🔒 북한 해킹 인력 양성과 인터넷 검열에 대한 인텔리전스 보고서

출처: NordVPN 콘텐츠 영상 / FBI 공개 정보 / 언론보도
분류: 사이버 위협 인텔리전스 / 국가 주도 해킹
배포일: 2025년 4월 7일

1. 개요

북한은 전 세계에서 가장 엄격한 인터넷 검열 체계를 유지하면서도, 국제 사회에서 악명 높은 사이버 공격국으로 자리잡고 있다. 본 보고서는 북한의 인터넷 통제 구조와 해킹 인력 양성 체계, 그리고 이들이 수행하는 주요 사이버 작전에 대해 요약하였다.

2. 북한의 인터넷 환경 및 규제

• 일반 시민 접근 불가: 대부분의 북한 주민은 국제 인터넷 접속이 불가능하며, 내부용 폐쇄망인 광명(Kwangmyong)만 사용 가능.
• 국가 통제형 인트라넷: 모든 웹사이트는 정권의 선전 콘텐츠로 가득하며, 외부 정보 접근은 철저히 차단됨.
• 감시 및 처벌: 인터넷 이용은 24시간 감시되며, 외부 콘텐츠(예: K-POP 시청)는 사형에 처해질 수 있음.

3. 엘리트 해커 양성 체계

• 조기 선발: 수학·컴퓨터 분야에서 두각을 나타낸 학생들을 어릴 때부터 선발.
• 전문 기관 교육: 평양 내 특수 학교에서 집중 교육 후, 중국·러시아로 유학 파견, 첨단 사이버전 훈련을 받음.
• 외화벌이 및 군사 전략 수행 병행: 단순 정보수집을 넘어, 금전 탈취와 대남/대미 공격을 수행.

4. 주요 사이버 작전 사례

• 🎥 할리우드 해킹: 미국 영화사에 대한 보복성 공격
• 🛑 WannaCry 랜섬웨어: 전 세계 150개국 병원/기관 피해
• 🔍 대한민국 국가정보원 해킹 시도
• 💰 암호화폐 탈취: FBI에 따르면, 수익금은 핵무기 개발 자금으로 전용됨

5. 국제 안보에 대한 시사점

• 북한의 해커 부대는 단순한 사이버 범죄 집단이 아닌, 정권 생존 전략의 핵심 축임.
• 사이버 공격은 정보통제 → 자금조달 → 안보 위협으로 이어지는 악순환 구조를 형성.
• 미국과 동맹국, 특히 대한민국은 이러한 비대칭 위협에 대한 지속적 탐지 및 방어 협력 강화 필요.

6. 참고 링크

• 영상 출처: NordVPN - Internet in North Korea
• 보도자료: FBI, 사이버 범죄자금의 핵개발 연계 발표
• 관련 보고서: 유엔 대북제재위원회 전문가 패널 보고서 (2024)

요약: 북한은 철저한 감시하의 인터넷 통제를 유지하면서도, 엘리트 중심의 해커 조직을 통해 국제 사이버 범죄 및 정보전에 적극적으로 개입하고 있음. 이들은 정권의 생존과 외화 확보 수단으로서, 전 세계를 대상으로 한 사이버 위협을 가중시키고 있으며, 이에 대한 정밀한 대응과 지속적 감시가 요구된다.

🎯 사이버 위협 인텔리전스 보고서

보고일자: 2025년 4월 7일
출처: The Readable, Wired, Google Cloud, Reuters, NSA 외
분석주체: 오픈소스 기반 인텔리전스(OSINT)

1. 북한의 의료분야 대상 해킹 시도 및 한국 정부 대응

요약:
최근 북한 해킹 그룹이 한국의 병원 정보 시스템을 집중적으로 공격함에 따라, 국가정보원(NIS)이 병원 전산망 보안을 위한 새로운 가이드라인을 발표함.

