요약

• 오픈AI가 북한의 계정을 삭제했는데, 이는 해당 국가들이 챗GPT를 이용해 여론 조작 및 사기 행위를 저질렀기 때문이다.
• 북한은 허위 이력서를 만들어 해외 취업 사기를 시도했다.
• 오픈AI는 자사 기술의 악용을 방지하고 권위주의 정권의 부당한 행위를 막기 위해 AI 기반 조사 기능을 활용하고 있다고 밝혔다.

북한 연계 사이버 위협 – AI 활용 위장취업 전략 분석

출처: OpenAI 내부 보고서 (2025년 2월)
작성일: 2025년 2월 11일

1. 개요

최근 OpenAI는 인공지능(AI) 모델을 악용한 북한 연계 위장취업(Deceptive Employment Scheme) 활동을 탐지하고 차단하는 조치를 시행했다. 해당 활동은 북한 IT 인력이 미국 및 서방 기업에 위장 취업하여 불법적으로 외화를 조달하는 방식과 일치하며, Microsoft 및 Google이 앞서 발표한 북한 IT 위장취업 작전과 유사한 패턴을 보인다.

이 조직은 VPN, 원격 접속 도구(AnyDesk), VoIP 전화망을 활용하여 미국 내에서 활동하는 것처럼 위장하며, LinkedIn 등 구인·구직 플랫폼을 활용해 신분을 속이고 취업 과정을 조작하는 것으로 확인됐다.

2. 주요 위협 요소 및 분석

(1) 공격자 행위

• 다수의 계정을 활용하여 서방 기업 취업을 위한 문서(이력서, 자기소개서 등)를 생성.
• 가상의 지원자 프로필을 작성하여 채용 과정을 조작.
• 허위 추천인을 만들어 기업의 신원 확인 절차를 우회.
• AI 모델을 활용하여 기술 면접에서 신뢰할 수 있는 응답을 생성.
• 채용 이후 회사 시스템에 원격 접속하여 보안 위협을 초래.
• AI를 활용하여 사이버 방어 회피 전략(비디오 회피, 접근 국가 위장 등) 생성.

(2) 공격 기법

구분공격 방식세부 내용

3. 활용된 기술 및 전술(TTPs)

• AI 기반 문서 생성: 맞춤형 이력서, 자기소개서, 추천서 자동 생성
• AI 기반 면접 응답: 기술적·행동적 질문에 신뢰성 높은 응답 자동 생성
• 소셜 엔지니어링: LinkedIn 등 SNS에서 실제 기업 관계자를 속여 추천 유도
• 보안 정책 우회: 원격 접속 시도, VPN 활용, 접속 국가 위장
• 기업 보안 침투: 내부 시스템 접근 후 보안 위협 조성

4. 파급 효과 및 위협 평가

(1) 국가 안보 및 산업 영향

• 서방 IT·방산·금융 기업의 보안 위협 증가
  • 북한 IT 인력의 취업 성공 시, 기업 내부 시스템 침투 및 정보 탈취 가능성 증가
  • 미국 및 우방국 내 주요 기술·보안 인프라 위협
• 북한의 불법 외화 조달 활동 지속
  • 북한 IT 노동자들은 연간 최대 30만 달러를 벌어들이며, 조직적으로 3백만 달러 이상 송금 가능
  • 미 국무부가 북한 IT 노동자 관련 정보 제공 시 최대 500만 달러 포상금 지급

(2) 기존 탐지 시스템 회피 가능성

• AI 기술을 활용한 채용 문서 생성 및 면접 응답으로 기존의 신원 확인 시스템을 효과적으로 우회
• VPN 및 원격 접속 도구 활용으로 IP 기반 보안 모니터링 우회
• 기존 보안 솔루션으로 탐지 어려운 소셜 엔지니어링 기법 활용 증가

5. 대응 방안 및 권고 사항

(1) 보안 기관 및 기업 대상 권고

✅ AI 기반 신원 확인 기술 도입:

