요약: 북한은 철저한 감시하의 인터넷 통제를 유지하면서도, 엘리트 중심의 해커 조직을 통해 국제 사이버 범죄 및 정보전에 적극적으로 개입하고 있음. 이들은 정권의 생존과 외화 확보 수단으로서, 전 세계를 대상으로 한 사이버 위협을 가중시키고 있으며, 이에 대한 정밀한 대응과 지속적 감시가 요구된다.
* CISA Cuts: A Dangerous Gamble in a Dangerous World (darkreading.com)
요약 미국 국토안보부 산하 CISA의 대규모 인력 감축(130명 이상 해고) 은 국가 사이버 방어 역량을 약화시킬 위험 우려. CISA는 중요 인프라 보호, 선거 보안 강화, 랜섬웨어 대응 등 사이버 및 물리적 리스크 관리의 핵심 역할을 수행해 왔으며, 인공지능(AI) 기반 공격 증가 및 국가 지원 해킹 위협 속에서 더욱 강화되어야 할 기관이나, 이번 감축으로 인해 정부의 위기 대응 능력이 저하되고, 민간 기업과의 협력이 약화될 우려 제기됨
1. 개요
미국 국토안보부(DHS) 산하 사이버보안 및 인프라 보안국(CISA)이 최근 대규모 인력 감축을 단행하면서 미국의 국가 안보와 사이버 방어 능력에 대한 우려가 커지고 있다. 이번 조치로 CISA 직원 130명을 포함해 총 400명 이상의 DHS 직원이 해고되었다. 특히 해당 인력은 비핵심 임무(non-mission critical) 담당자로 분류된 시험 채용 기간 중인 인력들로 알려졌지만, 전문가들은 이러한 인력 감축이 미국의 국가 안보와 사이버 방어 체계에 심각한 영향을 미칠 수 있다고 경고하고 있다.
2. CISA의 주요 역할
CISA는 2018년 설립 이후 미국 정부의 핵심 기관으로서 다음과 같은 임무를 수행해 왔다:
중요 인프라 보호: 에너지망, 교통 시스템, 제조 시설, 헬스케어 및 금융 서비스 등 필수 시스템을 보호
공공 경고 시스템 운영: Known Exploited Vulnerabilities (KEV) 카탈로그 및 Secure by Design 이니셔티브 운영
랜섬웨어 대응: 'Stop Ransomware' 캠페인 진행
선거 보안 강화: 대선 기간 동안 외부 간섭 방지 및 선거 시스템 보호
이 외에도 CISA는 자연재해, 공급망 교란, 지정학적 불안정 상황에 대응하여 국가 위기 관리 역량을 강화하는 역할을 수행해왔다.
3. 인력 감축의 영향
최근의 인력 감축 조치는 다음과 같은 문제를 초래할 우려가 있다:
사이버 방어 역량 저하: 인공지능(AI) 기반 공격, 국가 지원 해킹 등 고도화된 위협에 대한 방어 역량이 약화될 수 있음
인프라 보호 취약성 증가: CISA의 인력 감소는 병원, 발전소, 교통 시스템 등 국가 핵심 인프라에 대한 사이버 공격 위험을 높일 수 있음
공공-민간 협력 약화: 민간 기업 및 기관과의 정보 공유 및 대응 체계가 약화되어 신속한 대응이 어려워질 우려
전문 인력 손실: 사이버 보안 전문가 감소로 인해 기관의 장기적 대응 계획이 취약해질 수 있음
4. 제언 및 시사점
CISA의 인력 감축은 미국의 사이버 방어 및 국가 안보에 심각한 위험 요소로 작용할 가능성이 크다. 이를 보완하기 위한 전략적 대응이 시급하다.
인력 충원 및 역량 강화: 고도화된 사이버 위협에 대응하기 위해 CISA의 인력 충원 및 훈련 강화가 필요함
기술 현대화: CISA의 방어 체계 강화를 위해 최신 도구와 기술의 도입이 필수적임
국제 공조 강화: 사이버 위협이 글로벌화됨에 따라 미국과 우방국 간 정보 공유 및 협력 체계를 더욱 공고히 할 필요가 있음
5. 결론
CISA 인력 감축은 미국의 국가 안보에 심각한 영향을 미칠 수 있는 위험한 선택으로 평가된다. CISA의 역할을 재조명하고 강화하는 방향으로 정책적 전환이 요구된다. 향후 미국 정부가 CISA에 대한 지속적인 투자를 통해 보다 강력한 사이버 방어 체계를 구축하는 방향으로 나아가 한다.
안보침해 행위 대응 관련 자유주제 (예시: 관련 법령, 제도 개선방안, 안보조사 기법,對국민 안보 홍보 방안, 안보침해범죄 추적 방안 등)
국가정보원 홈페이지 - 주요업무 - 안보조사 참고
응모 자격
국내외 대학교, 대학원 재학생 및 최근 3년 졸업생(2022년~2025년)
공모 일정
참가신청 : 2025. 04. 01.(화) ~ 05. 31.(토)
논문접수 : 2025. 06. 01.(일) ~ 08. 15.(금)
결과발표 : 2025.9.30
우수논문 시상 일정은 별도 공지 예정
신청 및 접수 방법
공모전 홈페이지(www.국가안보공모전.com)로 신청 및 접수
논문 제출 시 재학증명서, 졸업증명서, 휴학인증서 중 1개 첨부
시상 내역
대상 1명, 500만원 상금, 국가정보원장상 및 부상
최우수 3명, 200만원, 부상
우수 6명, 100만원, 부상
참가 100명, 기념품(논문 제출 선착순) * 심사결과에 따라 수상인원 및 수상금액은 조정될 수 있음 * 원고 형식 및 공모 주제에 적합하지 않거나 표절 논문은 기념품 지급 대상 제외 * 우수논문은 국가정보원 발간자료에 게재될 예정
원고형식
분량 : A4 20~40페이지
형식: PDF 파일(파일명: 국가안보공모전_논문제목_제출자 이름)
편집용지: A4(210X297mm)
용지여백: 위아래 38mm, 머리말꼬리말 15mm, 좌우 35mm
들여쓰기: 문단 시작은 2칸 띄움
정렬방식: 양쪽정렬
글씨체 및 크기 큰 제목: 16point(신명조 또는 돋움), 진하게 중간제목: 13point(신명조 또는 돋움), 진하게 본문: 10point(신명조) 각주: 9point(신명조 또는 굴림) 장평 100%, 자간 0%
문단 모양 줄간격 : 160% 문단 위 간격 : 5 point
표지 1장(첫장) 자유양식, 분량에未포함
사진, 표는 별도의 규격이 없습니다.
