요약

• 오픈AI가 북한의 계정을 삭제했는데, 이는 해당 국가들이 챗GPT를 이용해 여론 조작 및 사기 행위를 저질렀기 때문이다.
• 북한은 허위 이력서를 만들어 해외 취업 사기를 시도했다.
• 오픈AI는 자사 기술의 악용을 방지하고 권위주의 정권의 부당한 행위를 막기 위해 AI 기반 조사 기능을 활용하고 있다고 밝혔다.

북한 연계 사이버 위협 – AI 활용 위장취업 전략 분석

출처: OpenAI 내부 보고서 (2025년 2월)
작성일: 2025년 2월 11일

1. 개요

최근 OpenAI는 인공지능(AI) 모델을 악용한 북한 연계 위장취업(Deceptive Employment Scheme) 활동을 탐지하고 차단하는 조치를 시행했다. 해당 활동은 북한 IT 인력이 미국 및 서방 기업에 위장 취업하여 불법적으로 외화를 조달하는 방식과 일치하며, Microsoft 및 Google이 앞서 발표한 북한 IT 위장취업 작전과 유사한 패턴을 보인다.

이 조직은 VPN, 원격 접속 도구(AnyDesk), VoIP 전화망을 활용하여 미국 내에서 활동하는 것처럼 위장하며, LinkedIn 등 구인·구직 플랫폼을 활용해 신분을 속이고 취업 과정을 조작하는 것으로 확인됐다.

2. 주요 위협 요소 및 분석

(1) 공격자 행위

• 다수의 계정을 활용하여 서방 기업 취업을 위한 문서(이력서, 자기소개서 등)를 생성.
• 가상의 지원자 프로필을 작성하여 채용 과정을 조작.
• 허위 추천인을 만들어 기업의 신원 확인 절차를 우회.
• AI 모델을 활용하여 기술 면접에서 신뢰할 수 있는 응답을 생성.
• 채용 이후 회사 시스템에 원격 접속하여 보안 위협을 초래.
• AI를 활용하여 사이버 방어 회피 전략(비디오 회피, 접근 국가 위장 등) 생성.

(2) 공격 기법

구분공격 방식세부 내용

3. 활용된 기술 및 전술(TTPs)

• AI 기반 문서 생성: 맞춤형 이력서, 자기소개서, 추천서 자동 생성
• AI 기반 면접 응답: 기술적·행동적 질문에 신뢰성 높은 응답 자동 생성
• 소셜 엔지니어링: LinkedIn 등 SNS에서 실제 기업 관계자를 속여 추천 유도
• 보안 정책 우회: 원격 접속 시도, VPN 활용, 접속 국가 위장
• 기업 보안 침투: 내부 시스템 접근 후 보안 위협 조성

4. 파급 효과 및 위협 평가

(1) 국가 안보 및 산업 영향

• 서방 IT·방산·금융 기업의 보안 위협 증가
  • 북한 IT 인력의 취업 성공 시, 기업 내부 시스템 침투 및 정보 탈취 가능성 증가
  • 미국 및 우방국 내 주요 기술·보안 인프라 위협
• 북한의 불법 외화 조달 활동 지속
  • 북한 IT 노동자들은 연간 최대 30만 달러를 벌어들이며, 조직적으로 3백만 달러 이상 송금 가능
  • 미 국무부가 북한 IT 노동자 관련 정보 제공 시 최대 500만 달러 포상금 지급

(2) 기존 탐지 시스템 회피 가능성

• AI 기술을 활용한 채용 문서 생성 및 면접 응답으로 기존의 신원 확인 시스템을 효과적으로 우회
• VPN 및 원격 접속 도구 활용으로 IP 기반 보안 모니터링 우회
• 기존 보안 솔루션으로 탐지 어려운 소셜 엔지니어링 기법 활용 증가

5. 대응 방안 및 권고 사항

(1) 보안 기관 및 기업 대상 권고

✅ AI 기반 신원 확인 기술 도입:

• AI 및 머신러닝을 활용한 신규 채용자 신원 검증 프로세스 강화
• 의심 계정 및 활동 패턴 탐지 알고리즘 도입

✅ 기업 내부 보안 교육 강화:

• IT·방산·금융 부문 대상 사이버 보안 교육 및 위협 인텔리전스 공유 확대
• 채용 프로세스에서 가짜 추천인 및 허위 정보 판별 시스템 구축

✅ 사이버 방어 체계 강화:

• VPN 및 원격 접속 도구 사용 모니터링 강화
• 북한 IT 인력의 취업 시도를 사전 차단하기 위한 국제 공조 강화

6. 결론

이번 OpenAI 보고서를 통해 북한 연계 사이버 위협 그룹이 AI를 활용하여 위장 취업을 시도하고 있음이 확인됨.

• AI 기반 이력서·추천서 위조, 면접 조작, 업무 수행 위장, 기업 내부 침투 전략이 조직적으로 운영됨.
• 북한 IT 노동자들의 활동이 서방 IT, 방산, 금융 분야로 확대되고 있으며, 연간 수백만 달러의 외화 조달이 이루어지고 있음.
• 미 국무부 및 법무부는 북한 IT 노동자 고용 차단을 위한 국제 공조 및 포상금 지급 제도 시행 중.

따라서 한국 정부 및 방산·IT 기업들은 채용 보안 프로세스를 강화하고, AI 기반 위장취업 탐지 기술을 도입하는 것이 필수적이다.