• AI 및 머신러닝을 활용한 신규 채용자 신원 검증 프로세스 강화
• 의심 계정 및 활동 패턴 탐지 알고리즘 도입

✅ 기업 내부 보안 교육 강화:

• IT·방산·금융 부문 대상 사이버 보안 교육 및 위협 인텔리전스 공유 확대
• 채용 프로세스에서 가짜 추천인 및 허위 정보 판별 시스템 구축

✅ 사이버 방어 체계 강화:

• VPN 및 원격 접속 도구 사용 모니터링 강화
• 북한 IT 인력의 취업 시도를 사전 차단하기 위한 국제 공조 강화

6. 결론

이번 OpenAI 보고서를 통해 북한 연계 사이버 위협 그룹이 AI를 활용하여 위장 취업을 시도하고 있음이 확인됨.

• AI 기반 이력서·추천서 위조, 면접 조작, 업무 수행 위장, 기업 내부 침투 전략이 조직적으로 운영됨.
• 북한 IT 노동자들의 활동이 서방 IT, 방산, 금융 분야로 확대되고 있으며, 연간 수백만 달러의 외화 조달이 이루어지고 있음.
• 미 국무부 및 법무부는 북한 IT 노동자 고용 차단을 위한 국제 공조 및 포상금 지급 제도 시행 중.

따라서 한국 정부 및 방산·IT 기업들은 채용 보안 프로세스를 강화하고, AI 기반 위장취업 탐지 기술을 도입하는 것이 필수적이다.

원문

February 2025

Disrupting malicious uses of our models: an update

February 2025

Deceptive Employment Scheme

Our mission is to ensure that artificial general intelligence benefits all of humanity. We advance this mission by deploying our innovations to build AI tools that help people solve really hard problems.

As we laid out in our Economic Blueprint in January, we believe that making sure AI benefits the most people possible means enabling AI through common-sense rules aimed at protecting people from actual harms, and building democratic AI. This includes preventing use of AI tools by authoritarian regimes to amass power and control their citizens, or to threaten or coerce other states; as well as activities such as child exploitation, covert influence operations (IOs), scams, spam, and malicious cyber activity. The AI-powered investigative capabilities that flow from OpenAI’s innovations provide valuable tools to help protect democratic AI against the measures of adversarial authoritarian regimes.

It has now been a year since OpenAI became the first AI research lab to publish reports on our disruptions in an effort to support broader efforts by U.S. and allied governments, industry partners, and other stakeholders, to prevent abuse by adversaries and other malicious actors. This latest report outlines some of the trends and features of our AI-powered work, together with case studies that highlight the types of threats we’ve disrupted.

Threat actors using AI and other technologies to support deceptive hiring attempts

Actor

We banned a number of accounts that were potentially used to facilitate a deceptive employment scheme. The activity we observed is consistent with the tactics, techniques and procedures (TTPs) Microsoft and Google attributed to an IT worker scheme potentially Disrupting malicious uses of our models: an update February 2025 10 connected to North Korea. While we cannot determine the locations or nationalities of the actors, the activity we disrupted shared characteristics publicly reported in relation to North Korean state efforts to funnel income through deceptive hiring schemes, where individuals fraudulently obtain positions at Western companies to support the regime’s financial network.

Behavior

The various accounts used our models to generate content seemingly targeting each step of the recruitment process with different deceptive practices, all designed to be mutually supporting (see “Completions”, below).

The actors used virtual private networks (VPNs), remote access tools such as AnyDesk, and voice over IP (VOIP) phones largely appearing to be located in the United States. While our visibility into the ways these actors distributed their content is limited, we identified content posted to LinkedIn.

Completions

One main set of content generated by these actors consisted of personal documentation for the fictitious “job applicants”, such as resumés, online job profiles and cover letters. These resumés and profiles were frequently tailored to a specific job listing to increase the chances of appearing as a well qualified candidate. A second set consisted of creating “support”

personas which were used to provide reference checks for the “job applicants” and refer them for employment opportunities.