문의
공모전 홈페이지 Q&A
유의사항
국내외 논문지 발간 및 학술대회 발표되지 않은 논문에 한함
수상작은 향후 학술지 게재 및 자체 홍보물 등에 사용될 수 있음
생성형 AI 활용 여부 및 범위 기재 필수
참고법령
(1) 국가정보원법
제4조(직무) ① 국정원은 다음 각 호의 직무를 수행한다.
다음 각 목에 해당하는 정보의 수집ㆍ작성ㆍ배포 가. 국외 및 북한에 관한 정보 다. 「형법」 중 내란의 죄, 외환의 죄, 「군형법」 중 반란의 죄, 암호 부정사용의 죄, 「군사기밀 보호법」에 규정된 죄에 관한 정보 라. 「국가보안법」에 규정된 죄와 관련되고 반국가단체와 연계되거나 연계가 의심되는 안보침해행위에 관한 정보
제1호 및 제2호의 직무수행에 관련된 조치로서 국가안보와 국익에 반하는 북한, 외국 및 외국인ㆍ외국단체ㆍ초국가행위자 또는 이와 연계된 내국인의 활동을 확인ㆍ견제ㆍ차단하고, 국민의 안전을 보호하기 위하여 취하는 대응조치
(2) 안보침해 범죄 및 활동 등에 관한 대응업무규정
제2조(정의) 이 영에서 사용하는 용어의 뜻은 다음과 같다.
“대응업무”란 국가정보원이 다음 각 목의 정보와 관련하여 「국가정보원법」(이하 “법”이라 한다) 제4조제1항제1호 각 목 외의 부분 및 같은 항 제3호에 따라 수행하는 직무활동을 말한다. 가. 법 제4조제1항제1호가목에 따른 정보 중 국가안보, 국익 또는 국민안전에 영향을 미칠 수 있는 모든 활동에 관한 정보 나. 법 제4조제1항제1호나목에 따른 정보 중 북한에 의하여 또는 북한과 연계하여 이루어지는 모든 활동에 관한 정보 다. 법 제4조제1항제1호다목 및 라목에 따른 정보
제3조(대응업무의 수행 원칙) 국가정보원은 국가안보와 국민안전을 위해 법령의 범위에서 사용가능한 인적 역량, 물적 수단 및 과학적ㆍ기술적 정보 등을 종합적으로 배분ㆍ활용하여 대응업무를 수행한다.
제4조(직무활동의 세부 범위) 국가정보원이 법 제4조제1항제3호에 따라 수행하는 직무활동의 세부 범위는 다음 각 호와 같다.
국가안보와 국익에 반하는 활동을 하는 북한, 외국 및 외국인ㆍ외국단체ㆍ초국가행위자 또는 이와 연계된 내국인(이하 “안보위해자”라 한다)을 발견ㆍ추적하는 활동
안보위해자에 대한 정보를 분석ㆍ검증하거나 해당 분석ㆍ검증 결과를 유관기관 및 국내외 관계기관 등에 배포ㆍ공유하는 활동
안보위해자에 대한 역이용(逆利用), 와해(瓦解) 또는 추방 등의 저지(沮止) 활동
안보위해자에 대한 행정 절차 및 사법 절차 등의 지원에 관한 활동
민의 생명ㆍ신체ㆍ재산을 침해하는 테러ㆍ피랍ㆍ사고 등을 예방하거나 피해 확산을 방지하기 위한 활동
제1호부터 제5호까지의 직무수행과 관련된 해외정보기관 또는 관련 국제기구와의 인력 및 정보 등의 상호 협력 활동
그 밖에 안보위해자에 대한 확인ㆍ견제ㆍ차단 및 국민안전 보호를 위한 대응조치로서 국가정보원장이 필요하다고 인정하는 업무
(3) 해외 입법사례
◎ 미국
외국세력에 의한 중대한 적대적 행위 등에 대해 대통령 승인으로 최대 1년간 물리적 수색 승인 가능(해외정보감시법)
무선감청 관련, 통신사가 수사기관의 감청 요청에 대해 협조해야 하는 의무를 부과, 비협조시 법원 명령으로 이행강제금 부과 가능(통신지원법)
◎ 영국
안보감청을 통해 수집한 자료는 테러 범죄 등 재판에서 예외적으로 증거능력 인정(수사권한법)
정보기관과 관련된 소송을 담당하는 별도의 조사권한법원(IPTI) 운영(수사권한법)
◎ 프랑스
CNCTR 검토 및 내무부 장관 승인하 국가안보범죄 혐의자의 컴퓨터 시스템에 접근하여 수색 가능(정보법)
◎ 독일
국가안보침해 범죄자의 경우 일반 형사범과 달리 특정 변호인의 접견권 제한 가능(형사소송법)
공격 수법 및 전술 (TTPs - Tactics, Techniques, and Procedures)
피해 현황 및 영향 (Impact Assessment)
위협 평가 및 분석 (Threat Assessment and Analysis)
대응 방안 및 권고 사항 (Countermeasures and Recommendations)
결론 (Conclusion)
중국 국적 해커 10명, 미국 및 국제 기관 대상 대규모 해킹 혐의로 기소
FBI가 공표한 주요 피의자 정보 영어본FBI가 공표한 주요 피의자 정보 중국어본
요약
2025년 3월 4일, 미국 법무부는 중국 국적 해커 10명이 미국 및 해외 기관을 대상으로 한 광범위한 해킹 작전에 가담한 혐의로 기소되었다고 발표했다. 피의자 10명 중 8명은 중국 정부의 지시에 따라 사이버 공격을 수행한 중국 기업 i-Soon의 직원이며, 나머지 2명은 해당 작전의 기반 시설을 관리하고 물류 지원을 제공한 것으로 밝혀졌다. 해당 기소 내용에 따르면, 피의자들은 2009년부터 2022년까지 항공, 국방, 교육, 정부, 헬스케어, 바이오제약 및 해양 산업을 포함한 다양한 분야에서 사이버 공격을 감행했다. 주요 범죄 행위로는 민감한 데이터 탈취, 지적 재산권 도용 및 기밀 비즈니스 정보 유출이 포함되며, 이는 피해 기관의 보안과 경쟁력을 심각하게 저해했다.