원문

February 2025

Disrupting malicious uses of our models: an update

February 2025

Deceptive Employment Scheme

Our mission is to ensure that artificial general intelligence benefits all of humanity. We advance this mission by deploying our innovations to build AI tools that help people solve really hard problems.

As we laid out in our Economic Blueprint in January, we believe that making sure AI benefits the most people possible means enabling AI through common-sense rules aimed at protecting people from actual harms, and building democratic AI. This includes preventing use of AI tools by authoritarian regimes to amass power and control their citizens, or to threaten or coerce other states; as well as activities such as child exploitation, covert influence operations (IOs), scams, spam, and malicious cyber activity. The AI-powered investigative capabilities that flow from OpenAI’s innovations provide valuable tools to help protect democratic AI against the measures of adversarial authoritarian regimes.

It has now been a year since OpenAI became the first AI research lab to publish reports on our disruptions in an effort to support broader efforts by U.S. and allied governments, industry partners, and other stakeholders, to prevent abuse by adversaries and other malicious actors. This latest report outlines some of the trends and features of our AI-powered work, together with case studies that highlight the types of threats we’ve disrupted.

Threat actors using AI and other technologies to support deceptive hiring attempts

Actor

We banned a number of accounts that were potentially used to facilitate a deceptive employment scheme. The activity we observed is consistent with the tactics, techniques and procedures (TTPs) Microsoft and Google attributed to an IT worker scheme potentially Disrupting malicious uses of our models: an update February 2025 10 connected to North Korea. While we cannot determine the locations or nationalities of the actors, the activity we disrupted shared characteristics publicly reported in relation to North Korean state efforts to funnel income through deceptive hiring schemes, where individuals fraudulently obtain positions at Western companies to support the regime’s financial network.

Behavior

The various accounts used our models to generate content seemingly targeting each step of the recruitment process with different deceptive practices, all designed to be mutually supporting (see “Completions”, below).

The actors used virtual private networks (VPNs), remote access tools such as AnyDesk, and voice over IP (VOIP) phones largely appearing to be located in the United States. While our visibility into the ways these actors distributed their content is limited, we identified content posted to LinkedIn.

Completions

One main set of content generated by these actors consisted of personal documentation for the fictitious “job applicants”, such as resumés, online job profiles and cover letters. These resumés and profiles were frequently tailored to a specific job listing to increase the chances of appearing as a well qualified candidate. A second set consisted of creating “support”

personas which were used to provide reference checks for the “job applicants” and refer them for employment opportunities.

In parallel, the operators crafted social media posts to recruit real people to support their schemes. These included, for example, individuals willing to receive and host laptops from their home or lend their identities to the scheme to enable the applicants to pass background checks.

Disrupting malicious uses of our models: an update February 2025 11 Finally, the “job applicant” personas appear to have used our models in interviews to generate plausible responses to technical and behavioral questions. However, we did not observe them using our speech-to-speech tools.

After appearing to gain employment they used our models to perform job-related tasks like writing code, troubleshooting and messaging with coworkers. They also used our models to devise cover stories to explain unusual behaviors such as avoiding video calls, accessing corporate systems from unauthorized countries or working irregular hours.

Example of content this actor used our models to generate before then posting to a social networking site, with

the apparent aim of recruiting U.S. citizens into unknowingly supporting their scheme. Disrupting malicious uses of our models: an update February 2025 12Impact Given our visibility into only a small portion of this overall set of activity, assessing its impact would require inputs from multiple stakeholders.

OpenAI's policies strictly prohibit use of output from our tools for fraud or scams. Through our investigation into deceptive employment schemes, we identified and banned dozens of accounts. We have shared insights about the fraudulent networks we disrupted with industry peers and relevant authorities, enhancing our collective ability to detect, prevent, and respond to such threats while advancing our shared safety.

| 출처

https://www.aitimes.com/news/articleView.html?idxno=168210

https://cdn.openai.com/threat-intelligence-reports/disrupting-malicious-uses-of-our-models-february-2025-update.pdf

https://openai.com/global-affairs/disrupting-malicious-uses-of-ai/

1. 개요

북한과 연계된 사이버 공격 조직들은 한국 정부, 언론, 방위산업체, 북한 인권단체, 탈북민 단체 등을 주요 목표로 지속적인 해킹 작전을 수행하고 있다. APT37 (일명 ScarCruft), Kimsuky, Lazarus 등 북한 정부의 지원을 받는 해킹 그룹이 악성코드 배포, 피싱 공격, 제로데이(0-day) 취약점 악용 등 고도화된 공격 기법을 활용하고 있다.

특히 2023년 이후 APT37이 안드로이드 스파이웨어 RambleOn과 ROKRAT을 이용한 모바일 기반 감시 작전을 확장하고 있으며, Kimsuky 그룹은 한국의 정부 기관과 연구소를 대상으로 장기간 정보 탈취 활동을 수행 중이다.

2. 주요 공격 기법 및 전략

(1) 악성 문서 및 이메일 피싱

• APT37과 Kimsuky 그룹은 MS Word 문서(.docx), LNK 바로가기 파일, ZIP 압축 파일 등에 악성코드를 삽입하여 타깃을 감염시키고 있음.
• 한국 정부, 국방 관련 연구소, 북한 인권단체를 대상으로 한 스피어 피싱 공격이 증가하고 있음.
• 북한과 관련된 정치적 사건(한미연합훈련, 제재 강화 등)에 대한 문서로 위장하여 공격을 수행함.