세부내용:

• 북한은 2025년을 ‘보건 혁명의 해’로 지정하며 바이오 및 의료 인프라를 주요 사이버 타깃으로 삼고 있음.
• 이메일 피싱, 랜섬웨어, 의료기술 탈취 등 복합적인 공격 방식 사용.
• 한국 외에도 미국, 호주 등지 병원에서도 환자 데이터 유출 및 의료 시스템 마비 사례 발생.

정부 대응:

• 국정원, 교육부, 복지부와 병원 관계자 협업해 ‘병원 정보시스템 보안 가이드라인’ 배포.
• 병원 IT 시스템 6대 영역별 보안모델 표준화 및 실무 적용 방안 포함.
• 실무자 대상 현장 설명회 및 세미나 진행 중.

시사점:

• 북한의 공격 방향성이 민간의료 분야로 확장되었음을 보여주며, 사회기반 시스템에 대한 국가 차원의 방어체계 필요.
• 의료기관은 고도화된 APT 위협에 맞춰 지속적 훈련 및 백업, 보안 솔루션 점검 필요.

2. 북한 IT 노동자, 유럽 시장까지 확산

요약:
Google Threat Intelligence Group(GTIG)에 따르면, 북한의 IT 노동자들이 미국을 넘어 유럽으로 활동영역을 확장하고 있음.

세부내용:

• 북한 해커는 유럽 방산업체 및 정부기관 구직 시도하며 위장 신원 최소 12개 사용.
• 허위 추천서 및 채용 담당자와의 장기적 관계 형성을 통해 취업 시도.
• 민감 분야 침투 시도는 북한 정찰총국 등과 연계 가능성 높음.

시사점:

• 위장 구직자 식별 위한 글로벌 신원 인증 절차 강화 필요.
• 구직자 배경조사 및 코드 리뷰, 커뮤니케이션 분석 등 정밀 평가 필요.

3. 美 NSA, ‘Fast Flux’ 기법 경고

요약:
NSA는 공격자들이 도메인의 IP를 짧은 시간 안에 빠르게 교체하는 ‘Fast Flux’ 기법을 경고함.

기법 특징:

• 악성 행위를 은폐하고 추적 회피에 탁월.
• 대규모 피싱, DDoS, 스팸 캠페인 등에 자주 활용됨.
• 탐지 및 차단이 매우 어려워 보안 체계 교란 가능성 높음.

NSA 권고:

• 방어기관 및 방산업체는 Protective DNS(PDNS) 등 탐지 솔루션 도입 필요.
• PDNS는 NSA에서 무료 제공.

시사점:

• 공공·민간 DNS 시스템 고도화 필요.
• DNS 쿼리 이상 탐지 기반 위협 인텔리전스 연동 권장.

4. 中 해커, Ivanti VPN 취약점 악용한 정찰 활동

요약:
Google Cloud는 중국 해킹 조직 UNC5221이 Ivanti Connect Secure VPN의 심각한 취약점(CVE-2025-22457)을 활용해 원격 코드 실행을 시도한 사실을 공개함.

세부내용:

• 버퍼 오버플로우 취약점을 이용해 악성코드 TRAILBLAZE(드로퍼)와 BRUSHFIRE(백도어) 배포.
• Ivanti Integrity Checker 조작 시도 및 장기적 은폐 전략 수행.
• 취약점은 2025년 2월 11일 패치 배포 완료.

시사점:

• 경계 시스템(Edge Appliance)의 최신 보안 패치 적용 필수.
• 장기 거점화에 대비한 포렌식 점검 체계 정립 필요.

5. 인디애나대 교수, 중국 연구자금 미신고로 연방 수사

요약:
미국 인디애나대학 소속 유명 사이버보안 교수 XiaoFeng Wang이 중국으로부터 받은 연구자금을 미신고한 혐의로 FBI 수사 중.

세부내용:

• 2017–2018년 중국 정부 연구비 수령 사실을 미국 연구 지원서에 미기재.
• FBI 및 국토안보부가 자택 수색 후, 대학 측이 해고 조치.
• 유사 사건들은 과거 ‘China Initiative’ 프로그램의 연장선으로 보임.