In parallel, the operators crafted social media posts to recruit real people to support their schemes. These included, for example, individuals willing to receive and host laptops from their home or lend their identities to the scheme to enable the applicants to pass background checks.

Disrupting malicious uses of our models: an update February 2025 11 Finally, the “job applicant” personas appear to have used our models in interviews to generate plausible responses to technical and behavioral questions. However, we did not observe them using our speech-to-speech tools.

After appearing to gain employment they used our models to perform job-related tasks like writing code, troubleshooting and messaging with coworkers. They also used our models to devise cover stories to explain unusual behaviors such as avoiding video calls, accessing corporate systems from unauthorized countries or working irregular hours.

Example of content this actor used our models to generate before then posting to a social networking site, with

the apparent aim of recruiting U.S. citizens into unknowingly supporting their scheme. Disrupting malicious uses of our models: an update February 2025 12Impact Given our visibility into only a small portion of this overall set of activity, assessing its impact would require inputs from multiple stakeholders.

OpenAI's policies strictly prohibit use of output from our tools for fraud or scams. Through our investigation into deceptive employment schemes, we identified and banned dozens of accounts. We have shared insights about the fraudulent networks we disrupted with industry peers and relevant authorities, enhancing our collective ability to detect, prevent, and respond to such threats while advancing our shared safety.

| 출처

https://www.aitimes.com/news/articleView.html?idxno=168210

https://cdn.openai.com/threat-intelligence-reports/disrupting-malicious-uses-of-our-models-february-2025-update.pdf

https://openai.com/global-affairs/disrupting-malicious-uses-of-ai/

1. 개요

북한과 연계된 사이버 공격 조직들은 한국 정부, 언론, 방위산업체, 북한 인권단체, 탈북민 단체 등을 주요 목표로 지속적인 해킹 작전을 수행하고 있다. APT37 (일명 ScarCruft), Kimsuky, Lazarus 등 북한 정부의 지원을 받는 해킹 그룹이 악성코드 배포, 피싱 공격, 제로데이(0-day) 취약점 악용 등 고도화된 공격 기법을 활용하고 있다.

특히 2023년 이후 APT37이 안드로이드 스파이웨어 RambleOn과 ROKRAT을 이용한 모바일 기반 감시 작전을 확장하고 있으며, Kimsuky 그룹은 한국의 정부 기관과 연구소를 대상으로 장기간 정보 탈취 활동을 수행 중이다.

2. 주요 공격 기법 및 전략

(1) 악성 문서 및 이메일 피싱

• APT37과 Kimsuky 그룹은 MS Word 문서(.docx), LNK 바로가기 파일, ZIP 압축 파일 등에 악성코드를 삽입하여 타깃을 감염시키고 있음.
• 한국 정부, 국방 관련 연구소, 북한 인권단체를 대상으로 한 스피어 피싱 공격이 증가하고 있음.
• 북한과 관련된 정치적 사건(한미연합훈련, 제재 강화 등)에 대한 문서로 위장하여 공격을 수행함.

(2) 안드로이드 및 윈도우 기반 스파이웨어

• APT37이 배포한 RambleOn 및 ROKRAT 스파이웨어가 안드로이드 사용자들을 감염시키고 있음.
• SMS 탈취, 통화 녹음, 위치 추적, 키 입력 기록 등의 기능을 활용하여 한국 내 주요 인사의 정보를 수집.
• Windows 환경에서도 기존의 PowerShell 기반 백도어와 함께 C2(Command & Control) 서버를 이용한 장기적인 침투 작전이 진행됨.

(3) 공급망(Supply Chain) 공격

• 북한 연계 APT 그룹들은 한국의 방산 및 연구기관 내부 네트워크를 직접 공격하는 대신, 협력업체 및 공급망을 통해 우회 공격을 시도함.
• 최근에는 한국 내 보안 취약점을 이용하여 개발된 소프트웨어 업데이트 과정에서 악성코드를 삽입하는 공급망 공격 기법이 증가하고 있음.