(2) 안드로이드 및 윈도우 기반 스파이웨어

• APT37이 배포한 RambleOn 및 ROKRAT 스파이웨어가 안드로이드 사용자들을 감염시키고 있음.
• SMS 탈취, 통화 녹음, 위치 추적, 키 입력 기록 등의 기능을 활용하여 한국 내 주요 인사의 정보를 수집.
• Windows 환경에서도 기존의 PowerShell 기반 백도어와 함께 C2(Command & Control) 서버를 이용한 장기적인 침투 작전이 진행됨.

(3) 공급망(Supply Chain) 공격

• 북한 연계 APT 그룹들은 한국의 방산 및 연구기관 내부 네트워크를 직접 공격하는 대신, 협력업체 및 공급망을 통해 우회 공격을 시도함.
• 최근에는 한국 내 보안 취약점을 이용하여 개발된 소프트웨어 업데이트 과정에서 악성코드를 삽입하는 공급망 공격 기법이 증가하고 있음.

(4) 크립토재킹 및 금융 해킹

• Lazarus 그룹은 가상화폐 거래소 및 금융 기관을 대상으로 사이버 공격을 수행, 암호화폐 탈취 및 불법 자금 세탁을 지속하고 있음.
• IT 아웃소싱을 통해 북한 IT 노동자가 해외에서 위장 취업하여 가상화폐 거래와 금융 해킹을 수행하는 정황이 포착됨.

3. 주요 표적 및 피해 사례

(1) 한국 정부 및 국방 관련 기관

• 국방 연구소, 안보 기관을 대상으로 한 피싱 및 악성코드 감염 사례 증가.
• 최신 무기 개발 자료 및 군사 작전 관련 문건이 주요 해킹 대상.

(2) 북한 인권단체 및 탈북민 관련 조직

• 북한 인권단체에 대한 지속적인 해킹 시도와 감시 작전 수행.
• 탈북민 및 북한 인권 운동가를 대상으로 악성코드가 포함된 피싱 이메일 유포.

(3) 언론 및 학술 연구 기관

• 한반도 문제를 연구하는 국내외 싱크탱크 및 연구기관이 주요 해킹 표적이 되고 있음.
• 언론사 내부 네트워크에 침투하여 북한 관련 보도 자료 및 내부 정보 탈취.

4. 향후 전망 및 대응 방안

(1) 예상되는 위협

• APT37과 Kimsuky의 활동이 더욱 정교화되며, AI 및 딥페이크 기술을 활용한 해킹 시도가 증가할 가능성 있음.
• 한국의 주요 방산·군사 기밀을 확보하려는 사이버 작전이 지속될 전망.
• 다크웹 및 가상화폐를 활용한 북한의 사이버 금융 범죄가 더욱 활발해질 가능성이 있음.

(2) 대응 방안

• 국방·정부 기관 대상 보안 강화:
  • 북한의 공급망 공격(Supply Chain Attack) 차단을 위한 보안 점검 강화.
  • 악성코드 탐지 및 위협 인텔리전스 공유 확대.
• 모바일 및 원격 근무 환경 보안 강화:
  • 안드로이드 및 윈도우 기반 스파이웨어 차단 솔루션 도입.
  • 피싱 및 스피어 피싱 방지를 위한 보안 교육 강화.
• 금융 및 가상자산 보안 대응 강화:
  • 암호화폐 거래소 및 금융 기관과 협력하여 가상화폐 해킹 대응 체계 구축.
  • 다크웹에서 활동하는 북한 해킹 그룹에 대한 실시간 추적 및 모니터링 강화.

5. 결론

APT37, Kimsuky, Lazarus 등 북한 연계 해킹 그룹들은 한국 정부, 국방 산업, 연구 기관, 인권 단체, 금융 기관을 주요 표적으로 지속적인 사이버 공격을 수행하고 있다.

특히 안드로이드 스파이웨어, 피싱 공격, 공급망 해킹, 가상화폐 탈취 등을 결합한 복합적 사이버 작전이 강화되고 있어, 이에 대한 체계적인 대응이 필요하다. 한국 및 우방국과의 공조를 통해 북한의 사이버 위협을 무력화하는 전략적 접근이 요구된다.

출처: 0x0v1 Threat Intelligence

RightsCon 2025: Unveiling North Korea’s cyber threats: safeguarding human rights

https://www.0x0v1.com/targeted-threats-research-south-north-korea/

작성일: 2025년 2월 11일

Targeted Threats Research - South & North Korea, a Breakdown of 3

Years of Civil Society Threat Research

This research paper provides an analysis of three years of data from

five civil society organizations (CSOs) in South Korea. The findings

show that social engineering was the primary initial attack vector, with

spear-phishing links to malware payloads being the most common method of

initial access.

1. 사건의 개요

미국 법무부는 북한 IT 노동자들이 미국 시민으로 위장 하여 불법으로 취업한 사건으로 시작되었으며 이와 관련하여 미국인 1명과 외국 국적자(우크라이나 포함)하여 총 5명을 기소하였다고 발표하였다. 본 사건은 북한이 미국의 금융 및 고용시스템을 악용하여 불법적으로 핵 미사일 프로그램 자금을 조달 하였던 대표적인 사례라고 할 수 있으며 2020년 10월 부터 2023년 동안 최소 680만 달러(약 90억원)의 범죄 수익금을 취득하여 북한 정부에 송금한 사실에 대해서 미국 정부는 강력한 법적 조치와 국제 공조를 통해서 북한의 금융 차단 정책을 지속 강화할 방침이라고 밝혔다. 