시사점:

• 국제 공동 연구 시 자금 출처와 연구 협력 투명성 확보가 필수.
• 국내 연구기관 또한 외국 자금 및 공동 연구에 대한 내부 규정 재정비 필요.

6. 美 법무부 고위관료, 해킹 및 불법 소프트웨어 배포 전력 논란

요약:
DOJ(미국 법무부)의 사이버 정책 고문 Christopher Stanley가 과거 해킹 및 불법 콘텐츠 배포에 연루된 사실이 드러나 논란.

세부내용:

• 과거 해킹 사이트 운영, 게임 치트 및 전자책 등 무단 배포.
• DOJ는 보안 클리어런스 유지 중이며, 장관은 신임 유지 입장.
• 사이버 보안업계에서는 고위 공직자의 과거 이력 문제 제기.

시사점:

• 고위 보안 관련직 인사의 과거 기록 검증 강화 필요.
• 윤리적 정합성 및 보안 자격 검토 기준 명문화 필요.

🔐 종합 시사점

• 북한은 사이버 작전을 단순 정보수집이 아닌 사회 기반 서비스(보건, 교육, 에너지 등) 마비 전략으로 전환 중.
• 국가 차원의 의료, 방산, IT 채용 분야 보안 체계 강화 시급.
• 중·러·북 연계 APT 공격은 점점 은폐성 및 지속성이 강화되고 있어, 공격 탐지 → 위협 인텔리전스 연계 → 즉각 대응 체계 확보가 핵심.

요약

• 오픈AI가 북한의 계정을 삭제했는데, 이는 해당 국가들이 챗GPT를 이용해 여론 조작 및 사기 행위를 저질렀기 때문이다.
• 북한은 허위 이력서를 만들어 해외 취업 사기를 시도했다.
• 오픈AI는 자사 기술의 악용을 방지하고 권위주의 정권의 부당한 행위를 막기 위해 AI 기반 조사 기능을 활용하고 있다고 밝혔다.

북한 연계 사이버 위협 – AI 활용 위장취업 전략 분석

출처: OpenAI 내부 보고서 (2025년 2월)
작성일: 2025년 2월 11일

1. 개요

최근 OpenAI는 인공지능(AI) 모델을 악용한 북한 연계 위장취업(Deceptive Employment Scheme) 활동을 탐지하고 차단하는 조치를 시행했다. 해당 활동은 북한 IT 인력이 미국 및 서방 기업에 위장 취업하여 불법적으로 외화를 조달하는 방식과 일치하며, Microsoft 및 Google이 앞서 발표한 북한 IT 위장취업 작전과 유사한 패턴을 보인다.

이 조직은 VPN, 원격 접속 도구(AnyDesk), VoIP 전화망을 활용하여 미국 내에서 활동하는 것처럼 위장하며, LinkedIn 등 구인·구직 플랫폼을 활용해 신분을 속이고 취업 과정을 조작하는 것으로 확인됐다.

2. 주요 위협 요소 및 분석

(1) 공격자 행위

• 다수의 계정을 활용하여 서방 기업 취업을 위한 문서(이력서, 자기소개서 등)를 생성.
• 가상의 지원자 프로필을 작성하여 채용 과정을 조작.
• 허위 추천인을 만들어 기업의 신원 확인 절차를 우회.
• AI 모델을 활용하여 기술 면접에서 신뢰할 수 있는 응답을 생성.
• 채용 이후 회사 시스템에 원격 접속하여 보안 위협을 초래.
• AI를 활용하여 사이버 방어 회피 전략(비디오 회피, 접근 국가 위장 등) 생성.

