지정학적 갈등과 사이버 위협이 결합되면서 글로벌 IT 생태계의 보안 리스크가 심화되고 있다. 특히 북한은 외화 확보 수단으로 IT 노동자를 해외 기업에 침투시키는 전략을 구사하고 있으며, 이 과정에서 위장 신분과 국제 플랫폼을 활용해 기업 내부로 침투하고 있다. 이러한 움직임은 국제 제재 회피와 불법 수익 창출의 수단으로 악용되고 있어 대응책 마련이 시급하다.

북한 공작원들은 종종 중국 내 단체의 지원을 받아 서방 조직의 디지털 인력에 침투해 민감한 데이터에 접근하고, 지정학적 목표를 진전시키며, 불법 수익을 창출 및 세탁한다.

글로벌 사이버 보안 기업 스트라이더(Strider, CEO 그렉 레브스크)가 중국에 거점을 둔 둔 중개인 및 위장 회사를 통해 이루어지는 북한의 공작원이 수행하는 역할을 설명한 ‘그림자 네트워크 내부: 북한 IT 인력과 그들의 중국 후원자들’ 보고서를 발표했다.

중국 기반 35개 기업, 북한과 조직적 연계

스트라이더는 보고서를 통해 북한 해커들이 중국 내 기업 네트워크의 지원을 받아 활동하고 있다는 사실을 공개했다. 보고서에 따르면 중화인민공화국에 본사를 둔 최소 35개의 기업이 북한 정부의 불법 수익 창출을 지원하고 있는 것으로 밝혀졌다. 이들은 위장회사로서 활동하며 북한 IT 인력의 출신지를 은폐하고, 이들이 글로벌 플랫폼에서 자유롭게 활동할 수 있도록 돕는 역할을 하고 있다.

또한 스트라이더는 미국 재무부 해외자산통제국(OFAC)으로부터 제재를 받은 중국 연계 회사가 북한의 무기 거래 기관인 53부와 연계돼 있으며, 이 회사가 첨단 무기, 군용 통신 장비, 소프트웨어 개발 등 다양한 분야에서 수익을 창출하는 것으로 파악했다. 이 기업과 조직적·개인적 연계가 있는 35개 계열사 역시 동일한 작전에 관여하고 있을 가능성이 제기됐다.

글로벌 기업 침투 전략... 플랫폼과 가짜 신원 활용

보고서는 북한 IT 인력들이 주로 프리랜서 개발자나 엔지니어로 위장해 서방 기업에 접근하고 있다고 밝혔다. 이들은 글로벌 프리랜싱 플랫폼과 결제 시스템을 통해 고용계약을 체결하며, 가짜 신분과 위장 회사를 통해 출신지를 은폐한다. 이는 단순한 개인 범죄가 아닌, 조직적으로 설계된 국가 주도 사이버 작전의 일환으로 분석된다.

스트라이더 그렉 레베스크(Greg Levesque) CEO는 “중국 내 위장 기업들이 북한 IT 인력의 활동을 은폐하고, 기업 내부로의 침투를 용이하게 하고 있다”고 밝혔다. 그는 이어 “이러한 인력을 고용한 기업은 지식재산 도난, 데이터 유출 등의 위험뿐 아니라, 제재 대상 프로그램에 자금이 흘러들어가는 중대한 법적·윤리적 위험에도 노출된다.”라고 강조했다.

위협 확산과 보안 경계 필요성

이번 보고서는 북한 요원들이 사용하는 기술과 절차에 대해서도 상세히 설명하고 있다. 위장 신분, 가짜 기업, 국제 취업 플랫폼의 악용은 물론, 전 세계에 퍼져 있는 북한 IT 인력의 활동 패턴이 주요 분석 대상이다. 스트라이더는 이러한 위험 요소에 대해 기업들이 철저한 백그라운드 검증과 보안 감사를 강화할 필요가 있음을 경고하고 있다.

북한의 사이버 작전이 디지털 프리랜싱 생태계와 연결되며 글로벌 기업 환경에 실질적인 보안 위협으로 작용하고 있는 만큼, 각국 정부와 기업의 공조 대응이 필요한 시점이다.