1. 서론 (Introduction)
2025년 3월 4일, 미국 법무부는 중국 정부의 지시에 따라 미국 및 국제 사회를 대상으로 대규모 사이버 해킹 작전을 수행한 중국 국적자 10명을 기소했다고 발표했다. 본 보고서는 해당 조직의 배후, 수법, 피해 규모 및 대응 방안을 분석하고, 한국의 국가 안보 및 사이버 보안 차원에서의 시사점을 제공하는 것을 목적으로 한다.
동기 및 목적
중국 공산당 (CCP)의 정치적 통제 강화
비판 세력 감시 및 탄압
전략적 기술 및 기밀 정보 탈취
경제적 우위 확보 (지적 재산권 및 사업 기밀 획득)
2. 상황 개요 (Situation Overview)
i-Soon 개요 및 활동Anxun Information Technology Co., Ltd. (上海安讯信息技术有限公司, 이하 i-Soon)는 상하이에 본사를 둔 소프트웨어 기업으로, 최소 2016년부터 중국 공안부(MPS) 및 국가안전부(MSS)를 위해 악의적 사이버 작전을 수행해 왔다. i-Soon은 미국 이메일 계정, 휴대전화 및 웹사이트에 침입해 데이터를 탈취하는 활동을 주된 사업으로 하고 있다.
아이순(i-Soon):
100명 이상의 조직원이 근무하며 중국 국가안전부(MSS) 및 공안부(MPS)와 긴밀히 협력
해킹 성공 시 한 건당 1만~7만5천 달러 수령
MSS와 MPS는 주요 지시 기관으로 작전 지휘 및 자금 지원
조직명: i-Soon (중국 기반 사이버 해킹 조직)
배후 기관: 중국 국가안전부(MSS), 중국 공안부(MPS)
활동 시기: 2009년 ~ 2022년
활동 지역: 미국 및 전 세계 주요 기관
공격 대상: 미국 국방부(DIA), 상무부, 뉴욕 주정부, 아시아 각국 외교부(한국 포함), 언론사, 비판 단체, 인권단체 등
피해 분야: 항공, 국방, 교육, 보건, 제약, 해운 등
3. 행위자 프로파일 (Actor Profile)
Images:
Known Locales:
Shanghai; Shenzhen; Chengdu; China; People’s Republic of China (PRC)
Aliases/Alternative Name Spellings:
Anxun Information Technology Co., Ltd.; i-Soon
Associated Individuals:
Wu Haibo; Chen Cheng; Ma Li; Wang Yan; Liang Guodong; Wang Zhe; Zhou Weiwei; Xu Liang; Wang Liyu; Sheng Jing
Associated Organizations:
Chengdu MSS; Chengdu MPS; Shenzhen MSS; Shenzhen MPS; Ministry of State Security; MSS; Ministry of Public Security; MPS; People’s Republic of China (PRC) Ministry of State Security; People’s Republic of China (PRC) Ministry of Public Security
핵심 인물
WU HAIBO (CEO, i-Soon 설립자, 핵심 설계자)
CHEN CHENG (COO, 해킹 작전 지휘자)
WANG YAN (침투 테스트 팀 리더)
WANG ZHE (영업 이사, 고객 확보 담당)
ZHOU WEIWEI (기술 연구 및 개발 책임자)
WANG LIYU (중국 공안부 청두 지부 요원)
SHENG JING (중국 공안부 선전 지부 요원)
이들은 조직적이고 체계적으로 미국 및 국제 사회의 주요 기관을 타깃으로 한 해킹 작전을 수행했으며, 성공적인 해킹 시 한 건당 1만~7만5천 달러의 수익을 올렸다.
심리 프로파일 (Behavioral Profile)
WU HAIBO (우하이보): 기술적 능력이 뛰어나며 조직 내 주요 설계자 역할을 수행. MSS 및 MPS의 신뢰를 받아 조직을 확장하며 막대한 금전적 이익을 얻음.
CHEN CHENG (첸 청): 팀 운영 및 지휘에 능하며, 중국 공산당의 정치적 이념에 대한 충성도가 높음.
WANG YAN (왕 옌): 침투 테스트 전문가로, 해외 목표물의 네트워크 취약점 식별과 신속한 침투 기법에 강점을 보임.
4. 공격 수법 및 전술 (TTPs)
피의자들은 VPN, 원격 접속 도구(AnyDesk), VoIP 기술 등을 이용해 미국 내에서 활동하는 것처럼 위장했다. 또한 링크드인을 활용해 취업 사기를 벌이거나 가짜 신원 정보를 생성해 실제 미국 기업에 원격 근무자로 취업한 것으로 밝혀졌다.