(2) 공격 기법

구분공격 방식세부 내용

3. 활용된 기술 및 전술(TTPs)

• AI 기반 문서 생성: 맞춤형 이력서, 자기소개서, 추천서 자동 생성
• AI 기반 면접 응답: 기술적·행동적 질문에 신뢰성 높은 응답 자동 생성
• 소셜 엔지니어링: LinkedIn 등 SNS에서 실제 기업 관계자를 속여 추천 유도
• 보안 정책 우회: 원격 접속 시도, VPN 활용, 접속 국가 위장
• 기업 보안 침투: 내부 시스템 접근 후 보안 위협 조성

4. 파급 효과 및 위협 평가

(1) 국가 안보 및 산업 영향

• 서방 IT·방산·금융 기업의 보안 위협 증가
  • 북한 IT 인력의 취업 성공 시, 기업 내부 시스템 침투 및 정보 탈취 가능성 증가
  • 미국 및 우방국 내 주요 기술·보안 인프라 위협
• 북한의 불법 외화 조달 활동 지속
  • 북한 IT 노동자들은 연간 최대 30만 달러를 벌어들이며, 조직적으로 3백만 달러 이상 송금 가능
  • 미 국무부가 북한 IT 노동자 관련 정보 제공 시 최대 500만 달러 포상금 지급

(2) 기존 탐지 시스템 회피 가능성

• AI 기술을 활용한 채용 문서 생성 및 면접 응답으로 기존의 신원 확인 시스템을 효과적으로 우회
• VPN 및 원격 접속 도구 활용으로 IP 기반 보안 모니터링 우회
• 기존 보안 솔루션으로 탐지 어려운 소셜 엔지니어링 기법 활용 증가

5. 대응 방안 및 권고 사항

(1) 보안 기관 및 기업 대상 권고

✅ AI 기반 신원 확인 기술 도입:

• AI 및 머신러닝을 활용한 신규 채용자 신원 검증 프로세스 강화
• 의심 계정 및 활동 패턴 탐지 알고리즘 도입

✅ 기업 내부 보안 교육 강화:

• IT·방산·금융 부문 대상 사이버 보안 교육 및 위협 인텔리전스 공유 확대
• 채용 프로세스에서 가짜 추천인 및 허위 정보 판별 시스템 구축

✅ 사이버 방어 체계 강화:

• VPN 및 원격 접속 도구 사용 모니터링 강화
• 북한 IT 인력의 취업 시도를 사전 차단하기 위한 국제 공조 강화

6. 결론

이번 OpenAI 보고서를 통해 북한 연계 사이버 위협 그룹이 AI를 활용하여 위장 취업을 시도하고 있음이 확인됨.

• AI 기반 이력서·추천서 위조, 면접 조작, 업무 수행 위장, 기업 내부 침투 전략이 조직적으로 운영됨.
• 북한 IT 노동자들의 활동이 서방 IT, 방산, 금융 분야로 확대되고 있으며, 연간 수백만 달러의 외화 조달이 이루어지고 있음.
• 미 국무부 및 법무부는 북한 IT 노동자 고용 차단을 위한 국제 공조 및 포상금 지급 제도 시행 중.

따라서 한국 정부 및 방산·IT 기업들은 채용 보안 프로세스를 강화하고, AI 기반 위장취업 탐지 기술을 도입하는 것이 필수적이다.

원문

February 2025

Disrupting malicious uses of our models: an update

February 2025

Deceptive Employment Scheme

Our mission is to ensure that artificial general intelligence benefits all of humanity. We advance this mission by deploying our innovations to build AI tools that help people solve really hard problems.

As we laid out in our Economic Blueprint in January, we believe that making sure AI benefits the most people possible means enabling AI through common-sense rules aimed at protecting people from actual harms, and building democratic AI. This includes preventing use of AI tools by authoritarian regimes to amass power and control their citizens, or to threaten or coerce other states; as well as activities such as child exploitation, covert influence operations (IOs), scams, spam, and malicious cyber activity. The AI-powered investigative capabilities that flow from OpenAI’s innovations provide valuable tools to help protect democratic AI against the measures of adversarial authoritarian regimes.

It has now been a year since OpenAI became the first AI research lab to publish reports on our disruptions in an effort to support broader efforts by U.S. and allied governments, industry partners, and other stakeholders, to prevent abuse by adversaries and other malicious actors. This latest report outlines some of the trends and features of our AI-powered work, together with case studies that highlight the types of threats we’ve disrupted.

