메인 콘텐츠로 이동하기
  1. 보안 시사 분석/
  2. 2025/
  3. Week 51/

딥페이크 기술을 활용한 북한 IT 인력 위장 취업 사기

·3384 자·7 분
Security-Issues-Analysis 딥페이크 AI보안 북한APT 위장취업 사회공학 원격근무보안 HR보안
목차

딥페이크 기술을 활용한 북한 IT 인력 위장 취업 사기 #

기사 정보 #

핵심 요약 #

북한 연계 해커 조직이 딥페이크 기술을 활용하여 해외 기업의 원격근무 IT 직원으로 위장 취업하는 사례가 2025년 급증했다. 이들은 AI로 생성한 가짜 신원, 실시간 딥페이크 영상으로 화상 면접을 통과하고, 취업 후 기업 정보 탈취 및 외화 벌이 활동을 수행했다.

사건/이슈 배경 #

무슨 일이 일어났는가? #

2025년 2월, 미국 보안 전문가 Moczadło는 IT 직원 채용 과정에서 딥페이크를 활용한 가상 지원자들을 발견했다고 공개했다. 화상 면접에 참여한 지원자들이 실제 사람이 아닌 딥페이크로 조작된 가짜 영상이었던 것이다.

주요 사례들:

  1. 보안 기업 KnowBe4 사건 (2024년 7월):

    • “카일"이라는 이름의 신입 직원을 채용했으나, 실제로는 북한 출신으로 확인됨
    • AI로 생성된 가짜 이력서와 프로필 사진 사용
    • 회사 지급 노트북을 받자마자 악성코드 설치 시도
    • 보안 툴이 즉시 경고를 발령하여 적발

  2. 폴란드 AI 회사 사건 (2025년):

    • 동일 인물이 두 개의 서로 다른 딥페이크 페르소나로 면접 응시
    • 두 번째 면접에서 면접 형식과 질문을 이미 경험했기 때문에 눈에 띄게 자신감을 보임

  3. 페이머스 천리마(FAMOUS CHOLLIMA) 캠페인 (2025년):

    • 북한 연계 해커 조직이 320개 이상 기업에 위장 취업 성공
    • 전년 대비 220% 증가
    • 생성형 AI를 통해 가짜 이력서, 딥페이크 인터뷰, 신분 위조 전 과정 자동화

기술적 특징:

  • 실시간 딥페이크 기술 사용: 화상 면접 중 실시간으로 다른 사람의 얼굴과 목소리로 위장
  • AI 번역 도구 활용: 미숙한 영어 실력을 보완
  • 원격 접속: 계정대리인의 컴퓨터에 원격 접속하여 기술 시연

누가 관련되었는가? #

  • 공격자/위협 주체:
    • 북한 정부 지원 IT 인력 (페이머스 천리마, 라자루스 등)
    • 블루노로프(BlueNoroff), 사파이어 슬릿(Sapphire Sleet) APT 그룹
  • 피해자/영향 받은 대상:
    • 북미, 서유럽, 동아시아 대형 기업 (포춘 1000대 기업 포함)
    • 특히 IT, 소프트웨어 개발, 데이터베이스 관련 기업
    • 2025년 기준 100개 이상 기관이 의도치 않게 북한 IT 인력 고용
  • 기타 관련 당사자:
    • FBI, 미국 법무부, 구글 위협 분석 그룹(TAG)
    • 한국 외교부, 대한민국 정부 (북한 IT 인력 주의보 발령)

원인 분석 #

기술적 원인 #

  1. 딥페이크 기술의 접근성:

    • Palo Alto Networks Unit 42의 실험에 따르면, 이미지 조작 경험이 없고 5년 된 컴퓨터로도 70분 만에 면접용 합성 신원 생성 가능
    • 공개된 오픈소스 도구와 저렴한 소비자용 하드웨어로 실시간 딥페이크 구현 가능
    • GitHub의 공개 툴과 짧은 영상 샘플만으로 음성 복제 가능

  2. 원격 근무 환경의 한계:

    • 화상 면접만으로는 실제 신원 확인이 어려움
    • 대면 면접과 달리 실물 신분증 확인, 물리적 존재 확인 등이 불가능
    • 네트워크 문제, 카메라 문제 등을 핑계로 음성만으로 면접 진행 유도

  3. 탐지 기술의 미흡:

