인적 위험 관리 회사인 니소스(Nisos, CEO 라이언 라살)가 북한 연의 취업 사기 현황 조사 결과 보고서를 발표했다. 보고서에 따르면, 북한과 연계된 IT 인력들이 해외 기업의 원격 프리랜서 직무에 채용되기 위해 실제 존재하지 않는 가짜 소프트웨어 회사를 설립하고, AI와 딥페이크 기술을 활용한 고도화된 신원 위조 수법을 동원하고 있는 것으로 나타났다.

보고서는 "Saja DPRK Employment Scam Network"라는 이름의 위장 네트워크 활동을 정리하고, 이들이 채용 과정에서 사용하는 디지털 수단과 침투 기법들을 체계적으로 분석했다.

취업을 위한 주요 사기 전략

① 위장된 가짜 기업 설립

북한 연계 인물들은 실제 존재하지 않는 'Inspiration With Digital Living(IWDL)'이라는 소프트웨어 회사를 설립해 프리랜서 고용 플랫폼에 등록하고, 해당 회사를 소속 회사로 명시하며 기업의 신뢰를 유도했다. 이를 통해 정규직 또는 장기 프로젝트에 채용되려는 시도를 했다.

② 딥페이크 기반 위조 신원 사용

프로필 사진에는 스톡 이미지에 합성한 얼굴을 삽입하거나, AI로 생성된 인물 이미지를 사용했다. 이로 인해 겉보기에는 실제 인물처럼 보이나, 실제 존재하지 않는 인물이라는 점에서 기업의 1차 필터링을 회피한다.

③ 깃허브 개정 및 포트포리얼 개정 만들기

깃허브 계정에는 동일한 테마(사자 이미지)로 구성된 아바타들이 반복 사용됐고, 포트폴리오 사이트들은 동일한 템플릿과 정보 구조를 바탕으로 만들어져 식별 회피 및 신뢰도 구축을 동시에 노렸다. 이는 대규모 조직적인 작업임을 시사한다.

④ 페르소나 다중 운영 및 상호 추천

한 사람이 다수의 이름(예: Kornel Dudek, Fred Rowe 등)으로 서로 다른 페르소나를 만들어 활동하며, 서로에게 가짜 추천서를 제공하는 방식으로 위조된 평판을 구축했다. 일부는 동시에 여러 회사에 지원하거나 재직 중이었다.

⑤ 유사한 이메일 및 메타데이터 패턴

사용된 이메일 주소는 ‘century’ 등의 특정 단어를 공통적으로 포함하고 있으며, 이는 동일 네트워크 소속임을 암시하는 식별자 역할을 한다. 또한 여러 계정 간에 IP, 등록 메타데이터의 유사성도 관찰됐다.

북한 IT 노동자들의 취업 목적 분석

보고서에 따르면, 북한 IT 인력의 고용 목적은 단순한 외화 획득을 넘어, 기업 내부 데이터 접근 및 시스템 침투 가능성도 포함된다. 위장 신분을 통한 근로자는 사내 인프라에 대한 정보 취득, 코드 접근, 고객 데이터 접근 등 다양한 리스크를 발생시킬 수 있으며, 일부는 제3국을 경유해 법적 책임 회피를 시도한다.

니소스는 이러한 고용이 국제 제재 위반에 해당할 가능성도 높다고 경고하며, 기업들이 무의식적으로 북한 정권에 자금을 송금하는 상황이 발생할 수 있다고 밝혔다.

신원 검증 강화와 디지털 위협 탐지 체계 필요

니소스는 기업들이 다음과 같은 대응 체계를 갖추어야 한다고 강조한다.

① 심층 신원 검증 시스템 강화 : 단순 이력서나 프로필이 아닌, 원본 데이터 기반의 얼굴 인식, IP 기록 추적, 메타데이터 기반 검증 등이 요구된다.

② 디지털 위협 인텔리전스 도입 : 위조 포트폴리오, GitHub 패턴, 딥페이크 이미지 판별 등을 포함하는 보안 솔루션이 필요하다.

③ 지원자 및 재직자 배경조사 고도화 : 다중 페르소나 운영, 이메일 패턴, 추천서 진위 여부 등을 탐지할 수 있는 인적 리스크 관리 툴 도입이 중요하다.

니소스 CEO 라이언 라살(Ryan LaSalle)은 “이는 전 세계적으로 IT 노동자로 취업하려는 북한 연계 위협 행위자들의 노력의 자연스러운 진화다.”라며 “그들이 강력하고 의심하기 어려운 배경과 고용 이력을 날조하는 전술을 강화함에 따라, 가짜 프리랜서 소프트웨어 개발 회사를 설립하는 것은 다음 논리적 단계로 보인다.”라고 말했다.