Threat actors using AI and other technologies to support deceptive hiring attempts

Actor

We banned a number of accounts that were potentially used to facilitate a deceptive employment scheme. The activity we observed is consistent with the tactics, techniques and procedures (TTPs) Microsoft and Google attributed to an IT worker scheme potentially Disrupting malicious uses of our models: an update February 2025 10 connected to North Korea. While we cannot determine the locations or nationalities of the actors, the activity we disrupted shared characteristics publicly reported in relation to North Korean state efforts to funnel income through deceptive hiring schemes, where individuals fraudulently obtain positions at Western companies to support the regime’s financial network.

Behavior

The various accounts used our models to generate content seemingly targeting each step of the recruitment process with different deceptive practices, all designed to be mutually supporting (see “Completions”, below).

The actors used virtual private networks (VPNs), remote access tools such as AnyDesk, and voice over IP (VOIP) phones largely appearing to be located in the United States. While our visibility into the ways these actors distributed their content is limited, we identified content posted to LinkedIn.

Completions

One main set of content generated by these actors consisted of personal documentation for the fictitious “job applicants”, such as resumés, online job profiles and cover letters. These resumés and profiles were frequently tailored to a specific job listing to increase the chances of appearing as a well qualified candidate. A second set consisted of creating “support”

personas which were used to provide reference checks for the “job applicants” and refer them for employment opportunities.

In parallel, the operators crafted social media posts to recruit real people to support their schemes. These included, for example, individuals willing to receive and host laptops from their home or lend their identities to the scheme to enable the applicants to pass background checks.

Disrupting malicious uses of our models: an update February 2025 11 Finally, the “job applicant” personas appear to have used our models in interviews to generate plausible responses to technical and behavioral questions. However, we did not observe them using our speech-to-speech tools.

After appearing to gain employment they used our models to perform job-related tasks like writing code, troubleshooting and messaging with coworkers. They also used our models to devise cover stories to explain unusual behaviors such as avoiding video calls, accessing corporate systems from unauthorized countries or working irregular hours.

Example of content this actor used our models to generate before then posting to a social networking site, with

the apparent aim of recruiting U.S. citizens into unknowingly supporting their scheme. Disrupting malicious uses of our models: an update February 2025 12Impact Given our visibility into only a small portion of this overall set of activity, assessing its impact would require inputs from multiple stakeholders.

OpenAI's policies strictly prohibit use of output from our tools for fraud or scams. Through our investigation into deceptive employment schemes, we identified and banned dozens of accounts. We have shared insights about the fraudulent networks we disrupted with industry peers and relevant authorities, enhancing our collective ability to detect, prevent, and respond to such threats while advancing our shared safety.

| 출처

https://www.aitimes.com/news/articleView.html?idxno=168210

https://cdn.openai.com/threat-intelligence-reports/disrupting-malicious-uses-of-our-models-february-2025-update.pdf

https://openai.com/global-affairs/disrupting-malicious-uses-of-ai/

1. 개요

북한과 연계된 사이버 공격 조직들은 한국 정부, 언론, 방위산업체, 북한 인권단체, 탈북민 단체 등을 주요 목표로 지속적인 해킹 작전을 수행하고 있다. APT37 (일명 ScarCruft), Kimsuky, Lazarus 등 북한 정부의 지원을 받는 해킹 그룹이 악성코드 배포, 피싱 공격, 제로데이(0-day) 취약점 악용 등 고도화된 공격 기법을 활용하고 있다.

특히 2023년 이후 APT37이 안드로이드 스파이웨어 RambleOn과 ROKRAT을 이용한 모바일 기반 감시 작전을 확장하고 있으며, Kimsuky 그룹은 한국의 정부 기관과 연구소를 대상으로 장기간 정보 탈취 활동을 수행 중이다.

