딥페이크 기술을 활용한 북한 IT 인력 위장 취업 사기

기사 정보

핵심 요약

북한 연계 해커 조직이 딥페이크 기술을 활용하여 해외 기업의 원격근무 IT 직원으로 위장 취업하는 사례가 2025년 급증했다. 이들은 AI로 생성한 가짜 신원, 실시간 딥페이크 영상으로 화상 면접을 통과하고, 취업 후 기업 정보 탈취 및 외화 벌이 활동을 수행했다.

사건/이슈 배경

무슨 일이 일어났는가?

2025년 2월, 미국 보안 전문가 Moczadło는 IT 직원 채용 과정에서 딥페이크를 활용한 가상 지원자들을 발견했다고 공개했다. 화상 면접에 참여한 지원자들이 실제 사람이 아닌 딥페이크로 조작된 가짜 영상이었던 것이다.

주요 사례들:

  1. 보안 기업 KnowBe4 사건 (2024년 7월):

    • “카일"이라는 이름의 신입 직원을 채용했으나, 실제로는 북한 출신으로 확인됨
    • AI로 생성된 가짜 이력서와 프로필 사진 사용
    • 회사 지급 노트북을 받자마자 악성코드 설치 시도
    • 보안 툴이 즉시 경고를 발령하여 적발

  2. 폴란드 AI 회사 사건 (2025년):

    • 동일 인물이 두 개의 서로 다른 딥페이크 페르소나로 면접 응시
    • 두 번째 면접에서 면접 형식과 질문을 이미 경험했기 때문에 눈에 띄게 자신감을 보임

  3. 페이머스 천리마(FAMOUS CHOLLIMA) 캠페인 (2025년):

    • 북한 연계 해커 조직이 320개 이상 기업에 위장 취업 성공
    • 전년 대비 220% 증가
    • 생성형 AI를 통해 가짜 이력서, 딥페이크 인터뷰, 신분 위조 전 과정 자동화

기술적 특징:

  • 실시간 딥페이크 기술 사용: 화상 면접 중 실시간으로 다른 사람의 얼굴과 목소리로 위장
  • AI 번역 도구 활용: 미숙한 영어 실력을 보완
  • 원격 접속: 계정대리인의 컴퓨터에 원격 접속하여 기술 시연

누가 관련되었는가?

  • 공격자/위협 주체:
    • 북한 정부 지원 IT 인력 (페이머스 천리마, 라자루스 등)
    • 블루노로프(BlueNoroff), 사파이어 슬릿(Sapphire Sleet) APT 그룹
  • 피해자/영향 받은 대상:
    • 북미, 서유럽, 동아시아 대형 기업 (포춘 1000대 기업 포함)
    • 특히 IT, 소프트웨어 개발, 데이터베이스 관련 기업
    • 2025년 기준 100개 이상 기관이 의도치 않게 북한 IT 인력 고용
  • 기타 관련 당사자:
    • FBI, 미국 법무부, 구글 위협 분석 그룹(TAG)
    • 한국 외교부, 대한민국 정부 (북한 IT 인력 주의보 발령)

원인 분석

기술적 원인

  1. 딥페이크 기술의 접근성:

    • Palo Alto Networks Unit 42의 실험에 따르면, 이미지 조작 경험이 없고 5년 된 컴퓨터로도 70분 만에 면접용 합성 신원 생성 가능
    • 공개된 오픈소스 도구와 저렴한 소비자용 하드웨어로 실시간 딥페이크 구현 가능
    • GitHub의 공개 툴과 짧은 영상 샘플만으로 음성 복제 가능

  2. 원격 근무 환경의 한계:

    • 화상 면접만으로는 실제 신원 확인이 어려움
    • 대면 면접과 달리 실물 신분증 확인, 물리적 존재 확인 등이 불가능
    • 네트워크 문제, 카메라 문제 등을 핑계로 음성만으로 면접 진행 유도

  3. 탐지 기술의 미흡:

    • 초기 딥페이크는 입 모양과 음성의 불일치, 부자연스러운 움직임 등으로 탐지 가능했으나 기술이 빠르게 발전
    • 일반적인 배경 조사나 서류 검증으로는 AI 생성 가짜 신원 탐지 어려움