2. 주요 사실관계

미국의 애리조나 주 리치필드 파크의 거주자 중 1명인 크리스티나 마리 채프먼은 북한의 IT 노동자들을 대상으로 북한의 IT 노동자들이 미국 기업에서 원격으로 근무하는 것 처럼 위장한 형태의 이른바 '랩톱 농장(laptop farm)'을 운영하였으며 이외에도 미국 내 대기업과 정부기관을 포함에 300여개 이상의 기업에 취업하도록 지원하였다. 이를 통하여 북한 노동자들은 총 1,710만 달러(한화 228억원) 이상의 금전적인 수익을 취하였고 일부 북한 IT의 노동자는 기업에서 기밀자료를 탈취하고 북한 IT 노동자들이 탈취한 기밀자료를 빌미로 이른바 데이터 인질극을 벌여 기업으로 부터 금전적인 이득을 취하는 행위를 지속적으로 하였고 수익금의 대부분은 북한 정부로 이송되었다. 이에 미국 연방 지방법원은 혐의자 마리 채프먼및 북한의 IT 노동자들을 전산 사기 공모 및 신원 도용, 자금 세탁 혐의로 기소 하였으며 2025년 6월 16일 선고를 앞두고 있다. 

3. 주요 혐의자 및 기소대상

4. 주요 혐의 내용

ⓛ 신원 도용 및 서류 조작(공문서 위조) : IT 노동자 들이 미국 시민 70명 이상의 신원을 도용하여 실리콘 벨리 기술 기업, 항공우주 및 방산 회사, 자동차 회사 및 제조사, 대형 미디어사 등 해당 원격 직무에 지원할 수 있도록 하였으며 원격 근무 직책을 확보하고 미 국토안보부(DHS)와 미 국세청(IRS) , 미 사회보장국(SSA)에 허위 보고 및 허위 문서를 제출하였다.

이는 미국의 공문서 위조 법률과 위장 취업에 관한 법률, 전신사기에 대한 법률을 위반하는 행위에 해당한다. 공문서 위조의 경우 신원도용 및 사기에 관한 법률로 최대 15년형이 선고 될 수 있으며 이외에도 전신사기(최대 20년형), 이민법 및 노동법 위반으로 민사 벌금과 더불에 강제 추방까지 처벌 할 수 있다.

② 랩톱 농장의 운영(위장 취업) : 미국의 기업들이 북한 IT 노동자들에게 제공한 업무용 노트북을 수거하고 관리하였는데 이는 미국에서 북한 IT 노동자들이 실제로 미국에서 근무하는 것 처럼 위장하는 역할을 수행하였고 실근무자는 중국, 러시아, 라오스 등 북한 정권에 대해서 우호적인 국가에 위치하고 있었다. 이는 미국 연방법률에서 규정하고 있는 컴퓨터 사기 및 남용 행위에 해당한다. 또한 미국의 불법 취업 금지 법률에 따라서 기업이 허위 서류를 제출한 외국인을 고용하는 경우에도 처벌받을 수 있으며 경우에 따라서 사업 면허 취소가 될 수 있다. 

③ 불법 취업 지원 및 수익 취득 : 북한 노동자들은 대부분 미국의 대기업 및 정부기관에 근무하고 있었으며 미국 경제전문지 포춘이 매년 발표하는 미국 최대기업 500개의 순위를 나타내는 500대 기업을 포함한 다수의 기업이 피해를 입었다. 또한 여기서 얻은 범죄 수익의 대부분은 북한 정부로 송금되었으며 이에 대하여 미국의 돈세탁 방지법과 불법 수익 거래에 관한 법률로 처벌 받을 수 있다. 

이 북한의 IT 노동자들의 대다수는 북한의 유엔 금지 핵 및 탄도 미사일 프로그램, 고급 재래식 무기 개발 및 무역 분야에 관여하는 기관의 하급 직원으로, 북한의 군수 산업 부서, 원자력 산업 부, 국방부, 그리고 조선인민군을 위해 일하고 있습니다.

5. 북한 IT 노동자들의 적용 법률 

6. 관련 법률

(1) 신원 도용 및 사기 관련 법률

18 U.S. Code § 1028 - 신분 도용 및 문서 위조(Fraud and related activity in connection with identification documents, authentication features, and information)

• 위조된 신분증(운전면허증, 여권 등) 또는 신원 정보를 사용하여 취업하는 행위
• 처벌: 최대 15년 형 및 벌금

18 U.S. Code § 1343 - 전신 사기(Wire Fraud)

• 이메일, 전화, 온라인 등을 이용해 허위 정보를 제공하여 불법적으로 이익을 취하는 행위
• 처벌: 최대 20년 형 (금융기관을 대상으로 한 경우 30년 형 가능)

18 U.S. Code § 1341 - 우편 사기(Mail Fraud)

• 우편을 이용하여 허위 취업 서류를 송부하는 행위
• 처벌: 최대 20년 형

18 U.S. Code § 1030 - 컴퓨터 사기 및 남용(Computer Fraud and Abuse Act, CFAA)

• 허위 신분으로 취업 후 회사 네트워크에 불법 접근하여 기밀 정보 유출
• 처벌: 최대 10년 형 및 벌금

(2) 이민법 및 노동법 위반

8 U.S. Code § 1324c - 서류 위조 및 불법 노동(Document Fraud and Unauthorized Employment)

• 취업을 위해 허위 비자, 노동 허가증, 사회보장번호(SSN) 등을 사용하는 행위
• 처벌: 민사 벌금 + 강제 추방(외국인의 경우)

