구글 위협 인텔리전스 그룹(Google Threat Intelligence Group)이 북한 IT 인력에 의한 사이버 위협 활동이 미국을 넘어 유럽 지역에서도 증가하고 있다고 발표했다. 이번 발표는 구글의 공식 블로그를 통해 공개됐다.
구글에 따르면 북한 IT 인력이 미국 내 단속 강화에 따라 활동 범위와 규모를 유럽 등 글로벌 전역으로 확대하고 있다고 밝혔다. 또한 위조 신분과 조작된 추천서를 활용한 취업 시도, 온라인 플랫폼을 통한 활동 다변화, 암호화폐를 통한 자금 흐름 은폐 등 전략을 고도화하고 있다.
2024년 말, 한 북한 IT 근로자가 12개 이상의 위조 신분을 이용해 유럽 및 미국 내 방위산업과 정부 기관 취업을 시도했다. 독일과 포르투갈에서 구직 사이트를 통한 자격증명 접근 사례가 포착됐다. 영국에서는 웹 개발, 봇 개발, CMS, 블록체인 등 다양한 프로젝트에 관여한 정황이 확인됐다.
북한 IT 인력은 이탈리아, 일본, 싱가포르 등 다양한 국적으로 위장해 활동하며 가상 신원을 조합해 신분을 위조한다. 업워크, 텔레그램, 프리랜서 등 플랫폼을 통해 모집됐으며 보수는 암호화폐와 해외 송금 플랫폼을 통해 지급됐다.
2024년 10월 이후 북한의 갈취성 사이버 공격은 규모와 빈도 면에서 증가했으며 미국의 제재 강화와 연계돼 보다 공격적인 활동이 이어지는 양상을 보이고 있다. 일부 기업의 BYOD 정책은 북한 IT 인력의 접근 경로가 되며 기업 보안 위협을 키우는 요인으로 지목됐다.
제이미 콜리어 구글 위협 인텔리전스 그룹 유럽 수석 고문은 “북한의 사이버 활동이 암호화폐 탈취, 랜섬웨어, 공급망 공격 등으로 진화해왔다”며 “향후 아시아태평양 지역도 예외가 될 수 없다”고 경고했다. 이어 그는 사이버 위협에 대한 인식 부족 지역에서 더 큰 피해가 발생할 수 있다고 지적하며 보안 대비의 중요성을 강조했다.
헬로티 구서경 기자 |