관리적/절차적 원인

  1. 채용 프로세스의 취약점:

    • 온라인 채팅이나 전화 면접만으로 채용 진행
    • 화상 면접 시 카메라 미사용을 허용
    • 실물 신분증 확인 절차 부재
    • 업무용 노트북 배송지를 이력서와 다른 곳으로 요청해도 수용

  2. 신원 검증 체계 미흡:

    • 단순 이력서나 프로필 기반 검증
    • AI 생성 이미지, 위조 포트폴리오, 가짜 추천서 탐지 능력 부족
    • GitHub 활동 패턴, 메타데이터 기반 검증 미실시

  3. 다중 페르소나 탐지 실패:

    • 동일인이 여러 가짜 계정으로 지원해도 탐지하지 못함
    • 결제 계좌, IP 주소, 서류 유사성 등 교차 검증 부재

인적 원인

  1. 북한의 외화 벌이 목적:

    • 국제 제재로 인해 정상적인 경제 활동 불가
    • IT 인력을 해외 기업에 위장 취업시켜 임금을 북한으로 송금
    • 일부는 기업 정보 탈취, 랜섬웨어 공격 등 추가 범죄 수행

  2. 면접관의 경계심 부족:

    • 기술 능력이 뛰어나면 신원 확인을 소홀히 하는 경향
    • 원격 근무 환경에서 발생할 수 있는 기술적 문제로 간주하고 넘어감

영향 및 파급효과

직접적 영향

  1. 기업 정보 유출:

    • 고객 개인정보, 금융 데이터, IT 데이터베이스, 지식재산권 정보 접근
    • KnowBe4 사례처럼 악성코드 설치 시도

  2. 국제 제재 위반:

    • 의도치 않게 북한 정권에 자금 송금
    • 기업이 제재 위반으로 법적 책임 부담 가능

  3. 내부 시스템 침투:

    • 정상 직원으로 위장하여 장기간 내부 활동
    • VPN 접근, 내부 네트워크 탐색, 백도어 설치 등

간접적 영향

  1. 원격 근무 신뢰도 저하:

    • 기업들이 원격 채용에 대한 경계심 증가
    • 채용 프로세스 복잡화로 인한 시간과 비용 증가

  2. AI 기술의 악용 사례 증명:

    • 생성형 AI가 범죄에 악용될 수 있음을 실증
    • AI 윤리와 규제 필요성 대두

  3. 사이버 보안과 HR의 협업 필요성:

    • 전통적으로 분리되어 있던 두 부서의 긴밀한 협력 요구

예상 피해 규모

  • 2025년 상반기 기준 320개 이상 기업이 피해
  • FBI 보고서에 따르면 입사 지원자 사기가 2022년 코로나19 이전 대비 92% 증가
  • 구체적인 금전적 피해 규모는 공개되지 않았으나, 각 기업이 지불한 임금 + 정보 유출로 인한 손실 포함

예방 및 대응 방안

사전 예방 방법

  1. 강화된 신원 검증:

    • 화상 면접 필수화 및 카메라 사용 강제
    • 면접 중 실물 신분증 요구 및 신분증 정보와 제출 서류 일치 여부 확인
    • 불시 화상통화로 재확인
    • 원본 데이터 기반 얼굴 인식, IP 기록 추적, 메타데이터 검증

  2. 딥페이크 탐지 기법:

    • 면접 중 특정 동작 요구 (예: 손을 들어 귀를 만지기, 고개를 좌우로 빠르게 돌리기, 특정 물건 보여주기)
    • 실시간 딥페이크는 복잡한 동작이나 예상치 못한 요청에 어색하게 반응
    • AI 기반 딥페이크 탐지 플랫폼 도입

  3. 다중 검증:

    • 포트폴리오 진위 여부 확인 (GitHub 활동 기록, 프로젝트 이력 검증)
    • 추천서 직접 확인 (추천인에게 직접 연락)
    • 동일 계정, 결제 수단, IP 주소 사용 여부 교차 검증

  4. 의심 징후 체크리스트:

    • 화상 면접 거부 또는 카메라 미사용 요청
    • 통신 문제를 이유로 음성만 사용하려는 시도
    • 업무용 장비를 이력서와 다른 주소로 배송 요청
    • 저가의 개발비 제안 (시장 가격보다 현저히 낮은 금액)
    • 기존 계정과 동일하거나 유사한 서류 제출

사고 발생 시 대응 방안

  1. 즉각적인 접근 차단:

    • 의심되는 직원의 모든 시스템 접근 권한 즉시 차단
    • 해당 계정이 접근한 모든 시스템 및 데이터 로그 분석

  2. 포렌식 조사:

    • 업무용 장비에 설치된 악성코드 검사
    • 네트워크 트래픽 분석으로 외부 유출 시도 확인
    • 접근한 데이터 범위 파악

  3. 법 집행 기관 신고:

    • FBI, 경찰청 사이버수사대 등에 신고
    • 제재 위반 가능성이 있는 경우 관련 당국에 보고

재발 방지 대책

  1. HR과 보안팀 협업 체계 구축:

    • 채용 전 과정에서 보안팀의 검토 포함
    • 의심 징후 발견 시 즉시 보안팀에 에스컬레이션

  2. 지속적인 모니터링:

    • 재직 중에도 비정상적인 활동 모니터링 (예: 대량 데이터 다운로드, 비정상 시간대 접속)
    • UEBA(User and Entity Behavior Analytics) 도입

  3. 직원 교육:

    • HR 담당자 및 면접관 대상 딥페이크 탐지 교육
    • 의심 징후 인지 및 대응 절차 숙지

개인 인사이트

배운 점

  1. AI는 양날의 검이다:

    • 생성형 AI가 생산성을 높이고 혁신을 가져오지만, 동시에 범죄자들도 동일한 기술을 악용할 수 있다
    • 특히 딥페이크 기술의 진입 장벽이 낮아지면서 누구나 쉽게 가짜 신원을 만들 수 있게 되었다

  2. 사회공학의 진화:

    • 전통적인 사회공학은 인간의 심리를 이용했다면, 현대의 사회공학은 AI 기술로 무장했다
    • 기술적 방어만으로는 부족하며, 프로세스와 인식의 변화가 필요하다

  3. 원격 근무의 보안 과제:

    • 팬데믹 이후 원격 근무가 보편화되었지만, 이에 따른 보안 리스크는 충분히 고려되지 않았다
    • 대면 면접에서 가능했던 신원 확인이 원격에서는 훨씬 어렵다

  4. 국가 지원 위협의 특징:

    • 북한 같은 국가 지원 위협은 장기적이고 체계적이며, 기술적으로도 고도화되어 있다
    • 단순히 기술 솔루션만으로는 대응이 어렵고, 정부 차원의 협력이 필요하다

느낀 점

가장 충격적인 부분은 딥페이크 생성이 생각보다 훨씬 쉽다는 점이다. 전문 지식 없이도 70분 만에 면접용 가짜 신원을 만들 수 있다는 Unit 42의 실험 결과는, 이 위협이 특수한 경우가 아니라 누구에게나 일어날 수 있는 일상적인 위험임을 보여준다.

또한 기업들이 “카일” 같은 직원을 채용하고도 악성코드 설치 시도 전까지는 의심하지 못했다는 점에서, 현재의 채용 프로세스가 얼마나 취약한지 알 수 있다. 기술 능력이 뛰어나면 다른 의심 징후를 간과하는 경향이 있는 것 같다.

북한이라는 제재 대상 국가가 IT 인력을 통해 외화를 벌고 있다는 사실도 흥미롭다. 사이버 공격만이 아니라 “정상적인” 취업을 통해서도 자금을 조달하고 있다는 점에서, 위협의 다양성을 느낄 수 있다.

관련 자료

  • FBI 북한 IT 인력 주의보
  • 외교부 북한 IT 인력에 대한 정부 합동주의보
  • Palo Alto Networks Unit 42: “가짜 얼굴: 합성 신원 생성의 놀라운 용이성”
  • 크라우드스트라이크 2025 위협 헌팅 보고서
  • Anthropic 보안 보고서 (북한 사이버 공격자의 AI 악용 사례)

분석일: 2025-12-21
키워드: #딥페이크 #AI보안 #북한APT #위장취업 #사회공학 #원격근무보안 #HR보안