8 U.S. Code § 1324a - 불법 취업 금지(Employment of Unauthorized Aliens)

• 미국 기업이 허위 서류를 제출한 외국인을 고용하는 경우에도 처벌
• 처벌: 최대 $16,000 벌금 + 사업 면허 취소 가능

Immigration and Nationality Act (INA) § 274A - 불법 취업 및 고용주 책임

• 고용주가 직원의 신원 및 취업 허가를 검증하지 않고 고용하는 경우 처벌
• 처벌: 1차 위반 시 최대 $2,500, 재범 시 최대 $25,000 벌금

(3) 돈세탁 및 금융사기

18 U.S. Code § 1956 - 돈세탁 방지법(Money Laundering Control Act)

• 위장 취업을 통해 획득한 불법 수익을 해외로 송금하는 행위
• 처벌: 최대 20년 형 및 벌금 $500,000 또는 범죄 수익의 2배 중 큰 금액

18 U.S. Code § 1957 - 불법 수익 거래(Engaging in Monetary Transactions in Property Derived from Specified Unlawful Activity)

• 불법적인 방법으로 벌어들인 돈을 미국 내에서 거래하는 경우
• 처벌: 최대 10년 형

7. 미국 정부의 대응 

미 법무부는 역대 최고 규모의 북한 IT 노동자 사기 사건으로 기소하였으며 미 연방수사국(FBI)는 북한 IT노동자들에 대하여 경고문을 발송하였으며 국무부는 Reward for Jusice라는 프로그램을 통해 북한 IT 노동자들의 정보를 제보 및 신고할 경우 해당 사항에 대하여 최대 500만 달러(약 66억원)을 지급할 것이라고 발표했다. 또한 우크라이나 국적자 올렉산드르 디덴코는 폴란드에서 체포되어 미국으로 송환을 추진하고 있으며 북한 IT 노동자들이 활동하고 있었던 중국 및 러시아 기반의 'Yanbian Silverstar' 및 'Volasys Silverstar' 추가 제재를 검토하기로 하였다. 이를 통하여 국제 공조 및 추가 제재와 법적 조치가 가해졌음을 알 수 있다. 

8.  결론 및 시사점 

북한 IT 노동자들은 단순히 외화벌이 수단이 아닌 북한의 군수 산업과 핵 미사일 개발을 직접 지원하는 수익원으로 활용한 사실을 알 수 있으며 이는 군사적 목적으로 국제적인 분쟁을 초래할 수 있다. 또한 북한 정권은 북한 IT 노동자들에 의해 미국 내의 기업 비밀 자료를 탈취하여 금전적 협박 및 사이버 공격의 수행가능성이 존재한다는 것을 확인할 수 있으며 이에 미국 정부 및 국제 사회는 북한 IT 노동자들의 불법 취업 및 악용사례를 차단하기 위해서 지속적인 감시와  단속의 필요성을 이야기 할 수 있다. 향후 북한 IT 노동자들은 기존의 중국 및 러시아 외에도 새로운 국가를 거점으로 활동할 가능성 또한 존재한다. 대한민국의 경우에도 북한 IT 노동자들의 국내 진출 가능성을 국가안보 위협으로 간주하고 북한 IT 노동자들의 국내 진출 가능성을 확인하여 면밀하게 주시하고 감시해야할 필요성이 있다고 할 수 있을 것이다. 

이들 개인, 연변 실버스타, 볼라시스 실버스타, 관련된 개인, 기관 또는 활동에 대한 정보를 가지고 있는 누구든지 정의에 대한 보상 또는 대한민국 경찰(112), 국가정보원(111)등에 제보할 것을 권장합니다. Tor 기반의 신고 채널 및 국가정보원 홈페이지를 통해 가능합니다: he5dybnt7sr6cm32xt77pazmtm65flqy6irivtflruqfc5ep7eiodiad.onion (Tor 브라우저 필요).

9. Original Article 

https://www.voakorea.com/a/7615339.html

https://kr.usembassy.gov/ko/240730-rewards-for-justice-reward-offer-for-information-on-north-korean-it-workers-ko/

https://therecord.media/arizona-woman-pleads-guilty-north-korean-laptop-farm

https://www.justice.gov/usao-dc/pr/arizona-woman-pleads-guilty-fraud-scheme-illegally-generated-17-million-revenue-north

https://www.justice.gov/usao-dc/pr/charges-and-seizures-brought-fraud-scheme-aimed-denying-revenue-workers-associated-north

최근 FBI(미연방수사국)와 DOJ(미법무부)가 공모하여, 미국 기업에서 부정적으로 활동한 북한 IT 노동자의 지도부들에 대한 기소를 확정지었습니다. 미국 국무부는 Rewards for Justice 프로그램을 통해 이 IT 네트워크 구성원들에 대한 정보를 제공하는 사람에게 최대 500만 달러의 보상금을 제공한다고 발표했습니다.