기술적 수단
VPN, AnyDesk 등 원격 접속 도구 활용
스피어 피싱(Spear Phishing)을 통한 초기 접근
Automated Penetration Testing Platform: 자동화된 취약점 탐색 플랫폼
Public Opinion Guidance and Control Platform (Overseas): 소셜미디어 계정 탈취 및 여론 조작
사회공학적 기법
피싱 메일 및 악성 링크를 통한 초기 접근
직원 사칭 및 신뢰 구축 후 민감 정보 유출
기업 이메일 계정을 통한 신뢰 기반 악성 파일 유포
IT 관리자 및 보안 담당자를 타겟으로 한 심리전 수행
5. 피해 현황 및 영향 (Impact Assessment)
미국 국방부(DIA) 및 상무부: 군사 정보 및 무역 기밀 유출
미국 언론사 및 인권 단체: 반(反)중국 활동 인물 및 단체 타깃화
한국 외교부 및 기업: 외교 기밀 및 경제 정보 탈취 시도
기술 산업: 인공지능, 양자과학, 원자력 등 첨단 산업 기술 정보 유출
6. 위협 평가 및 분석 (Threat Assessment and Analysis)
중국 정부의 국가 차원 조직적 공격으로, 단순 민간 해커 활동이 아닌 체계적인 산업 기밀 탈취 및 사이버 전쟁 형태로 전개
한국 역시 중국 정부의 표적이 된 만큼 주요 기관 및 민간 산업 분야의 보안 강화 필요
한국의 원자력, 인공지능(AI), 첨단 산업 기술 분야에 대한 중국의 지속적인 정보 탈취 시도 예상
7. 대응 방안 및 권고 사항 (Countermeasures and Recommendations)
보안 강화: 주요 기관 및 기업의 다중인증(MFA) 도입 및 강화
피싱 방지: 이메일 및 협업 플랫폼에서 첨부파일 및 링크 자동 검사 시스템 도입
위협 인텔리전스 강화: 중국발 해킹 시도 및 APT 활동에 대한 실시간 모니터링 체계 구축
정보 공유 체계: 미국, 일본 등 동맹국과의 협력 강화 및 사이버 보안 협의체 참여
긴급 대응 시스템 도입: 유사 사건 발생 시 신속한 탐지, 대응 및 복구 시스템 마련
권고 사항:
한국 내 주요 기관과 기업은 해당 해킹 기법에 대한 적극적인 대응책 마련
국가적 차원의 사이버 방어 시스템 고도화 및 위협 인텔리전스 체계 강화
중국발 APT 조직에 대한 지속적 감시 및 우방국과의 공조 강화
8. 결론 (Conclusion)
본 사건은 중국 정부의 조직적 해킹 작전으로 국가 안보 및 경제 안보에 중대한 위협을 초래하는 사안이다. 민간 기업인 i-Soon을 통해정보 수집,여론 조작,경제적 우위 확보를 동시에 진행한 것으로 분석된다. 이번 사건은 단순한 개인의 사이버 범죄가 아닌국가 차원의 공세적 작전이라는 점에서 심각성이 매우 크다. 한국의 주요 기관 및 기업이 표적이 될 가능성이 높은 만큼, 지속적인 모니터링과 정보 공유를 통한 적극적 대응이 요구된다.
미국 정부 대응 및 향후 조치 미국 국무부의 '정의에 대한 보상(Rewards for Justice)' 프로그램은 외국 정부의 지시에 따라 미국 주요 인프라에 악의적인 사이버 활동을 수행한 인물의 신원 확인이나 위치 파악에 결정적 제보를 제공하는 경우 최대 1,000만 달러의 포상금을 지급한다고 발표했다.
i-Soon에 대한 정보 또는 관련 인물에 대한 제보는 Tor 기반의 비밀 제보 채널을 통해 'Rewards for Justice'에 제공할 수 있다: he5dybnt7sr6cm32xt77pazmtm65flqy6irivtflruqfc5ep7eiodiad.onion (Tor 브라우저 필요)
오픈AI가 북한의 계정을 삭제했는데, 이는 해당 국가들이 챗GPT를 이용해 여론 조작 및 사기 행위를 저질렀기 때문이다.
북한은 허위 이력서를 만들어 해외 취업 사기를 시도했다.
오픈AI는 자사 기술의 악용을 방지하고 권위주의 정권의 부당한 행위를 막기 위해 AI 기반 조사 기능을 활용하고 있다고 밝혔다.
북한 연계 사이버 위협 – AI 활용 위장취업 전략 분석
출처: OpenAI 내부 보고서 (2025년 2월) 작성일: 2025년 2월 11일
이미지 출처 : S2W https://s2w.inc/ko/news/detail/336
1. 개요
최근 OpenAI는 인공지능(AI) 모델을 악용한 북한 연계 위장취업(Deceptive Employment Scheme) 활동을 탐지하고 차단하는 조치를 시행했다. 해당 활동은 북한 IT 인력이 미국 및 서방 기업에 위장 취업하여 불법적으로 외화를 조달하는 방식과 일치하며, Microsoft 및 Google이 앞서 발표한 북한 IT 위장취업 작전과 유사한 패턴을 보인다.
이 조직은 VPN, 원격 접속 도구(AnyDesk), VoIP 전화망을 활용하여 미국 내에서 활동하는 것처럼 위장하며, LinkedIn 등 구인·구직 플랫폼을 활용해 신분을 속이고 취업 과정을 조작하는 것으로 확인됐다.
2. 주요 위협 요소 및 분석
(1) 공격자 행위
다수의 계정을 활용하여 서방 기업 취업을 위한 문서(이력서, 자기소개서 등)를 생성.
가상의 지원자 프로필을 작성하여 채용 과정을 조작.
허위 추천인을 만들어 기업의 신원 확인 절차를 우회.
AI 모델을 활용하여 기술 면접에서 신뢰할 수 있는 응답을 생성.
채용 이후 회사 시스템에 원격 접속하여 보안 위협을 초래.
AI를 활용하여 사이버 방어 회피 전략(비디오 회피, 접근 국가 위장 등) 생성.
(2) 공격 기법
구분공격 방식세부 내용
1단계
신원 위조
- 가짜 이력서, 온라인 프로필 생성 - AI 활용하여 맞춤형 채용 서류 작성
2단계
추천인 위장
- 허위 추천인 설정 및 추천서 생성 - 실제 직원과 연결된 것처럼 보이도록 AI 활용
3단계
채용 프로세스 조작
- AI로 면접 질문에 대한 응답 자동 생성 - 신원 확인 과정에서 조작된 서류 제출
4단계
업무 수행 위장
- 채용 후 AI를 이용하여 업무 수행 - 보안 정책을 우회하기 위한 전략 설계
5단계
기업 내부 침투
- 회사 시스템 원격 접속 및 기업 내부 데이터 접근 - 북한 정권을 위한 정보 탈취 및 자금 유입
3. 활용된 기술 및 전술(TTPs)
AI 기반 문서 생성: 맞춤형 이력서, 자기소개서, 추천서 자동 생성
AI 기반 면접 응답: 기술적·행동적 질문에 신뢰성 높은 응답 자동 생성
소셜 엔지니어링: LinkedIn 등 SNS에서 실제 기업 관계자를 속여 추천 유도
보안 정책 우회: 원격 접속 시도, VPN 활용, 접속 국가 위장
기업 보안 침투: 내부 시스템 접근 후 보안 위협 조성
4. 파급 효과 및 위협 평가
(1) 국가 안보 및 산업 영향
서방 IT·방산·금융 기업의 보안 위협 증가
북한 IT 인력의 취업 성공 시, 기업 내부 시스템 침투 및 정보 탈취 가능성 증가
미국 및 우방국 내 주요 기술·보안 인프라 위협
북한의 불법 외화 조달 활동 지속
북한 IT 노동자들은 연간 최대 30만 달러를 벌어들이며, 조직적으로 3백만 달러 이상 송금 가능
미 국무부가 북한 IT 노동자 관련 정보 제공 시 최대 500만 달러 포상금 지급
(2) 기존 탐지 시스템 회피 가능성
AI 기술을 활용한 채용 문서 생성 및 면접 응답으로 기존의 신원 확인 시스템을 효과적으로 우회
VPN 및 원격 접속 도구 활용으로 IP 기반 보안 모니터링 우회
기존 보안 솔루션으로 탐지 어려운 소셜 엔지니어링 기법 활용 증가
5. 대응 방안 및 권고 사항
(1) 보안 기관 및 기업 대상 권고
✅ AI 기반 신원 확인 기술 도입:
AI 및 머신러닝을 활용한 신규 채용자 신원 검증 프로세스 강화
의심 계정 및 활동 패턴 탐지 알고리즘 도입
✅ 기업 내부 보안 교육 강화:
IT·방산·금융 부문 대상 사이버 보안 교육 및 위협 인텔리전스 공유 확대
채용 프로세스에서 가짜 추천인 및 허위 정보 판별 시스템 구축
✅ 사이버 방어 체계 강화:
VPN 및 원격 접속 도구 사용 모니터링 강화
북한 IT 인력의 취업 시도를 사전 차단하기 위한 국제 공조 강화
6. 결론
이번 OpenAI 보고서를 통해 북한 연계 사이버 위협 그룹이 AI를 활용하여 위장 취업을 시도하고 있음이 확인됨.