(4) 크립토재킹 및 금융 해킹

• Lazarus 그룹은 가상화폐 거래소 및 금융 기관을 대상으로 사이버 공격을 수행, 암호화폐 탈취 및 불법 자금 세탁을 지속하고 있음.
• IT 아웃소싱을 통해 북한 IT 노동자가 해외에서 위장 취업하여 가상화폐 거래와 금융 해킹을 수행하는 정황이 포착됨.

3. 주요 표적 및 피해 사례

(1) 한국 정부 및 국방 관련 기관

• 국방 연구소, 안보 기관을 대상으로 한 피싱 및 악성코드 감염 사례 증가.
• 최신 무기 개발 자료 및 군사 작전 관련 문건이 주요 해킹 대상.

(2) 북한 인권단체 및 탈북민 관련 조직

• 북한 인권단체에 대한 지속적인 해킹 시도와 감시 작전 수행.
• 탈북민 및 북한 인권 운동가를 대상으로 악성코드가 포함된 피싱 이메일 유포.

(3) 언론 및 학술 연구 기관

• 한반도 문제를 연구하는 국내외 싱크탱크 및 연구기관이 주요 해킹 표적이 되고 있음.
• 언론사 내부 네트워크에 침투하여 북한 관련 보도 자료 및 내부 정보 탈취.

4. 향후 전망 및 대응 방안

(1) 예상되는 위협

• APT37과 Kimsuky의 활동이 더욱 정교화되며, AI 및 딥페이크 기술을 활용한 해킹 시도가 증가할 가능성 있음.
• 한국의 주요 방산·군사 기밀을 확보하려는 사이버 작전이 지속될 전망.
• 다크웹 및 가상화폐를 활용한 북한의 사이버 금융 범죄가 더욱 활발해질 가능성이 있음.

(2) 대응 방안

• 국방·정부 기관 대상 보안 강화:
  • 북한의 공급망 공격(Supply Chain Attack) 차단을 위한 보안 점검 강화.
  • 악성코드 탐지 및 위협 인텔리전스 공유 확대.
• 모바일 및 원격 근무 환경 보안 강화:
  • 안드로이드 및 윈도우 기반 스파이웨어 차단 솔루션 도입.
  • 피싱 및 스피어 피싱 방지를 위한 보안 교육 강화.
• 금융 및 가상자산 보안 대응 강화:
  • 암호화폐 거래소 및 금융 기관과 협력하여 가상화폐 해킹 대응 체계 구축.
  • 다크웹에서 활동하는 북한 해킹 그룹에 대한 실시간 추적 및 모니터링 강화.

5. 결론

APT37, Kimsuky, Lazarus 등 북한 연계 해킹 그룹들은 한국 정부, 국방 산업, 연구 기관, 인권 단체, 금융 기관을 주요 표적으로 지속적인 사이버 공격을 수행하고 있다.

특히 안드로이드 스파이웨어, 피싱 공격, 공급망 해킹, 가상화폐 탈취 등을 결합한 복합적 사이버 작전이 강화되고 있어, 이에 대한 체계적인 대응이 필요하다. 한국 및 우방국과의 공조를 통해 북한의 사이버 위협을 무력화하는 전략적 접근이 요구된다.

출처: 0x0v1 Threat Intelligence

RightsCon 2025: Unveiling North Korea’s cyber threats: safeguarding human rights

https://www.0x0v1.com/targeted-threats-research-south-north-korea/

작성일: 2025년 2월 11일

Targeted Threats Research - South & North Korea, a Breakdown of 3

Years of Civil Society Threat Research

This research paper provides an analysis of three years of data from

five civil society organizations (CSOs) in South Korea. The findings

show that social engineering was the primary initial attack vector, with

spear-phishing links to malware payloads being the most common method of

initial access.