2. 주요 공격 기법 및 전략

(1) 악성 문서 및 이메일 피싱

• APT37과 Kimsuky 그룹은 MS Word 문서(.docx), LNK 바로가기 파일, ZIP 압축 파일 등에 악성코드를 삽입하여 타깃을 감염시키고 있음.
• 한국 정부, 국방 관련 연구소, 북한 인권단체를 대상으로 한 스피어 피싱 공격이 증가하고 있음.
• 북한과 관련된 정치적 사건(한미연합훈련, 제재 강화 등)에 대한 문서로 위장하여 공격을 수행함.

(2) 안드로이드 및 윈도우 기반 스파이웨어

• APT37이 배포한 RambleOn 및 ROKRAT 스파이웨어가 안드로이드 사용자들을 감염시키고 있음.
• SMS 탈취, 통화 녹음, 위치 추적, 키 입력 기록 등의 기능을 활용하여 한국 내 주요 인사의 정보를 수집.
• Windows 환경에서도 기존의 PowerShell 기반 백도어와 함께 C2(Command & Control) 서버를 이용한 장기적인 침투 작전이 진행됨.

(3) 공급망(Supply Chain) 공격

• 북한 연계 APT 그룹들은 한국의 방산 및 연구기관 내부 네트워크를 직접 공격하는 대신, 협력업체 및 공급망을 통해 우회 공격을 시도함.
• 최근에는 한국 내 보안 취약점을 이용하여 개발된 소프트웨어 업데이트 과정에서 악성코드를 삽입하는 공급망 공격 기법이 증가하고 있음.

(4) 크립토재킹 및 금융 해킹

• Lazarus 그룹은 가상화폐 거래소 및 금융 기관을 대상으로 사이버 공격을 수행, 암호화폐 탈취 및 불법 자금 세탁을 지속하고 있음.
• IT 아웃소싱을 통해 북한 IT 노동자가 해외에서 위장 취업하여 가상화폐 거래와 금융 해킹을 수행하는 정황이 포착됨.

3. 주요 표적 및 피해 사례

(1) 한국 정부 및 국방 관련 기관

• 국방 연구소, 안보 기관을 대상으로 한 피싱 및 악성코드 감염 사례 증가.
• 최신 무기 개발 자료 및 군사 작전 관련 문건이 주요 해킹 대상.

(2) 북한 인권단체 및 탈북민 관련 조직

• 북한 인권단체에 대한 지속적인 해킹 시도와 감시 작전 수행.
• 탈북민 및 북한 인권 운동가를 대상으로 악성코드가 포함된 피싱 이메일 유포.

(3) 언론 및 학술 연구 기관

• 한반도 문제를 연구하는 국내외 싱크탱크 및 연구기관이 주요 해킹 표적이 되고 있음.
• 언론사 내부 네트워크에 침투하여 북한 관련 보도 자료 및 내부 정보 탈취.

4. 향후 전망 및 대응 방안

(1) 예상되는 위협

• APT37과 Kimsuky의 활동이 더욱 정교화되며, AI 및 딥페이크 기술을 활용한 해킹 시도가 증가할 가능성 있음.
• 한국의 주요 방산·군사 기밀을 확보하려는 사이버 작전이 지속될 전망.
• 다크웹 및 가상화폐를 활용한 북한의 사이버 금융 범죄가 더욱 활발해질 가능성이 있음.

(2) 대응 방안

• 국방·정부 기관 대상 보안 강화:
  • 북한의 공급망 공격(Supply Chain Attack) 차단을 위한 보안 점검 강화.
  • 악성코드 탐지 및 위협 인텔리전스 공유 확대.
• 모바일 및 원격 근무 환경 보안 강화:
  • 안드로이드 및 윈도우 기반 스파이웨어 차단 솔루션 도입.
  • 피싱 및 스피어 피싱 방지를 위한 보안 교육 강화.
• 금융 및 가상자산 보안 대응 강화:
  • 암호화폐 거래소 및 금융 기관과 협력하여 가상화폐 해킹 대응 체계 구축.
  • 다크웹에서 활동하는 북한 해킹 그룹에 대한 실시간 추적 및 모니터링 강화.