AI 기반 이력서·추천서 위조, 면접 조작, 업무 수행 위장, 기업 내부 침투 전략이 조직적으로 운영됨.
북한 IT 노동자들의 활동이 서방 IT, 방산, 금융 분야로 확대되고 있으며, 연간 수백만 달러의 외화 조달이 이루어지고 있음.
미 국무부 및 법무부는 북한 IT 노동자 고용 차단을 위한 국제 공조 및 포상금 지급 제도 시행 중.
따라서 한국 정부 및 방산·IT 기업들은 채용 보안 프로세스를 강화하고, AI 기반 위장취업 탐지 기술을 도입하는 것이 필수적이다.
원문
February 2025
Disrupting malicious uses of our models: an update
February 2025
Deceptive Employment Scheme
Our mission is to ensure that artificial general intelligence benefits all of humanity. We advance this mission by deploying our innovations to build AI tools that help people solve really hard problems.
As we laid out in our Economic Blueprint in January, we believe that making sure AI benefits the most people possible means enabling AI through common-sense rules aimed at protecting people from actual harms, and building democratic AI. This includes preventing use of AI tools by authoritarian regimes to amass power and control their citizens, or to threaten or coerce other states; as well as activities such as child exploitation, covert influence operations (IOs), scams, spam, and malicious cyber activity. The AI-powered investigative capabilities that flow from OpenAI’s innovations provide valuable tools to help protect democratic AI against the measures of adversarial authoritarian regimes.
It has now been a year since OpenAI became the first AI research lab to publish reports on our disruptions in an effort to support broader efforts by U.S. and allied governments, industry partners, and other stakeholders, to prevent abuse by adversaries and other malicious actors. This latest report outlines some of the trends and features of our AI-powered work, together with case studies that highlight the types of threats we’ve disrupted.
Threat actors using AI and other technologies to support deceptive hiring attempts
Actor
We banned a number of accounts that were potentially used to facilitate a deceptive employment scheme. The activity we observed is consistent with the tactics, techniques and procedures (TTPs) Microsoft and Google attributed to an IT worker scheme potentially Disrupting malicious uses of our models: an update February 2025 10 connected to North Korea. While we cannot determine the locations or nationalities of the actors, the activity we disrupted shared characteristics publicly reported in relation to North Korean state efforts to funnel income through deceptive hiring schemes, where individuals fraudulently obtain positions at Western companies to support the regime’s financial network.
Behavior
The various accounts used our models to generate content seemingly targeting each step of the recruitment process with different deceptive practices, all designed to be mutually supporting (see “Completions”, below).
The actors used virtual private networks (VPNs), remote access tools such as AnyDesk, and voice over IP (VOIP) phones largely appearing to be located in the United States. While our visibility into the ways these actors distributed their content is limited, we identified content posted to LinkedIn.
Completions
One main set of content generated by these actors consisted of personal documentation for the fictitious “job applicants”, such as resumés, online job profiles and cover letters. These resumés and profiles were frequently tailored to a specific job listing to increase the chances of appearing as a well qualified candidate. A second set consisted of creating “support”
personas which were used to provide reference checks for the “job applicants” and refer them for employment opportunities.
In parallel, the operators crafted social media posts to recruit real people to support their schemes. These included, for example, individuals willing to receive and host laptops from their home or lend their identities to the scheme to enable the applicants to pass background checks.
Disrupting malicious uses of our models: an update February 2025 11 Finally, the “job applicant” personas appear to have used our models in interviews to generate plausible responses to technical and behavioral questions. However, we did not observe them using our speech-to-speech tools.
After appearing to gain employment they used our models to perform job-related tasks like writing code, troubleshooting and messaging with coworkers. They also used our models to devise cover stories to explain unusual behaviors such as avoiding video calls, accessing corporate systems from unauthorized countries or working irregular hours.
Example of content this actor used our models to generate before then posting to a social networking site, with
the apparent aim of recruiting U.S. citizens into unknowingly supporting their scheme. Disrupting malicious uses of our models: an update February 2025 12Impact Given our visibility into only a small portion of this overall set of activity, assessing its impact would require inputs from multiple stakeholders.
OpenAI's policies strictly prohibit use of output from our tools for fraud or scams. Through our investigation into deceptive employment schemes, we identified and banned dozens of accounts. We have shared insights about the fraudulent networks we disrupted with industry peers and relevant authorities, enhancing our collective ability to detect, prevent, and respond to such threats while advancing our shared safety.
북한과 연계된 사이버 공격 조직들은 한국 정부, 언론, 방위산업체, 북한 인권단체, 탈북민 단체 등을 주요 목표로 지속적인 해킹 작전을 수행하고 있다. APT37 (일명 ScarCruft), Kimsuky, Lazarus 등 북한 정부의 지원을 받는 해킹 그룹이 악성코드 배포, 피싱 공격, 제로데이(0-day) 취약점 악용 등 고도화된 공격 기법을 활용하고 있다.