리사 모나코(Lisa Monaco) 법무부 차관보는 다음과 같이 말했습니다:

"잔혹한 체제를 유지하기 위해, 북한 정부는 IT 노동자들에게 사기를 통해 고용을 얻고, 미국 기업에서 민감한 정보를 탈취한 뒤, 이 수익을 북한으로 송금하도록 지시합니다. 이번 북한 국적자 14명의 기소는 그들의 제재 회피를 폭로하는 것이며, 전 세계 기업들에게 북한 정권의 악의적인 활동에 주의하라는 경고가 될 것입니다."

세부 내용 및 관련 정보

• 국무부는 중국에 본사를 둔 Yanbian Silverstar와 러시아에 본사를 둔 Volasys Silverstar에서 활동한 북한 IT 노동자 네트워크 구성원 14명에 대한 기소 및 정보 제공 보상금을 발표했습니다.
• 1. Jong Song Hwa (정성화), CEO of both IT companies
  2. Kim Ryu Song (김류성), president of Yanbian Silverstar
  3. Ri Kyong Sik (리경식), president of Volasys Silver Star
  4. Rim Un Chol (림은철), senior manager 
  5. Kim Mu Rim (김무림), senior manager
  6. Cho Chung Pom (조충범), mid-level manager
  7. Hyon Chol Song (현철성), mid-level manager
  8. Son Un Chol (손은철), mid-level manager
  9. Sok Kwang Hyok (석광혁), mid-level manager
  10. Choe Jong Yong (최정용), IT worker
  11. Ko Chung Sok (고충석), IT worker
  12. Kim Ye Won (김예원), IT worker
  13. Jong Kyong Chol (정경철), IT worker
  14. Jang Chol Myong (장철명), IT worker 
• 보상금 정보 제공 링크: Rewards for Justice

• Known Locales:

  North Korea; Vladivostok, Russia; 20998B-26 Changbaishan East Road, No. 213-214, Building 2, Science and Technology Industrial Park, Yanji Development Zone, Yanji City, Jilin Province, People’s Republic of China; Chang Bai Shan Dong Lu, 20998B-26Hao, Yanji City, Jilin Province, 133000, People’s Republic of China

  Date of Birth:

  Jong Song Hwa – 02/05/1970; Ri Kyong Sik – 12/04/1973; Kim Ryu Song – 11/06/1982; Rim Un Chol – 01/08/1990; Kim Mu Rim – 06/28/1987; Cho Chung Pom – 01/20/1992; Hyon Chol Song – 02/01/1991; Son Un Chol – 01/29/1991; Sok Kwang Hyok – 11/17/1985; Choe Jong Yong – 07/28/1998; Ko Chung Sok – 04/22/1987; Kim Ye Won – 07/30/1994; Jong Kyong Chol – 11/02/1987; Jang Chol Myong – 06/23/1993
   

  Associated Individuals:

  Cho Chung Pom (조충범); Choe Jong Yong (최정용); Hyon Chol Song (현철성); Jang Chol Myong (장철명); Jong Kyong Chol (정경철); Jong Song Hwa (정성화); Kim Mu Rim (김무림); Kim Ryu Song (김류성); Kim Ye Won (김예원); Ko Chung Sok (고충석); Ri Kyong Sik (리경식); Rim Un Chol (림은철); Sok Kwang Hyok (석광혁); Son Un Chol (손은철)

  Associated Organizations:

  BabyBox Technology; China Silver Star; China Silver Star Internet Technology Company; Cubix Tech; Eden Programming Solutions; Helix; LJD Tech; Silver Star China; Silver Star internet Technology Corporation; Unsong Internet Technology Corporation; Volasys Silver Star Network Technology Co.; Yanbian Silverstar; Yanbian Silverstar Network Technology Co., Ltd. (Chinese Simplified: 延边银星网络科技有限公司; Korean: 은성인터네트기술회사); Yanji Silver Star Network Technology Co. Ltd.

   

  Images:

  

  

  

  

  

  

  

  

  

  

  

  

  

  

6년간의 음모와 약 8,800만 달러 수익

이 조직은 약 6년에 걸쳐 최소 8,800만 달러를 벌어들인 것으로 추정됩니다.

• 이들은 여러 사례에서 민감한 회사 정보를 탈취(예: 소스 코드)한 후, 해당 정보를 유출하겠다고 위협하며 기업에게 금전적 갈취(extortion)를 시도했습니다.

이 작전은 북한 정부의 수익 창출 활동을 방해하려는 2년간의 지속적인 노력의 일환으로 수행되었으며, 유사한 북한 조직들이 제재를 피하고 북한 정부를 위한 자금을 생성하기 위해 이와 같은 전략을 사용하고 있습니다.

북한 IT 노동자 네트워크의 특징

1. 전 세계적 파견: 북한은 숙련된 IT 노동자 수천 명을 전 세계로 파견하여 수익을 창출하고, 이를 북한 정권으로 송금하고 있습니다.
2. 기만 전략:
   • 이들은 원격 IT 노동자로 위장하여 미국 및 기타 국가 기업에 고용됩니다.
   • 블록체인, 암호화폐 등 기술 프로젝트에서 활동하며, 민감한 데이터를 탈취하거나 갈취 금액을 요구.
3. 제재 위반: 미국 및 UN 제재를 위반하여 수익을 창출하고 있습니다.