5. 결론

APT37, Kimsuky, Lazarus 등 북한 연계 해킹 그룹들은 한국 정부, 국방 산업, 연구 기관, 인권 단체, 금융 기관을 주요 표적으로 지속적인 사이버 공격을 수행하고 있다.

특히 안드로이드 스파이웨어, 피싱 공격, 공급망 해킹, 가상화폐 탈취 등을 결합한 복합적 사이버 작전이 강화되고 있어, 이에 대한 체계적인 대응이 필요하다. 한국 및 우방국과의 공조를 통해 북한의 사이버 위협을 무력화하는 전략적 접근이 요구된다.

출처: 0x0v1 Threat Intelligence

RightsCon 2025: Unveiling North Korea’s cyber threats: safeguarding human rights

https://www.0x0v1.com/targeted-threats-research-south-north-korea/

작성일: 2025년 2월 11일

Targeted Threats Research - South & North Korea, a Breakdown of 3

Years of Civil Society Threat Research

This research paper provides an analysis of three years of data from

five civil society organizations (CSOs) in South Korea. The findings

show that social engineering was the primary initial attack vector, with

spear-phishing links to malware payloads being the most common method of

initial access.

1. 개요

주제: 북한 IT 인력의 외화벌이 활동 및 다크웹을 통한 정보 유출 사례

출처: 자유아시아방송(RFA) 보도


2. 주요 내용

외화벌이 활동: 북한 IT 인력들이 증강현실(AR) 및 가상현실(VR) 분야에서 활동하며, 다크웹을 통해 외화를 벌어들이고 있음. 이들은 해외 기업과의 협업을 통해 수익을 창출하고 있으며, 이러한 활동은 북한의 외화 확보 수단으로 활용되고 있음.

다크웹을 통한 정보 유출: 북한 내부의 IT 기술자들이 불법 소프트웨어를 사용하면서 악성코드에 감염되어, 내부 문서와 계정 정보 등이 다크웹에 유출되는 사례가 발생하고 있음. 이는 북한의 보안 체계에 취약점이 존재함을 시사하며, 내부 정보의 외부 유출로 이어지고 있음.

3. 분석 및 평가

외화벌이 활동의 의의: 불법 소프트웨어 도구와 다크웹 네트워크를 통해 북한의 외화벌이 전략이 강화되고 있음. 이는 제재 회피 및 군사적 자금 조달의 일환으로 보임.

보안 취약점과 정보 유출: 불법 소프트웨어 사용으로 인한 악성코드 감염은 북한 내부 정보의 유출로 이어지고 있으며, 이는 북한의 정보 보안 체계에 심각한 취약점이 있음을 나타냄. 북한의 이러한 활동은 다국적 기업 및 국가의 보안 시스템에 직접적인 위협을 초래. 특히, 암호화폐 및 금융 관련 해킹 시도는 지속적으로 증가할 가능성이 있음.

사이버 전력 강화:
크랙 및 해킹 도구 활용은 북한이 사이버 전력 강화를 위해 지속적으로 투자하고 있다는 증거.

4. 대응 방안

국제적 협력 강화: 다크웹에서의 북한 IT 인력 활동을 추적하기 위해 국제적 정보 공유 및 협력을 강화할 필요. 금융기관 및 암호화폐 거래소 대상 보안 강화 조치 및 경고.


북한 내부 보안 취약점 활용: 다크웹을 통해 유출된 북한 내부 정보를 분석하여 북한의 정보 체계 취약점을 파악. 북한의 정보망 내 약점을 활용한 정보 수집 활동 강화.


5. 참고 자료

자유아시아방송(RFA) 보도:

https://www.rfa.org/korean/in_focus/nk_nuclear_talks/north-korea-dprk-it-wage-ar-vr-dark-web-foreign-currency-earnings-12032024094044.html

https://www.rfa.org/korean/in_focus/nk_nuclear_talks/north-korea-dprk-it-dark-web-key-generator-crack-hacking-12122024085940.html

스틸모어 (stealthmole)


*이 보고서는 공개된 정보를 기반으로 작성되었으며, 추가적인 확인과 분석이 필요할 수 있습니다.*