특히 2023년 이후 APT37이 안드로이드 스파이웨어 RambleOn과 ROKRAT을 이용한 모바일 기반 감시 작전을 확장하고 있으며, Kimsuky 그룹은 한국의 정부 기관과 연구소를 대상으로 장기간 정보 탈취 활동을 수행 중이다.
2. 주요 공격 기법 및 전략
(1) 악성 문서 및 이메일 피싱
APT37과 Kimsuky 그룹은 MS Word 문서(.docx), LNK 바로가기 파일, ZIP 압축 파일 등에 악성코드를 삽입하여 타깃을 감염시키고 있음.
한국 정부, 국방 관련 연구소, 북한 인권단체를 대상으로 한 스피어 피싱 공격이 증가하고 있음.
북한과 관련된 정치적 사건(한미연합훈련, 제재 강화 등)에 대한 문서로 위장하여 공격을 수행함.
(2) 안드로이드 및 윈도우 기반 스파이웨어
APT37이 배포한 RambleOn 및 ROKRAT 스파이웨어가 안드로이드 사용자들을 감염시키고 있음.
SMS 탈취, 통화 녹음, 위치 추적, 키 입력 기록 등의 기능을 활용하여 한국 내 주요 인사의 정보를 수집.
Windows 환경에서도 기존의 PowerShell 기반 백도어와 함께 C2(Command & Control) 서버를 이용한 장기적인 침투 작전이 진행됨.
(3) 공급망(Supply Chain) 공격
북한 연계 APT 그룹들은 한국의 방산 및 연구기관 내부 네트워크를 직접 공격하는 대신, 협력업체 및 공급망을 통해 우회 공격을 시도함.
최근에는 한국 내 보안 취약점을 이용하여 개발된 소프트웨어 업데이트 과정에서 악성코드를 삽입하는 공급망 공격 기법이 증가하고 있음.
(4) 크립토재킹 및 금융 해킹
Lazarus 그룹은 가상화폐 거래소 및 금융 기관을 대상으로 사이버 공격을 수행, 암호화폐 탈취 및 불법 자금 세탁을 지속하고 있음.
IT 아웃소싱을 통해 북한 IT 노동자가 해외에서 위장 취업하여 가상화폐 거래와 금융 해킹을 수행하는 정황이 포착됨.
3. 주요 표적 및 피해 사례
(1) 한국 정부 및 국방 관련 기관
국방 연구소, 안보 기관을 대상으로 한 피싱 및 악성코드 감염 사례 증가.
최신 무기 개발 자료 및 군사 작전 관련 문건이 주요 해킹 대상.
(2) 북한 인권단체 및 탈북민 관련 조직
북한 인권단체에 대한 지속적인 해킹 시도와 감시 작전 수행.
탈북민 및 북한 인권 운동가를 대상으로 악성코드가 포함된 피싱 이메일 유포.
(3) 언론 및 학술 연구 기관
한반도 문제를 연구하는 국내외 싱크탱크 및 연구기관이 주요 해킹 표적이 되고 있음.
언론사 내부 네트워크에 침투하여 북한 관련 보도 자료 및 내부 정보 탈취.
4. 향후 전망 및 대응 방안
(1) 예상되는 위협
APT37과 Kimsuky의 활동이 더욱 정교화되며, AI 및 딥페이크 기술을 활용한 해킹 시도가 증가할 가능성 있음.
한국의 주요 방산·군사 기밀을 확보하려는 사이버 작전이 지속될 전망.
다크웹 및 가상화폐를 활용한 북한의 사이버 금융 범죄가 더욱 활발해질 가능성이 있음.
(2) 대응 방안
국방·정부 기관 대상 보안 강화:
북한의 공급망 공격(Supply Chain Attack) 차단을 위한 보안 점검 강화.
악성코드 탐지 및 위협 인텔리전스 공유 확대.
모바일 및 원격 근무 환경 보안 강화:
안드로이드 및 윈도우 기반 스파이웨어 차단 솔루션 도입.
피싱 및 스피어 피싱 방지를 위한 보안 교육 강화.
금융 및 가상자산 보안 대응 강화:
암호화폐 거래소 및 금융 기관과 협력하여 가상화폐 해킹 대응 체계 구축.
다크웹에서 활동하는 북한 해킹 그룹에 대한 실시간 추적 및 모니터링 강화.
5. 결론
APT37, Kimsuky, Lazarus 등 북한 연계 해킹 그룹들은 한국 정부, 국방 산업, 연구 기관, 인권 단체, 금융 기관을 주요 표적으로 지속적인 사이버 공격을 수행하고 있다.
특히 안드로이드 스파이웨어, 피싱 공격, 공급망 해킹, 가상화폐 탈취 등을 결합한 복합적 사이버 작전이 강화되고 있어, 이에 대한 체계적인 대응이 필요하다. 한국 및 우방국과의 공조를 통해 북한의 사이버 위협을 무력화하는 전략적 접근이 요구된다.
출처:0x0v1 Threat Intelligence
RightsCon 2025: Unveiling North Korea’s cyber threats: safeguarding human rights
BBC 월드서비스 10부작 팟캐스트 '라자루스 사기 사건(The Lazarus Heist)
1. 사건의 개요
미국 법무부는 북한 IT 노동자들이 미국 시민으로 위장 하여 불법으로 취업한 사건으로 시작되었으며 이와 관련하여 미국인 1명과 외국 국적자(우크라이나 포함)하여 총 5명을 기소하였다고 발표하였다. 본 사건은 북한이 미국의 금융 및 고용시스템을 악용하여 불법적으로 핵 미사일 프로그램 자금을 조달 하였던 대표적인 사례라고 할 수 있으며 2020년 10월 부터 2023년 동안 최소 680만 달러(약 90억원)의 범죄 수익금을 취득하여 북한 정부에 송금한 사실에 대해서 미국 정부는 강력한 법적 조치와 국제 공조를 통해서 북한의 금융 차단 정책을 지속 강화할 방침이라고 밝혔다.