관련 안내 정보 및 가이드

북한 노동자를 잘못 채용하거나 이들의 활동을 방조하는 것을 방지하기 위한 가이드는 아래 링크에서 확인할 수 있습니다:

:

• FBI 경고문

대응 권고 사항

1. 기업 대상 방어 전략:
   • 원격 근무자 채용 시 IP 주소 추적, 신원 검증, 소셜 미디어 활동 모니터링 강화.
   • 의심스러운 활동 발견 시 즉각 FBI 또는 DOJ에 신고.
2. 사이버 방어 조치:
   • 네트워크 접근 권한을 제한하고 원격 근무자의 VPN 사용 기록 감시.
   • 민감한 데이터에 대한 접근 권한을 단계적으로 부여하고, 로그 기록 유지.
3. 정책적 협력:
   • UN과의 공조를 통해 추가 제재 및 조사 강화.
   • 북한 IT 노동자들의 불법 고용 사례를 감지하기 위한 국제적 정보 공유 체계 구축.

요약

이번 기소와 보상금 발표는 북한 IT 네트워크의 위협과 그들의 작전을 노출시키는 중요한 사건입니다. 기업들은 이러한 위협에 주의해야 하며, 사전에 예방 조치를 취하는 것이 필수적입니다. 이 네트워크를 통해 벌어들인 수익은 북한 정권의 군사 활동을 지원하며, 글로벌 안보에 심각한 위협을 가중시키고 있습니다.

Yanbian Silverstar, Volasys Silverstar 및 관련된 개인, 단체, 활동에 대한 정보를 가진 분들은 Rewards for Justice 사무실의 Tor 기반 제보 채널을 통해 연락주시길 권장합니다.

해당 채널 주소는 다음과 같습니다:
he5dybnt7sr6cm32xt77pazmtm65flqy6irivtflruqfc5ep7eiodiad.onion
(Tor 브라우저 필요)

1. 개요

주제: 북한 IT 인력의 외화벌이 활동 및 다크웹을 통한 정보 유출 사례

출처: 자유아시아방송(RFA) 보도


2. 주요 내용

외화벌이 활동: 북한 IT 인력들이 증강현실(AR) 및 가상현실(VR) 분야에서 활동하며, 다크웹을 통해 외화를 벌어들이고 있음. 이들은 해외 기업과의 협업을 통해 수익을 창출하고 있으며, 이러한 활동은 북한의 외화 확보 수단으로 활용되고 있음.

다크웹을 통한 정보 유출: 북한 내부의 IT 기술자들이 불법 소프트웨어를 사용하면서 악성코드에 감염되어, 내부 문서와 계정 정보 등이 다크웹에 유출되는 사례가 발생하고 있음. 이는 북한의 보안 체계에 취약점이 존재함을 시사하며, 내부 정보의 외부 유출로 이어지고 있음.

3. 분석 및 평가

외화벌이 활동의 의의: 불법 소프트웨어 도구와 다크웹 네트워크를 통해 북한의 외화벌이 전략이 강화되고 있음. 이는 제재 회피 및 군사적 자금 조달의 일환으로 보임.

보안 취약점과 정보 유출: 불법 소프트웨어 사용으로 인한 악성코드 감염은 북한 내부 정보의 유출로 이어지고 있으며, 이는 북한의 정보 보안 체계에 심각한 취약점이 있음을 나타냄. 북한의 이러한 활동은 다국적 기업 및 국가의 보안 시스템에 직접적인 위협을 초래. 특히, 암호화폐 및 금융 관련 해킹 시도는 지속적으로 증가할 가능성이 있음.

사이버 전력 강화:
크랙 및 해킹 도구 활용은 북한이 사이버 전력 강화를 위해 지속적으로 투자하고 있다는 증거.

4. 대응 방안

국제적 협력 강화: 다크웹에서의 북한 IT 인력 활동을 추적하기 위해 국제적 정보 공유 및 협력을 강화할 필요. 금융기관 및 암호화폐 거래소 대상 보안 강화 조치 및 경고.


북한 내부 보안 취약점 활용: 다크웹을 통해 유출된 북한 내부 정보를 분석하여 북한의 정보 체계 취약점을 파악. 북한의 정보망 내 약점을 활용한 정보 수집 활동 강화.


5. 참고 자료

자유아시아방송(RFA) 보도:

https://www.rfa.org/korean/in_focus/nk_nuclear_talks/north-korea-dprk-it-wage-ar-vr-dark-web-foreign-currency-earnings-12032024094044.html

https://www.rfa.org/korean/in_focus/nk_nuclear_talks/north-korea-dprk-it-dark-web-key-generator-crack-hacking-12122024085940.html

스틸모어 (stealthmole)


*이 보고서는 공개된 정보를 기반으로 작성되었으며, 추가적인 확인과 분석이 필요할 수 있습니다.*

- 미국은 2015년 법 제정해 해킹 피해사실과 수법, 예방조치 공개하고 있어

- 미 법무부가 기소한 北해커 사건 역시 배후와 수법 신속하게 공개해 추가 피해 막아

- 국정원, 북한 포함한 해킹 매일 158만건 발생한다 보고하고도 해킹수법은 공개 거부

① 美 포함 전 세계 대상 해킹 공격의 배후는 “북한 정부”

“이 합동기술경보(joint Technical Alert)는 미국 국토안보부(Department of Homeland Security, DHS)와 연방수사국(Federal Bureau of Investigation, FBI)의 공동 분석 노력의 결과이다.

이 경보는 북한 정부의 사이버 행위자가 미국과 전 세계의 언론, 항공우주, 금융 및 핵심 인프라 산업을 공략하기 위해 사용하는 도구와 인프라에 대한 기술적 세부사항을 제공한다.”