    • 초기 딥페이크는 입 모양과 음성의 불일치, 부자연스러운 움직임 등으로 탐지 가능했으나 기술이 빠르게 발전
    • 일반적인 배경 조사나 서류 검증으로는 AI 생성 가짜 신원 탐지 어려움

관리적/절차적 원인 #

  1. 채용 프로세스의 취약점:

    • 온라인 채팅이나 전화 면접만으로 채용 진행
    • 화상 면접 시 카메라 미사용을 허용
    • 실물 신분증 확인 절차 부재
    • 업무용 노트북 배송지를 이력서와 다른 곳으로 요청해도 수용

  2. 신원 검증 체계 미흡:

    • 단순 이력서나 프로필 기반 검증
    • AI 생성 이미지, 위조 포트폴리오, 가짜 추천서 탐지 능력 부족
    • GitHub 활동 패턴, 메타데이터 기반 검증 미실시

  3. 다중 페르소나 탐지 실패:

    • 동일인이 여러 가짜 계정으로 지원해도 탐지하지 못함
    • 결제 계좌, IP 주소, 서류 유사성 등 교차 검증 부재

인적 원인 #

  1. 북한의 외화 벌이 목적:

    • 국제 제재로 인해 정상적인 경제 활동 불가
    • IT 인력을 해외 기업에 위장 취업시켜 임금을 북한으로 송금
    • 일부는 기업 정보 탈취, 랜섬웨어 공격 등 추가 범죄 수행

  2. 면접관의 경계심 부족:

    • 기술 능력이 뛰어나면 신원 확인을 소홀히 하는 경향
    • 원격 근무 환경에서 발생할 수 있는 기술적 문제로 간주하고 넘어감

영향 및 파급효과 #

직접적 영향 #

  1. 기업 정보 유출:

    • 고객 개인정보, 금융 데이터, IT 데이터베이스, 지식재산권 정보 접근
    • KnowBe4 사례처럼 악성코드 설치 시도

  2. 국제 제재 위반:

    • 의도치 않게 북한 정권에 자금 송금
    • 기업이 제재 위반으로 법적 책임 부담 가능

  3. 내부 시스템 침투:

    • 정상 직원으로 위장하여 장기간 내부 활동
    • VPN 접근, 내부 네트워크 탐색, 백도어 설치 등

간접적 영향 #

  1. 원격 근무 신뢰도 저하:

    • 기업들이 원격 채용에 대한 경계심 증가
    • 채용 프로세스 복잡화로 인한 시간과 비용 증가

  2. AI 기술의 악용 사례 증명:

    • 생성형 AI가 범죄에 악용될 수 있음을 실증
    • AI 윤리와 규제 필요성 대두

  3. 사이버 보안과 HR의 협업 필요성:

    • 전통적으로 분리되어 있던 두 부서의 긴밀한 협력 요구

예상 피해 규모 #

  • 2025년 상반기 기준 320개 이상 기업이 피해
  • FBI 보고서에 따르면 입사 지원자 사기가 2022년 코로나19 이전 대비 92% 증가
  • 구체적인 금전적 피해 규모는 공개되지 않았으나, 각 기업이 지불한 임금 + 정보 유출로 인한 손실 포함

예방 및 대응 방안 #

사전 예방 방법 #

  1. 강화된 신원 검증:

    • 화상 면접 필수화 및 카메라 사용 강제
    • 면접 중 실물 신분증 요구 및 신분증 정보와 제출 서류 일치 여부 확인
    • 불시 화상통화로 재확인
    • 원본 데이터 기반 얼굴 인식, IP 기록 추적, 메타데이터 검증

  2. 딥페이크 탐지 기법:

    • 면접 중 특정 동작 요구 (예: 손을 들어 귀를 만지기, 고개를 좌우로 빠르게 돌리기, 특정 물건 보여주기)
    • 실시간 딥페이크는 복잡한 동작이나 예상치 못한 요청에 어색하게 반응
    • AI 기반 딥페이크 탐지 플랫폼 도입

  3. 다중 검증:

    • 포트폴리오 진위 여부 확인 (GitHub 활동 기록, 프로젝트 이력 검증)
    • 추천서 직접 확인 (추천인에게 직접 연락)
    • 동일 계정, 결제 수단, IP 주소 사용 여부 교차 검증

  4. 의심 징후 체크리스트:

    • 화상 면접 거부 또는 카메라 미사용 요청
    • 통신 문제를 이유로 음성만 사용하려는 시도
    • 업무용 장비를 이력서와 다른 주소로 배송 요청
    • 저가의 개발비 제안 (시장 가격보다 현저히 낮은 금액)
    • 기존 계정과 동일하거나 유사한 서류 제출

사고 발생 시 대응 방안 #

  1. 즉각적인 접근 차단:

    • 의심되는 직원의 모든 시스템 접근 권한 즉시 차단
    • 해당 계정이 접근한 모든 시스템 및 데이터 로그 분석

  2. 포렌식 조사:

    • 업무용 장비에 설치된 악성코드 검사
    • 네트워크 트래픽 분석으로 외부 유출 시도 확인
    • 접근한 데이터 범위 파악

  3. 법 집행 기관 신고:

    • FBI, 경찰청 사이버수사대 등에 신고
    • 제재 위반 가능성이 있는 경우 관련 당국에 보고

재발 방지 대책 #

  1. HR과 보안팀 협업 체계 구축:

    • 채용 전 과정에서 보안팀의 검토 포함
    • 의심 징후 발견 시 즉시 보안팀에 에스컬레이션

  2. 지속적인 모니터링:

    • 재직 중에도 비정상적인 활동 모니터링 (예: 대량 데이터 다운로드, 비정상 시간대 접속)
    • UEBA(User and Entity Behavior Analytics) 도입

  3. 직원 교육:

    • HR 담당자 및 면접관 대상 딥페이크 탐지 교육
    • 의심 징후 인지 및 대응 절차 숙지

개인 인사이트 #

배운 점 #

  1. AI는 양날의 검이다:

    • 생성형 AI가 생산성을 높이고 혁신을 가져오지만, 동시에 범죄자들도 동일한 기술을 악용할 수 있다
    • 특히 딥페이크 기술의 진입 장벽이 낮아지면서 누구나 쉽게 가짜 신원을 만들 수 있게 되었다

  2. 사회공학의 진화:

    • 전통적인 사회공학은 인간의 심리를 이용했다면, 현대의 사회공학은 AI 기술로 무장했다
    • 기술적 방어만으로는 부족하며, 프로세스와 인식의 변화가 필요하다

  3. 원격 근무의 보안 과제:

    • 팬데믹 이후 원격 근무가 보편화되었지만, 이에 따른 보안 리스크는 충분히 고려되지 않았다
    • 대면 면접에서 가능했던 신원 확인이 원격에서는 훨씬 어렵다

  4. 국가 지원 위협의 특징:

    • 북한 같은 국가 지원 위협은 장기적이고 체계적이며, 기술적으로도 고도화되어 있다
    • 단순히 기술 솔루션만으로는 대응이 어렵고, 정부 차원의 협력이 필요하다

느낀 점 #

가장 충격적인 부분은 딥페이크 생성이 생각보다 훨씬 쉽다는 점이다. 전문 지식 없이도 70분 만에 면접용 가짜 신원을 만들 수 있다는 Unit 42의 실험 결과는, 이 위협이 특수한 경우가 아니라 누구에게나 일어날 수 있는 일상적인 위험임을 보여준다.

또한 기업들이 “카일” 같은 직원을 채용하고도 악성코드 설치 시도 전까지는 의심하지 못했다는 점에서, 현재의 채용 프로세스가 얼마나 취약한지 알 수 있다. 기술 능력이 뛰어나면 다른 의심 징후를 간과하는 경향이 있는 것 같다.

북한이라는 제재 대상 국가가 IT 인력을 통해 외화를 벌고 있다는 사실도 흥미롭다. 사이버 공격만이 아니라 “정상적인” 취업을 통해서도 자금을 조달하고 있다는 점에서, 위협의 다양성을 느낄 수 있다.

관련 자료 #

  • FBI 북한 IT 인력 주의보
  • 외교부 북한 IT 인력에 대한 정부 합동주의보
  • Palo Alto Networks Unit 42: “가짜 얼굴: 합성 신원 생성의 놀라운 용이성”
  • 크라우드스트라이크 2025 위협 헌팅 보고서
  • Anthropic 보안 보고서 (북한 사이버 공격자의 AI 악용 사례)

분석일: 2025-12-21
키워드: #딥페이크 #AI보안 #북한APT #위장취업 #사회공학 #원격근무보안 #HR보안