크라켄(Kraken·미국 암호화폐 거래소)채용팀은 지난해 10월 소프트웨어 엔지니어링 직군에 지원한 스티븐 스미스(Steven Smith)에게서 이상한 점을 발견했다. 스미스의 이메일을 해커 조직원으로 의심되는 사람들명단과 비교한 후의심은사실로 변했다. 스미스는 북한 해커 요원이었다.

크라켄은 지원서를 그냥 폐기할 수도 있었다. 하지만 닉 퍼코코(Nick Percoco) 크라켄최고 보안 책임자(CSO)는 스티븐 스미스를 면밀히 살펴보기로 했다. 그는 이를 통해 암호화폐 회사들로부터 수십억 달러를 탈취한북한의 침투 전략과 크라켄에서 그러한 일이 발생하지 않도록 방지할 방법을 알아볼 기회로 여겼다.

퍼코코는 스미스에게 채용 담당자와 면담하고 기술 테스트를 실시한 후 면접을 진행하도록 했다. 퍼코코는 "일종의 문화 인터뷰라고 소개했다"라며"이를 승낙한 게 그의 진짜 실수였고, 그는우리가 묻는 질문에 우왕좌왕했다"라고 당시를 회상했다.

슬롯사이트 업카지노이 검토한 그의 이력서 사본에 따르면, 스미스는 뉴욕대학교에서 컴퓨터공학 학사 학위를 받았다. 그는 또한 시스코와 킨들리 휴먼 같은 미국 기업에서 소프트웨어 엔지니어로 11년 이상 근무했다고도 했다.

인터뷰는 할로윈에 예정돼 있었고, 스미스가 졸업했다는뉴욕대의학생들은 할로윈을잘 즐기기로 유명하다. 하지만 스미스는 할로윈에 대해 전혀 모르는 듯했다. 퍼코코가 유명 전통을 언급하며"오늘 밤 조심하세요. 톱을 든 아이들이 초인종을 누를지도 몰라요. 그런 사람들이 나타나면 어떻게 하세요?"라고 물어보자 스미스는 어깨를 으쓱하며 "특별한 건 없어요"라고말했다.

스미스는 2년 동안 거주했다고 기술한휴스턴에 대해서도 잘 몰랐다. 이력서에 음식을 관심사로 기재했음에도스미스는 휴스턴 지역에서 가장 좋아하는 식당이 어디인지 묻는 질문에 바로 답하지 못했다. 그는 "특별한 건 없네요"라고 중얼거렸다.

신분증을 제시해 달라는 요청에스미스는 "현재 신분증을 가지고 있지 않다"고 답했지만, 몇 분 후 이름과 사진이 있는 운전면허증 사진을 제시했다. 신분증에 기재된 주소는 휴스턴에서 300마일(약 480km) 이상 떨어진 곳이었다.

스미스 사례는 북한과 연루된 것으로 추정되는 수천 명의 해커들이해외에서 원격으로미국 기업들을 위협하는 한 단면이다. 이들은북한의 대량살상무기 프로그램을 지원하기 위해 여러 업무를 동시에 수행하며 특히기업의 자금을 탈취한다.

크라켄은 위기를 모면했을지 모르지만, 일부 기업들은 그렇지 못했다. 유엔은 북한이 스파이 직원들을이용해매년 2억 5000만 달러에서 6억 달러수익을 올리는것으로 추산했다. 사이버 보안 회사인 크라우드스트라이크(CrowdStrike)는 '페이머스 천리마(Famous Chollima)'로 알려진 북한 해커 조직이 지난해에 304건의 개별 사건을 저질렀다고 보고했으며, 이러한 공격은 2025년에도 계속 증가할 것으로 예측했다.

암호화폐는 이러한 유형의 사회 공학적 공격에 특히 취약하다. 또 다른 북한 해커 조직인 라자루스 그룹(Lazarus Group)은 지난 2월 암호화폐 거래소 바이비트(ByBit)에서15억 달러를해킹으로 빼돌렸고,2022년에는 로닌 네트워크(Ronin Network) 블록체인에서 5억 4000만 달러를 훔쳤다. 이밖에도 이들은역사상 가장 큰 규모의 암호화폐 절도 사건들과 자주 연루된 것으로 알려졌다.

/ 글Catherine McGrath & 편집 김타영 기자 young@fortunekorea.co.kr