② 北이 범죄에 사용한 해킹수법 공개

“국토안보부와 연방수사국은 네트워크 방어 활동을 활성화하고 디도스 명령 및 제어 네트워크에 노출되는 상황을 줄이기 위해 북한 사이버 작전에 이용되는 IP 주소를 공개한다.”

③ 北해킹범죄조직의 그간 활동 동향과 향후 행보 평가

“2009년 이후 히든 코브라 행위자들은 기술 역량을 이용해 다양한 공격 대상에게 피해를 입혔다. 상업 기관의 보고서에서는 이 활동을 라자루스 그룹(Lazarus Group)과 평화의 수호자(Guardians of Peace)라는 명칭으로 언급했다.

국토안보부와 연방수사국은 히든 코브라 행위자들이 북한 정부의 군사적․전략적 목표를 진전시키기 위해 사이버 작전을 계속 수행할 것이라고 평가한다.”

□ 하의원이 18일 ‘해킹피해 예방을 위한 북한 등 해킹수법 정보공개법’을 발의했다. 北해킹정보공개법은 국가정보원법을 개정한 것으로 북한 등의 해킹범죄 수법과 예방대책 등의 정보를 국회와 국민에 의무적으로 공개토록 하는 내용을 담고 있다.

□ 이 법은 2015년 제정된 미국 「사이버안보 정보공유법」의 실제 적용 사례에서 모티브를 얻었다. 미국은 법 제정 이후 정부부처 간 합동경보를 발령하거나 보고서를 작성하는 형식으로 해킹범죄 수법과 예방조치를 적시에 국민들에게 공개하고 있다.

□ 최근 미 법무부가 전 세계 은행을 대상으로 1조4천여억원을 탈취한 혐의로 북한 해커 3명을 기소한 해킹범죄 역시 지난 2017년 6월 범죄 배후와 수법이 공개된 바 있다. 당시 미 국토안보부는 FBI와 공동으로 경보를 발령하고 북한의 해킹 조직 히든코브라를 배후로 지목했다. 북한이 슬로베니아 가상화폐거래소와 세계 각국 은행을 대상으로 해킹범죄를 감행하고 한 달 가량 된 시점이었다. 또 같은 수법으로 인한 피해가 발생하지 않도록 범죄에 사용된 IP주소와 악성코드 분석 보고서를 공개하기도 했다. [참조 1]

□ 미국은 이 경보 보고서에서 해킹 조직이 북한 정부의 군사, 전략적 목표 진전을 위해 작전을 계속 수행할 것이라고 평가하고 지속적인 추적에 나섰다. 그 결과 2017년 12월에는 호주, 캐나다, 뉴질랜드, 영국과 함께 해당 해킹범죄의 배후 국가로 북한을 공식 지목, 규탄했다.

□ 지난 16일 국가정보원도 국회 정보위원회에서 우리나라 공공부문에 대한 북한 등의 해킹공격이 하루 158만건에 달하며 이는 전년 대비 32% 증가한 수치라고 보고했다. 이미 셀트리온 등 국내 제약회사와 업비트 등 암호화폐 거래소에 대한 해킹공격이 북한의 소행으로 확인되기도 했다. 하지만 원은 외부세력의 구체적인 해킹수법 공개를 거부하고 특히 화이자 공격 등 북한의 명백한 해킹 사실에 대해서는 사실관계조차 확인해주지 않고 있다.

□ 하의원은 “해킹피해 예방을 위해서는 해킹수법과 방지대책 등을 적시에 공개하는 것이 최선”인데도 “우리나라 사이버 안보를 총괄하는 국정원은 그 책임을 회피하고 북한 해킹 관련 정보를 숨기는 데만 급급하다”고 지적했다. 이어 “북한 등 외부세력의 해킹정보가 낱낱이 공개된다면 범죄피해를 예방하고 국민의 안전과 재산을 지키는데 큰 도움이 될 것”이라며 법안 발의 배경을 설명했다.

https://blogattach.naver.net/148108bbaff3f02c00e780b58f64176cca9d6589fd/20210219_88_blogfile/radiohaha_1613692084606_6hIv4a_hwp/%5B%BA%B8%B5%B5%C0%DA%B7%E1_210219%5D%20%C7%CF%C5%C2%B0%E6,%20%A1%B0%C7%D8%C5%B7%C7%C7%C7%D8%20%BF%B9%B9%E6%C0%A7%C7%D1%20%B1%B9%C1%A4%BF%F8%20%C1%A4%BA%B8%B0%F8%C0%AF%20%C0%C7%B9%AB%C8%AD%C7%D1%B4%D9%A1%A6%20%DD%C1%C7%D8%C5%B7%C1%A4%BA%B8%B0%F8%B0%B3%B9%FD%20%B9%DF%C0%C7%A1%B1.hwp?type=attachment

“해킹피해 예방위한 국정원 정보공유 의무화한다… 北해킹정보공개법 발의 하태경의원실 보도자료 

[참조 1] 美기소 북한해커의 범죄의 배후‧수법 공개한 2017.6.13. 합동경보 보고서

[참조 2] ‘해킹피해 예방을 위한 북한 등 해킹수법 정보공개법’(국가정보원법 개정안) 원문과 공동발의 의원 명단

[참조 1] 美기소 북한해커의 범죄의 배후‧수법 공개한 2017.6.13. 합동경보 보고서

- 美 국토안보부 산하 사이버안보기간시설안보국(CISA) 홈페이지