의 대리전 양상으로 변모시키고 있다. 북한의 사이버 활동은 이제 미중, 미러 갈등의 연장선상에서 이루어지는 지정학적 행위가 되었으며, 이는 북한만을 겨냥한 외교적, 법적 해법이 왜 근본적인 한계에 부딪힐 수밖에 없는지를 명확히 보여준다.
기업 생존 가이드: 위협 탐지 및 방어 전략
진화하는 북한의 위협에 맞서기 위해, 이제 개별 기업 차원의 철저한 방어 전략은 선택이 아닌 생존의 필수 조건이 되었다. FBI, CISA, 맨디언트, 마이크로소프트 등 주요 기관들이 권고하는 방어 조치는 인사(HR), IT 보안, 법무/컴플라이언스 부서 간의 유기적인 협력을 요구한다.
국가가 배후인 위협에 대응하기 위해서는 원격 인력 채용에 대한 기존의 신뢰 기반 모델을 폐기하고, '아무도 신뢰하지 않고 모든 것을 검증한다'는 '제로 트러스트(Zero-Trust)' 원칙에 기반한 새로운 채용 모델을 도입해야 한다. 이는 HR 부서가 제출된 서류를 믿는 대신 기술적 검증 도구를 활용하고, IT 부서는 모든 원격 근무자를 잠재적 위협으로 간주하여 입사 첫날부터 지속적인 행위 기반 모니터링을 실시하는 것을 의미한다. 부서 간의 벽을 허물고, 보안을 최우선으로 하는 통합된 온보딩 프로세스를 구축하는 것이야말로 진화하는 사이버 위협으로부터 기업을 보호하는 유일한 길이다.
한국정보기술신문 정보기술분과 강민규 기자 news@kitpa.org