북한 해커조직의 진화: 디지털 시대의 새로운 전쟁터
평양의 어느 사무실에서 젊은 개발자가 아침 출근과 함께 링크드인을 켜고 있다. 그의 프로필은 완벽하다. 실리콘밸리 대기업 경력, 화려한 포트폴리오, 그리고 AI로 정교하게 생성된 이력서까지. 하지만 그의 진짜 목적은 월급을 받는 것이 아니다. 서방 기업의 핵심 시스템에 침투해 데이터를 빼내고, 궁극적으로는 북한의 핵개발 자금을 마련하는 것이다.
320개 기업을 속인 완벽한 가면극
크라우드스트라이크의 최신 보고서에 따르면, '페이머스 천리마'로 불리는 북한 해커조직은 지난해만 320여개 기업에 위장 취업을 통해 침투했다. 이는 전년 대비 220% 증가한 수치로, 북한의 사이버 작전이 얼마나 급속도로 진화하고 있는지를 보여주는 충격적인 지표다.
천리마는 한국 신화에 등장하는 날개 달린 말로, 하루에 400킬로미터를 달릴 수 있다는 전설의 동물이다. 북한이 이 이름을 해커조직에 붙인 것은 우연이 아니다. 이들의 작전 속도와 전지구적 규모가 바로 그 전설적 민첩함을 현실화하고 있기 때문이다.
특히 주목할 점은 이들이 생성형 AI를 무기화했다는 사실이다. AI 기반 가짜 이력서 작성, 딥페이크 인터뷰, 허위 신분을 통한 기술 과제 수행 등 새로운 전술을 통해 탐지를 회피하며 대규모 내부자 공격을 자동화했다. 한 명의 해커가 동시에 6-7개의 일자리를 유지하며 각각에서 월급을 받아가는 것이 가능해진 것이다.
팬데믹이 열어준 새로운 기회
코로나19 팬데믹은 원격근무를 일상화시켰고, 북한은 이 변화를 기회로 활용했다. 원격 온보딩이 표준이 된 후, 도난당한 신원을 사용해 보안 검사를 통과하고 일자리를 얻은 다음 데이터를 빼내거나 자금을 훔치는 사례가 급증했다. 크라우드스트라이크가 관찰한 사례 중 50%가 데이터 탈취를 목적으로 한 것으로 나타났다.
이들은 RustDesk, AnyDesk, Google Chrome 원격 데스크톱 등 합법적인 원격 관리 도구를 설치해 시스템에 지속적으로 접근할 수 있는 백도어를 구축했다. 회사 네트워크 자격 증명을 이용해 여러 IP 주소에서 접속함으로써 정상적인 네트워크 활동으로 위장하는 치밀함까지 보였다.
글로벌 규모의 위협, 전례없는 피해
2025년 2월 21일, 세계 최대 암호화폐 거래소 중 하나인 바이비트가 약 15억 달러 규모의 이더리움 토큰을 도난당하는 사상 최대 규모의 해킹 피해를 입었다. 이 공격 역시 북한 해커조직의 소행으로 추정된다.
북한의 암호화폐 탈취 규모는 가히 천문학적이다. 체이날리시스에 따르면 북한 정부와 연결된 해킹 그룹들이 2024년 47건의 공격을 통해 13억4천만 달러 상당의 암호화폐를 훔쳤다. 이는 2023년의 6억6050만 달러에서 대폭 증가한 수치다.
국경을 초월한 작전 기지
북한 해커들이 중국과 러시아에 거점을 두고 활동하고 있다는 점도 주목할 만하다. 최근 한국 외교공관을 겨냥한 공격에서는 해커들의 활동 패턴이 중국 시간대와 일치했고, 중국 국경절 기간 동안 3일간 완전히 활동이 중단되는 현상이 관찰되기도 했다.
미국 법무부는 이미 북한 해커들을 지원한 미국 내 협력자들을 기소했다. 애리조나주 여성이 북한이 300개 IT 기업에 접근할 수 있도록 도운 혐의로, 테네시주 남성이 북한 해커들이 수개월간 탐지되지 않고 일할 수 있도록 돕는 '랩톱 농장'을 운영한 혐의로 각각 기소됐다.
AI 시대의 사이버 전쟁
크라우드스트라이크의 애덤 마이어스 총괄은 "공격자들은 생성형 AI를 악용해 사회공학 공격에 속도를 내고 있으며, 기업이 도입한 AI 시스템을 주요 표적으로 삼는다"고 경고했다. 이들은 AI 에이전트 개발 도구를 목적으로 접근 권한과 자격 증명을 탈취해 악성코드를 배포하는 새로운 전술을 개발하고 있다.
특히 우려스러운 것은 이들의 학습 능력이다. 북한은 1990년대 후반부터 사이버 인재에 투자해왔으며, 어릴 때부터 STEM 교육에 전략적으로 집중해왔다. 많은 이들이 북한을 '은둔의 왕국'으로 과소평가하지만, 실제로는 고도로 정교한 사이버 능력을 보유한 국가로 변모했다.
새로운 패러다임의 방어가 필요한 시점
크라우드스트라이크는 2024년 동안 304건의 페이머스 천리마 관련 사건에 대응했으며, 이 중 거의 40%가 내부자 위협 작전이었다고 밝혔다. FBI는 이미 200개 이상의 기업에 피해 알림을 발송했고, 마이크로소프트는 수천 개의 북한 IT 노동자 가명과 신원을 추적하고 있다.
이제 우리는 새로운 현실에 직면해 있다. 전통적인 해킹이 아닌, 합법적인 채용 과정을 통해 침투하는 '내부자 위협'이 주요 사이버 보안 패러다임으로 부상한 것이다. 원격 근무가 일상화된 시대에 우리는 어떻게 진짜 지원자와 가짜를 구별할 수 있을까?
북한의 천리마가 전설 속에서 현실로 뛰어나온 지금, 우리의 방어 전략도 그에 맞춰 진화해야 할 때다. 디지털 시대의 새로운 전쟁터에서 살아남기 위해서는 기술적 방어만으로는 충분하지 않다. 인적 자원 관리부터 사이버 보안까지, 모든 것을 재검토해야 하는 중대한 기로에 서 있다.