출처: 대한민국 외교부
2. 주요 사실관계
미국의 애리조나 주 리치필드 파크의 거주자 중 1명인 크리스티나 마리 채프먼은 북한의 IT 노동자들을 대상으로 북한의 IT 노동자들이 미국 기업에서 원격으로 근무하는 것 처럼 위장한 형태의 이른바 '랩톱 농장(laptop farm)'을 운영하였으며 이외에도 미국 내 대기업과 정부기관을 포함에 300여개 이상의 기업에 취업하도록 지원하였다. 이를 통하여 북한 노동자들은 총 1,710만 달러(한화 228억원) 이상의 금전적인 수익을 취하였고 일부 북한 IT의 노동자는 기업에서 기밀자료를 탈취하고 북한 IT 노동자들이 탈취한 기밀자료를 빌미로 이른바 데이터 인질극을 벌여 기업으로 부터 금전적인 이득을 취하는 행위를 지속적으로 하였고 수익금의 대부분은 북한 정부로 이송되었다. 이에 미국 연방 지방법원은 혐의자 마리 채프먼및 북한의 IT 노동자들을 전산 사기 공모 및 신원 도용, 자금 세탁 혐의로 기소 하였으며 2025년 6월 16일 선고를 앞두고 있다.
3. 주요 혐의자 및 기소대상
성명
국적
혐의
기소 결과
크리스티나 마리 채프먼 (Christina Marie Chapman)
미국(애리조나주)
북한 IT 노동자의 미국 내 취업 지원, 신원 도용, 자금 세탁
최대 징역 97.5년
올렉산드르 디덴코(Oleksandr Didenko)
우크라이나(키이우)
IT 구직 플랫폼에서 미국인 신원 위조 계정 판매
최대 징역 67.5년
한지호(Jiho Han)
북한
IT노동자로 미국 기업 취업 후 수익 창출
최대 징역 20년
진춘지 (Chunji Jin)
북한
IT 노동자로 미국 기업 취업 후 수익 창출
최대 징역 20년
쉬하오란 (Haoran Xu)
북한
IT 노동자로 미국 기업 취업 후 수익 창출
최대 징역 20년
4. 주요 혐의 내용
ⓛ 신원 도용 및 서류 조작(공문서 위조) : IT 노동자 들이 미국 시민 70명 이상의 신원을 도용하여 실리콘 벨리 기술 기업, 항공우주 및 방산 회사, 자동차 회사 및 제조사, 대형 미디어사 등 해당 원격 직무에 지원할 수 있도록 하였으며 원격 근무 직책을 확보하고 미 국토안보부(DHS)와 미 국세청(IRS) , 미 사회보장국(SSA)에 허위 보고 및 허위 문서를 제출하였다.
이는 미국의 공문서 위조 법률과 위장 취업에 관한 법률, 전신사기에 대한 법률을 위반하는 행위에 해당한다. 공문서 위조의 경우 신원도용 및 사기에 관한 법률로 최대 15년형이 선고 될 수 있으며 이외에도 전신사기(최대 20년형), 이민법 및 노동법 위반으로 민사 벌금과 더불에 강제 추방까지 처벌 할 수 있다.
② 랩톱 농장의 운영(위장 취업) : 미국의 기업들이 북한 IT 노동자들에게 제공한 업무용 노트북을 수거하고 관리하였는데 이는 미국에서 북한 IT 노동자들이 실제로 미국에서 근무하는 것 처럼 위장하는 역할을 수행하였고 실근무자는 중국, 러시아, 라오스 등 북한 정권에 대해서 우호적인 국가에 위치하고 있었다. 이는 미국 연방법률에서 규정하고 있는 컴퓨터 사기 및 남용 행위에 해당한다. 또한 미국의 불법 취업 금지 법률에 따라서 기업이 허위 서류를 제출한 외국인을 고용하는 경우에도 처벌받을 수 있으며 경우에 따라서 사업 면허 취소가 될 수 있다.
③ 불법 취업 지원 및 수익 취득 : 북한 노동자들은 대부분 미국의 대기업 및 정부기관에 근무하고 있었으며 미국 경제전문지 포춘이 매년 발표하는 미국 최대기업 500개의 순위를 나타내는 500대 기업을 포함한 다수의 기업이 피해를 입었다. 또한 여기서 얻은 범죄 수익의 대부분은 북한 정부로 송금되었으며 이에 대하여 미국의 돈세탁 방지법과 불법 수익 거래에 관한 법률로 처벌 받을 수 있다.
이 북한의 IT 노동자들의 대다수는 북한의 유엔 금지 핵 및 탄도 미사일 프로그램, 고급 재래식 무기 개발 및 무역 분야에 관여하는 기관의 하급 직원으로, 북한의 군수 산업 부서, 원자력 산업 부, 국방부, 그리고 조선인민군을 위해 일하고 있습니다.
