구글 위협 인텔리전스 그룹은 지난 몇 달 사이에 북한 IT 인력의 활동 범위와 규모가 미국을 넘어 전 세계로 확대되고 있다고 2일 밝혔다.

구글에 따르면 미국 내 이들의 위협에 대한 인식이 높아지면서, 북한 IT 인력은 공격 범위의 글로벌 확장, 갈취 전술의 고도화, 가상 인프라 활용 등 새로운 전략을 구사하며 계속해서 글로벌 위협 생태계를 구축해 나가고 있다.

지난해 말 북한의 한 IT 근로자는 12개 이상의 위조 신분을 사용해 유럽과 미국 전역에서 활동했다.

특히 유럽 내 방위 산업 및 정부 기관에 적극적으로 취업을 시도한 것으로 나타났다.

해당 IT 근로자는 조작된 추천서를 제공하고, 채용 담당자와 친분을 쌓으며, 추가 신분을 활용하는 패턴을 활용했다.

또 다른 IT 근로자는 독일과 포르투갈에서 구직활동을 하며 유럽 내 구직 웹사이트 및 자본 관리 플랫폼에서 로그인 자격증명을 활용한 것으로 나타났다.

영국에서는 북한 IT 근로자들의 보다 다양한 프로젝트가 관찰됐는데 웹 개발부터 봇 개발, 콘텐츠 관리 시스템(CMS) 개발, 블록체인 기술 등이 포함됐다.

구글은 “북한 IT 인력이 전통적인 웹 개발부터 고급 블록체인 및 AI 애플리케이션에 이르기까지 광범위한 기술 전문성을 보유하고 있다”고 설명했다.

유럽에서 활동하는 북한 IT 인력은 업워크(Upwork), 텔레그램(Telegram), 프리랜서(Freelancer) 등 다양한 온라인 플랫폼을 통해 모집됐으며, 임금은 자금의 출처와 목적지를 감추기 위해 암호화폐, 트랜스퍼와이즈(TransferWise) 서비스, 페이오니아(Payoneer) 등을 통해 이루어졌다.

또한 북한 IT 인력의 갈취 시도와 공격 규모가 크게 증가했다.

제이미 콜리어(Jamie Collier) 구글 위협 인텔리전스 그룹 유럽 지역 수석 고문은 “북한은 지난 10년 간 SWIFT 공격(금융 기관이나 은행의 내부 시스템 해킹), 랜섬웨어, 암호화폐 탈취, 공급망 공격 등 다양한 사이버 공격을 자행해 왔다”며 “이러한 끊임없는 진화는 사이버 공격을 통해 정권에 자금을 조달하려는 북한의 오랜 노력을 보여준다”고 설명했다.

이어 “북한 IT 인력의 작전이 여지껏 성공해온 것을 감안하면, 북한은 전 세계로 활동 범위를 넓힐 가능성이 높다”며 “이러한 공격은 사이버 위협에 대한 인식이 부족한 곳에서 더 큰 피해를 일으킬 수 있으며, 그런 면에서 아태 지역은 특히 위험성이 높은 편”이라고 경고했다.