사기의 이면: 북한의 IT 인력이 가하는 위협

Executive Summary

원격 근무가 표준이 된 시대에, 북한은 정보기술(IT) 사기 채용을 통해 채용 절차를 조작하여 정권의 수익을 창출할 기회를 잡았습니다. 북한 IT 인력은 가짜 신분을 사용하여 국제 기업에 침투하고 원격 근무를 확보합니다. 이러한 요원들은 국제 제재를 위반할 뿐만 아니라 사기 및 데이터 도용에 가담하고 잠재적으로 비즈니스 운영을 방해하는 등 심각한 사이버 보안 위협을 가합니다.

이 IT 인력은 금융 사기를 넘어, 사이버 스파이 활동과도 연루되어 있습니다. Insikt Group은 주로 암호화폐 업계의 소프트웨어 개발자를 대상으로 하는 '컨테이저스 인터뷰(Contagious Interview)' 캠페인과 겹치는 북한 연계 클러스터인 PurpleBravo(이전의 위협 활동 그룹 120[TAG-120])를 추적하고 있습니다. 이 캠페인은 민감한 정보를 수집하는 인포스틸러인 BeaverTail, 크로스 플랫폼 Python 백도어인 InvisibleFerret, 손상된 시스템에 지속적인 액세스를 설정하는 데 사용되는 도구인 OtterCookie와 같은 멀웨어를 사용합니다. 2024년 10월부터 11월까지 더 넓은 암호화폐 분야에서 최소 세 개의 조직, 즉 시장 조성 회사, 온라인 카지노, 소프트웨어 개발 회사가 PurpleBravo의 표적이 되었습니다.

조사 결과는 또한 북한이 합법적인 IT 기업을 모방한 위장 회사를 설립하여 다른 사기 영역으로 확장하고 있다는 점을 강조합니다. 별도의 활동 클러스터인 TAG-121이 중국 전역에서 이러한 회사들의 네트워크를 운영하는 것으로 식별되었습니다. 각 위장 회사는 웹사이트의 많은 부분을 복사하여 다른 합법적인 조직으로 위장합니다. 이러한 조직은 부인 가능성의 추가 계층을 형성하고 탐지를 더욱 어렵게 하여, 북한 행위자들이 글로벌 IT 공급망에 더욱 깊숙이 침투할 수 있게 합니다.

이 위협의 시사점은 광범위합니다. 모르는 사이에 북한 IT 인력을 고용하는 조직은 국제 제재를 위반하여 법적 및 재정적 불이익을 받을 수 있습니다. 더 중요한 것은 이러한 인력이 내부자 위협으로 작용하여 독점 정보를 도용하고, 백도어를 도입하거나, 대규모 사이버 작전을 촉진한다는 점이 거의 확실하다는 것입니다. 북한의 금융 절도 역사를 고려할 때, 위험은 개별 기업을 넘어 더 넓은 글로벌 금융 시스템과 국가 안보 이익에까지 확장됩니다.

조직은 이러한 위협을 완화하기 위해 엄격한 신원 확인 조치를 채택하여 원격 채용자가 철저한 심사를 거치도록 해야 합니다. 여기에는 화상 인터뷰, 공증된 신분증 요구, 원격 근무자의 이상 징후에 대한 지속적인 모니터링이 포함됩니다. 고용주는 무단 액세스를 감지하고 데이터 노출을 제한하며 의심스러운 원격 연결을 표시하기 위한 기술적 통제를 구현해야 합니다. 이러한 공격자가 중요한 비즈니스 운영에 침투하는 것을 방지하려면 인사(HR)팀과 IT 보안 담당자에 대한 인식과 교육이 필수적입니다.

북한 IT 인력이 제기하는 위협은 사기 문제일 뿐만 아니라, 국제적으로 제재를 받는 정권을 재정적으로 지원하는 정교한 사이버 전략의 핵심 요소입니다. 이러한 작전이 계속 진화함에 따라 기업, 정부, 사이버 보안 기관은 협력하여 북한이 원격 근무 환경을 악용할 수 있는 격차를 해소해야 합니다.

