사이버 보안 기업 크라우드스트라이크(CrowdStrike)의 최신 연례 보고서에 따르면, 지난 12개월간 북한 해커들이 원격 IT 직원이나 온라인 채용 담당자로 위장하여 미국 기술 기업을 대상으로 한 '수동 침투(hands-on-keyboard)' 공격의 약 절반을 차지한 것으로 나타났습니다. 이는 북한 정권이 국제 제재를 회피하고 핵무기 프로그램을 위한 자금을 마련하기 위해 사이버 공격에 크게 의존하고 있음을 보여줍니다.
크라우드스트라이크는 '유명 천리마(Famous Chollima)'로 명명된 북한 해킹 그룹이 2025년 4월부터 2026년 5월까지 기술 분야를 노린 국가 지원 활동의 47%를 차지했다고 밝혔습니다. 이들은 개발자, 코더, IT 전문가 등으로 위장하여 미국, 유럽, 아시아 기술 기업의 원격직에 지원합니다. 특히 AI로 생성된 실시간 딥페이크 이미지와 위조된 여권, 운전면허증 같은 신분증을 활용해 실제 인물처럼 속이는 수법을 사용합니다. 일단 기업에 침투하면 급여를 받아 북한 정권으로 송금하는 동시에, 기업의 지적 재산과 민감한 정보를 훔칩니다. 적발될 경우 탈취한 정보를 공개하겠다고 협박하며 몸값을 요구하기도 합니다. 또한, 블록체인 개발자들을 표적으로 삼아 막대한 양의 암호화폐를 훔치는데, 이는 서방 금융 시스템을 이용할 수 없는 북한 정권의 주요 자금원이 됩니다. 북한은 2025년에만 약 20억 달러(약 2조 7천억 원)를 포함해 수십억 달러 규모의 암호화폐를 탈취한 것으로 알려졌습니다.
이러한 북한 해커들의 활동은 전 세계 기술 기업들에게 심각한 위협이 되고 있습니다. 단순히 데이터 유출을 넘어, 기업의 핵심 기술과 지적 재산을 빼앗고, 심지어는 급여까지 가로채는 이중적인 피해를 입히기 때문입니다. 특히 '수동 침투' 방식은 자동화된 악성코드와 달리 실제 사람이 개입하여 정교하고 회피적인 활동을 벌이므로 기존 보안 도구로는 탐지하기 어렵습니다. 따라서 기업들은 원격 채용 과정에서 신원 확인을 강화하고, 시스템 내부에서 발생하는 비정상적인 활동을 감지하는 데 더 많은 투자를 해야 할 필요성이 커지고 있습니다. 이는 사이버 보안의 중요성을 다시 한번 상기시키며, 단순히 기술적인 방어를 넘어 인적 요소에 대한 경각심을 높여야 함을 시사합니다.