북한 정권의 소프트웨어 개발자들이 위장 신분으로 글로벌 기업에 침투하는 사례가 지난 1년간 수백 건 이상 급증했다. 사이버보안 기업 크라우드스트라이크(CrowdStrike)의 애덤 마이어스(Adam Meyers) 부사장은 “현재 하루에 한 건씩 북한 관련 사건을 조사하고 있을 정도로 공격이 폭발적으로 늘었다”고 말했다.

사기는 고도로 훈련된 북한 인력이 가짜 신분으로 해외 기업에 고용되면서 시작한다. 그 범위와 정교함은 갈수록 심화하고 있다. 크라우드스트라이크의 ‘2025 위협 사냥 보고서’에 따르면, 지난 12개월간 북한 개발자들이 침투한 기업 수는 320곳을 넘었고, 관련 위장 취업 성공률은 전년 대비 220% 급증했다.

이는 북한 정권이 국제사회의 대북 제재를 우회해 외화를 벌어들이기 위해 벌이는 조직적 음모다. 북한은 평양 인근의 엘리트 학교에서 젊은 남성을 대상으로 소프트웨어 교육을 시킨 뒤, 이들을 4~5명씩 조로 편성해 중국, 러시아, 나이지리아, 캄보디아, 아랍에미리트 등 세계 각지로 파견한다.

한 탈북자의 증언에 따르면, 이들 파견 인력은 1인당 월 1만 달러의 수익을 목표로 하고 있다. 실제 미국과 유럽의 IT 기업에 원격 근무 방식으로 취업해 고액 연봉을 받고 있다. UN 추산에 따르면, 이 프로그램은 2018년 이후 매년 2억 5000만~6억 달러의 외화를 북한에 안겨주고 있다.

특히 포춘 500대 기업 상당수도 자신도 모르는 사이 북한 인력을 채용한 것으로 드러났다. 일부 사례에서는 이들이 단순한 수익 창출을 넘어 북한 해커 집단과 정보를 공유하거나, 30억 달러 상당의 가상화폐를 탈취한 공격에도 연루된 정황이 발견됐다.

크라우드스트라이크는 북한 IT 인력, 이른바 ‘페이머스 첼리마(Famous Chollima)’가 채용 과정 전 단계에서 생성형 AI를 활용하고 있다고 분석했다. 이들은 AI를 통해 가짜 신분 수천 개를 만들어내고, 얼굴 사진을 조작하며, 채용 공고 분석과 지원서 추적, 업무 수행 자동화까지 AI로 처리한다.

화상 인터뷰에서는 AI를 활용해 외모를 위장하거나, 기술 질문에 답하는 방법을 학습하고, 코딩 테스트도 통과한다. 채용 이후에는 슬랙이나 이메일 업무에 AI 챗봇을 활용해 문법적·기술적으로 완성도 높은 결과물을 생성하고, 동시에 여러 직무를 병행하기도 한다.

보고서는 “이들은 실시간 딥페이크 기술을 통해 영상 인터뷰에서 정체를 숨긴다”며 “하나의 지원자가 서로 다른 가짜 인물로 여러 번 면접을 보고, 채용 확률을 높이는 방식”이라고 밝혔다.

크라우드스트라이크는 북한 IT 인력이 AI 기반 얼굴 변조 애플리케이션을 검색하고, 딥페이크 서비스에 프리미엄 비용을 지불한 기록도 포착했다.

미국 내에서는 ‘랩톱 농장(laptop farm)’을 운영한 사례도 적발됐다. 지난달 애리조나의 50세 여성 크리스티나 채프먼은 자택에서 90대의 노트북을 관리하며 북한 인력에 원격 접근 권한을 제공한 혐의로 징역 8년 6개월을 선고받았다. 이 장비들로 북한 인력이 309개의 일자리를 얻어 1710만 달러를 벌어들였으며, 미국인 70명의 신원이 도용됐다. 피해 기업 중에는 나이키도 포함돼 있었다.

미국 내 단속이 강화되자 북한의 공격 축은 유럽으로 옮겨지고 있다. 크라우드스트라이크에 따르면, 루마니아와 폴란드 등 서유럽에 새로운 랩톱 농장이 형성되고 있으며, 북한 인력은 이들 국가의 개발자로 위장해 노트북을 현지 농장으로 배송받는다. 일반적으로는 의료 또는 가족 사유로 배송지를 변경한다는 핑계를 댄다.

마이어스 부사장은 “이제는 해외 채용에서도 같은 위협이 존재한다는 점을 인지해야 한다”고 말했다.

사이버보안 기업 사이버아크(CyberArk)의 악성코드 리서치팀장 아미르 랜다우는 “북한의 생성형 AI 기술이 진화함에 따라 기존 보안 체계만으로는 대응이 어려워질 수 있다”고 경고했다. 그는 기업이 임직원에게 부여하는 접근 권한을 최소화하고, 특정 정보는 ‘알 필요가 있는 사람(need-to-know basis)’에게만 제공해야 한다고 강조했다.

또한 실용적인 채용 보안 조치도 제안했다. 예컨대 추천인을 확인할 땐 당사자가 제공한 연락처 대신, 공개 데이터베이스에서 직접 검색해 확인해야 한다. 개인정보가 어색하거나 불일치할 경우엔 반드시 의심하고 검증해야 한다고 덧붙였다.

랜드아우는 “작은 회사가 더 취약한 건 사실이지만, 대기업도 충분히 속수무책일 수 있다”며 “이들이 일자리를 계속 얻는 한, AI를 활용한 침투 기법도 계속 진화할 것”이라고 경고했다. 마이어스는 마지막으로 이렇게 덧붙였다. “이들은 결국 북한 정권의 돈줄이 된 착취당한 인력들입니다. 돈이 벌리는 한, 이 활동은 계속될 것입니다.”

/ 글 Amanda Gerut & 편집 김다린 기자 quill@fortunekorea.co.kr