주요 연구 결과

북한이 사기 채용을 확보하고 조직적인 사이버 캠페인을 실행하기 위해 IT 인력을 활용하는 것은 글로벌 지적 재산권 보안을 약화시키면서 군사 프로그램에 자금을 지원하려는 북한의 전술이 진화하고 있음을 잘 보여줍니다.
Insikt Group은 PurpleBravo가 최소 7가지 기업을 표적으로 삼았으며, 그중 3개는 암호화폐 분야에 속하는 시장 조성 회사, 온라인 카지노, 소프트웨어 회사라고 평가합니다.
Insikt Group은 PurpleBravo가 Astrill VPN을 사용하여 명령 및 제어(C2) 서버를 관리한다는 증거를 발견했습니다.
PurpleBravo는 세 개 이상의 채용 웹사이트, Telegram, GitHub에 채용 공고를 게시한 것으로 확인되었습니다.
Insikt Group은 중국에서 활동하며 중국, 인도, 파키스탄, 우크라이나, 미국의 합법적인 IT 기업을 사칭하는 북한 연계 위장 회사로 의심되는 최소 7곳을 확인했습니다.
조직은 가능한 경우 원격 데스크톱 소프트웨어를 비활성화하고, 네트워크 전반의 열린 포트를 정기적으로 점검하며, 내부자 위협 모니터링을 배포하고, 장치를 지리적으로 추적하는 등 강력한 기술적 안전장치를 구현해야 합니다.
Insikt Group은 PurpleBravo 및 TAG-121과 같은 그룹이 원격 근무 환경을 악용하여 글로벌 IT 공급망과 지적 재산을 위협할 것으로 계속 예상합니다.
북한의 사기성 원격 채용 및 위장 회사로의 전환은 기존 채용 프로토콜 확인 절차를 능가할 가능성이 크며, 조직과 정부는 이 확산되는 위협에 대응하기 위해 더욱 엄격한 신원 확인, 원격 근무 보안 강화, 강력한 국제 정보 공유를 채택해야 할 것입니다.

배경

2025년 1월 23일, 미국 법무부(US DOJ)는 북한 정권에 자금을 제공한 원격 근무자 사기 혐의로 북한 국적자 2명과 조력자 3명을 기소했습니다. 미국 법무부는 기소장에서 미국 시민 2명과 멕시코 국적자 1명이 북한 IT 인력과 공모하여 최소 64개의 미국 기업에서 원격으로 일하도록 했던 6년간의 계획을 설명했습니다. 10개 회사로부터의 지불금은 최소 866,255달러의 수익을 창출했으며, 이는 중국 은행 계좌를 통해 세탁되었습니다. 기소장 외에도 북한 IT 인력을 접한 조직과 개인들의 이야기는 공개 소스(1, 2, 3)에서 정기적으로 찾아볼 수 있습니다. 제재 위반 외에도, 민감한 데이터를 훔치거나 내부 시스템에 멀웨어를 설치하는 등의 이 인력으로 인한 위협은 특히 원격 근무 환경에서 조직에 고유한 문제를 제시합니다.

북한은 정권의 상품, 사람, 정보에 대한 엄격한 통제와 국제 제재로 인해 외부 세계로부터 여전히 고립되어 있습니다. 그럼에도 불구하고, 평양의 지도부는 운영 자금을 조달하기 위해 신흥 기술을 활용하는 데 능숙합니다. 제재가 강화됨에 따라 북한 정권은 밀수와 사이버 범죄를 포함한 불법 활동을 확대하는 방식으로 대응했습니다. 최근 몇 년 동안 이 정권은 전통 금융 기관과 암호화폐 같은 디지털 자산을 탈취하는 데 상당한 성공을 거두었습니다. 2020년부터 2024년 사이에 원격 근무의 증가는 북한이 위장 신분으로 글로벌 기업에 침투하는 숙련된 IT 인력을 배치할 새로운 기회를 제공했습니다. 이들의 활동은 북한 정권의 군사 프로그램을 직접 지원하는 동시에, 지적 재산에 의존하는 산업에 심각한 위협이 되고 있습니다.