5. 북한 IT 노동자들의 적용 법률
위반 법륭
내용
적용
Wire Fraud (전신 사기, 18 U.S.C. § 1343)
이메일, 온라인을 통한 허위 정보 제공
북한 IT 노동자들이 미국 시민으로 위장하여 취업
Identity Theft (신원 도용, 18 U.S.C. § 1028)
타인의 신분 정보 도용
도용한 SSN과 여권 정보를 사용해 원격 근무
Money Laundering (돈세탁, 18 U.S.C. § 1956)
불법 수익을 해외로 송금
북한 노동자 수익을 김정은 정권으로 송금
Immigration Fraud (이민 사기, 8 U.S.C. § 1324c)
불법 체류자의 위조 서류 사용
미국 취업 비자 없이 원격 근무
Unauthorized Employment (불법 취업, 8 U.S.C. § 1324a)
불법 취업 중개
북한 IT 노동자를 미국 회사에 소개한 중개자 기소
6. 관련 법률
(1) 신원 도용 및 사기 관련 법률
18 U.S. Code § 1028 - 신분 도용 및 문서 위조(Fraud and related activity in connection with identification documents, authentication features, and information)
위조된 신분증(운전면허증, 여권 등) 또는 신원 정보를 사용하여 취업하는 행위
처벌: 최대 15년 형 및 벌금
18 U.S. Code § 1343 - 전신 사기(Wire Fraud)
이메일, 전화, 온라인 등을 이용해 허위 정보를 제공하여 불법적으로 이익을 취하는 행위
처벌: 최대 20년 형 (금융기관을 대상으로 한 경우 30년 형 가능)
18 U.S. Code § 1341 - 우편 사기(Mail Fraud)
우편을 이용하여 허위 취업 서류를 송부하는 행위
처벌: 최대 20년 형
18 U.S. Code § 1030 - 컴퓨터 사기 및 남용(Computer Fraud and Abuse Act, CFAA)
허위 신분으로 취업 후 회사 네트워크에 불법 접근하여 기밀 정보 유출
처벌: 최대 10년 형 및 벌금
(2) 이민법 및 노동법 위반
8 U.S. Code § 1324c - 서류 위조 및 불법 노동(Document Fraud and Unauthorized Employment)
취업을 위해 허위 비자, 노동 허가증, 사회보장번호(SSN) 등을 사용하는 행위
처벌: 민사 벌금 + 강제 추방(외국인의 경우)
8 U.S. Code § 1324a - 불법 취업 금지(Employment of Unauthorized Aliens)
미국 기업이 허위 서류를 제출한 외국인을 고용하는 경우에도 처벌
처벌: 최대 $16,000 벌금 + 사업 면허 취소 가능
Immigration and Nationality Act (INA) § 274A - 불법 취업 및 고용주 책임
고용주가 직원의 신원 및 취업 허가를 검증하지 않고 고용하는 경우 처벌
처벌: 1차 위반 시 최대 $2,500, 재범 시 최대 $25,000 벌금
(3) 돈세탁 및 금융사기
18 U.S. Code § 1956 - 돈세탁 방지법(Money Laundering Control Act)
위장 취업을 통해 획득한 불법 수익을 해외로 송금하는 행위
처벌: 최대 20년 형 및 벌금 $500,000 또는 범죄 수익의 2배 중 큰 금액
18 U.S. Code § 1957 - 불법 수익 거래(Engaging in Monetary Transactions in Property Derived from Specified Unlawful Activity)
불법적인 방법으로 벌어들인 돈을 미국 내에서 거래하는 경우
처벌: 최대 10년 형
7. 미국 정부의 대응
미 법무부는 역대 최고 규모의 북한 IT 노동자 사기 사건으로 기소하였으며 미 연방수사국(FBI)는 북한 IT노동자들에 대하여 경고문을 발송하였으며 국무부는 Reward for Jusice라는 프로그램을 통해 북한 IT 노동자들의 정보를 제보 및 신고할 경우 해당 사항에 대하여 최대 500만 달러(약 66억원)을 지급할 것이라고 발표했다. 또한 우크라이나 국적자 올렉산드르 디덴코는 폴란드에서 체포되어 미국으로 송환을 추진하고 있으며 북한 IT 노동자들이 활동하고 있었던 중국 및 러시아 기반의 'Yanbian Silverstar' 및 'Volasys Silverstar' 추가 제재를 검토하기로 하였다. 이를 통하여 국제 공조 및 추가 제재와 법적 조치가 가해졌음을 알 수 있다.
8. 결론 및 시사점
북한 IT 노동자들은 단순히 외화벌이 수단이 아닌 북한의 군수 산업과 핵 미사일 개발을 직접 지원하는 수익원으로 활용한 사실을 알 수 있으며 이는 군사적 목적으로 국제적인 분쟁을 초래할 수 있다. 또한 북한 정권은 북한 IT 노동자들에 의해 미국 내의 기업 비밀 자료를 탈취하여 금전적 협박 및 사이버 공격의 수행가능성이 존재한다는 것을 확인할 수 있으며 이에 미국 정부 및 국제 사회는 북한 IT 노동자들의 불법 취업 및 악용사례를 차단하기 위해서 지속적인 감시와 단속의 필요성을 이야기 할 수 있다. 향후 북한 IT 노동자들은 기존의 중국 및 러시아 외에도 새로운 국가를 거점으로 활동할 가능성 또한 존재한다. 대한민국의 경우에도 북한 IT 노동자들의 국내 진출 가능성을 국가안보 위협으로 간주하고 북한 IT 노동자들의 국내 진출 가능성을 확인하여 면밀하게 주시하고 감시해야할 필요성이 있다고 할 수 있을 것이다.
이들 개인, 연변 실버스타, 볼라시스 실버스타, 관련된 개인, 기관 또는 활동에 대한 정보를 가지고 있는 누구든지 정의에 대한 보상 또는 대한민국 경찰(112), 국가정보원(111)등에 제보할 것을 권장합니다. Tor 기반의 신고 채널 및 국가정보원 홈페이지를 통해 가능합니다: he5dybnt7sr6cm32xt77pazmtm65flqy6irivtflruqfc5ep7eiodiad.onion (Tor 브라우저 필요).
9. Original Article
Location :
• 북한 • 러시아, 블라디보스토크 • 중국 길림성 연지시, 연지 개발구 과학기술 산업단지 2동, 213-214호, 창바이산 동로 20998B-26번지 • 중국 길림성 연지시, 창바이산 동로 20998B-26호, 133000, 중화인민공화국
공개된 생년월일 정보
정성화 (Jong Song Hwa) – 1970년 2월 5일; 리경식 (Ri Kyong Sik) – 1973년 12월 4일; 김류성 (Kim Ryu Song) – 1982년 11월 6일; 림은철 (Rim Un Chol) – 1990년 1월 8일; 김무림 (Kim Mu Rim) – 1987년 6월 28일; 조충범 (Cho Chung Pom) – 1992년 1월 20일; 현철성 (Hyon Chol Song) – 1991년 2월 1일; 손은철 (Son Un Chol) – 1991년 1월 29일; 석광혁 (Sok Kwang Hyok) – 1985년 11월 17일; 최정용 (Choe Jong Yong) – 1998년 7월 28일; 고충석 (Ko Chung Sok) – 1987년 4월 22일; 김예원 (Kim Ye Won) – 1994년 7월 30일; 정경철 (Jong Kyong Chol) – 1987년 11월 2일; 장철명 (Jang Chol Myong) – 1993년 6월 23일
• 베이비박스 테크놀로지 • 차이나 실버 스타 • 차이나 실버 스타 인터넷 기술 회사 • 큐빅스 테크 • 에덴 프로그래밍 솔루션 • 헬릭스 • LJD 테크 • 실버 스타 차이나 • 실버 스타 인터넷 기술 회사 • 은성 인터넷 기술 회사 • 볼라시스 실버 스타 네트워크 테크놀로지 주식회사 • 연변 실버스타 • 연변 실버스타 네트워크 테크놀로지 주식회사 (延边银星网络科技有限公司) • 연지 실버 스타 네트워크 테크놀로지 주식회사
보호되어 있는 글입니다. 내용을 보시려면 비밀번호를 입력하세요.