북한 IT 인력에 대한 연구는 프록시를 통해 부정 채용되는 북한 IT 인력, 주로 소프트웨어 개발 분야에서 합법적인 조직을 모방하는 북한의 위장 회사, 암호화폐 및 AI를 포함한 다양한 산업의 소프트웨어 개발자를 대상으로 하는 가짜 취업 기회와 같은 위협 측면에 집중하고 있습니다. 다른 연구에서는 IT 인력과 북한의 위협 행위자들이 수행하는 지속적인 악의적 캠페인 사이의 연관성을 확인했습니다.

위협 분석

PurpleBravo

2023년 11월에 처음 기록된 컨테이저스 인터뷰(Contagious Interview) 캠페인은 주로 암호화폐 분야의 소프트웨어 개발자들을 대상으로 했으며 북한의 소행으로 추정됩니다. 이 캠페인은 JavaScript 인포스틸러 BeaverTail, 크로스 플랫폼 Python 백도어 InvisibleFerret, 그리고 가장 최근 2024년 12월에 식별된 새로운 백도어 OtterCookie를 사용했습니다. 이 활동을 담당하는 그룹은 공개 소스에서 CL-STA-0240, Famous Chollima, Tenacious Pungsan으로 알려져 있습니다. Insikt Group은 이 활동 클러스터에 PurpleBravo(이전 TAG-120)로 지정했습니다.

PurpleBravo의 사기 프로필

2024년 12월 3일, 한 개발자가 PurpleBravo 운영자로 의심되는 사람과의 경험을 블로그에 게시했습니다. 채용 담당자를 사칭한 개인이 채용 제안에 대해 연락한 후 면접을 진행했습니다. 면접 중에 면접관은 개발자에게 리포지토리에서 코딩 과제를 다운로드하라고 요청했습니다. 개발자는 파일에 악성 기능이 있음을 인식하고 인터뷰를 종료했습니다. 개발자는 멀웨어나 공격자를 밝히지는 않았지만, Insikt Group은 해당 파일이 BeaverTail 인포스틸러라고 높은 확신을 가지고 평가합니다.

인터뷰어는 자신을 AgencyHill99의 CTO라고 설명하는 Javier Fiesco라는 이름의 LinkedIn 계정을 사용했습니다. Javier Fiesco에 대한 추가 조사를 통해 웹3 개발 구인 게시판인 remote3에서 채용을 원하는 동일한 이름의 개인이 발견되었습니다. 웹사이트 agencyhill99[.]com은 2024년 9월 13일에 Hostinger에 등록되었습니다. 2025년 2월 초, 이 웹사이트는 더 이상 작동하지 않지만, 이전에는 Hostinger 랜딩 페이지를 표시했습니다. AgencyHill99에 대한 조사는 levels[.]fyi에서 블록체인 지식을 갖춘 개발자를 찾는 채용 공고를 발견했으며, 다음과 같은 연락처가 있었습니다.

문의하기: alexander@agencyhill99[.]com
채용 담당자: vision.founder1004@gmail[.]com

직무 설명의 텍스트를 중심으로 확인하여 Upwork에서 두 개의 비공개 채용 공고가 검색되었습니다(1, 2). 또한 해커톤, 현상금 및 보조금 단체인 웹사이트 DoraHacks에서는 AgencyHill99에서 근무하며 AI가 생성한 것으로 보이는 얼굴 사진으로 표시되는 Lucifer라는 이름의 프로필이 관찰되었습니다. DoraHacks 프로필에 AgencyHill99가 개발자를 채용하려고 한다고 나와 있습니다. Insikt Group은 파트타임 및 원격 취업 플랫폼 Intch에서 Agencyhill99라는 이름의 회사를 발견했습니다. 회사는 AgencyHill99의 채용 담당자 Newton Curtis를 통해 '파트타임 IT 개발자 채용'이라는 글을 게시했습니다.

그림 1: DoraHacks의 PurpleBravo 운영자 계정(출처: 도라해커스)

Insikt Group은 Telegram 채널에서 @agencyhill99[.]com라는 이메일 주소를 가진 개인이 올린 여러 개의 게시물을 발견했습니다. 아래는 게시물을 요약한 내용입니다.

2024년 9월 16일, 사용자 이름 Dale_V와 이메일 주소 ayat@agencyhill99[.]com을 사용하는 계정이 Telegram 채널 'freelancerclients'에 개발자를 구한다는 글을 올렸습니다.
2024년 9월 26일, 사용자 이름 jaxtonhol과 이메일 주소 ysai@agencyhill99[.]com을 사용하는 계정이 Telegram 채널 'indeedemploijobeur'에 개발자를 구한다는 글을 올렸습니다. 같은 날, ysai@agencyhill99[.]com 이메일을 사용하는 Dale_V 계정이 Telegram 채널 'cryptolux_b'에 블록체인 개발자를 구한다는 글을 올렸습니다. 그들은 'itkita', 'andexzuxiaomichat', 'usvacancy' 채널에 동일한 메시지를 게시했습니다. 2024년 9월 27일, Dale_V는 'crypto_brazil' 및 'cryptolux_br' 채널에 동일한 메시지를 게시했습니다.
2024년 10월 2일, Dale_V는 새로운 이메일 주소 sam@agencyhill99[.]com을 사용하여 'fortifiedx_chat', 'family_indonesia_uae_ph', 'cryptolux_br', 'freelancerclients' 채널에 동일한 메시지를 게시했습니다.
2024년 10월 3일, 인도네시아어 Telegram 채널의 한 사용자가 PurpleBravo 운영자로부터 받은 이메일 메시지의 스크린샷을 게시했습니다.
2024년 10월 9일, Dale_V는 'andexzuxiaomichat', 'family_indonesia_uae_ph', 'cryptolux_br', 'crypto_brazil', 'freelancerclients' 채널에 구인 광고를 게시했습니다.
2024년 10월 22일, Dale_V는 텔레그램 채널 'hiringofm'에 Destiny War라는 게임의 유지보수를 도와줄 사람을 구하는 글을 올리고, X 링크 hxxps://twitter[.]com/destinywarnft를 추가했습니다. 행위자가 이 X 계정이나 게임을 제어하는지는 불분명합니다.
2024년 11월 13일, Telegram 사용자 jaxtonhol은 텔레그램 채널 'near_jobs'에 블록체인 엔지니어를 구하는 글을 올렸습니다. 같은 사용자가 2024년 12월 7일에 같은 채널에 ysai@agencyhill99[.]com 이메일 주소로 다시 게시물을 올렸습니다.
2024년 11월 30일, 한 Telegram 사용자가 위에 언급된 Agencyhill99과 관련된 Javier Feisco 계정이 올린 LinkedIn 채인 공고가 합법적인지 묻는 글을 게시하고 해당 메시지의 스크린샷을 공유했습니다.

GitHub 리포지토리

Insikt Group은 이메일 주소 admin@agencyhill99[.]com을 사용하는 GitHub 리포지토리인 agencyhill99를 발견했습니다. GitHub 사용자인 dev-astro-star는 2024년 10월 9일부터 19일까지 리포지토리에 여러 차례 커밋했습니다. 커밋을 토대로 볼 때, 웹사이트는 웹 애플리케이션을 위한 Google의 백엔드 서비스인 Firebase를 사용한 것으로 보입니다. 이 사용자는 파일을 다운로드할 수 있는 버튼을 Google 드라이브 링크 https://drive.google[.]com/uc?id=166zcmpqj-C7NPltm4iwRolz8XuxqZIXt에 추가했으며, 현재는 액세스할 수 없습니다. 이메일 주소 admin@agencyhill99[.]com도 리포지토리에 추가되었으며, 텔레그램 채널 hxxps://t[.]me/+2AurfGZWxZo0MDgx도 추가되었으나 더 이상 활성 상태가 아닙니다. 사용자는 또한 hxxp://65.108.20[.]73/BattleTank[.]exe 다운로드 링크를 추가했으나 더 이상 활성 상태가 아니며 나중에 hxxp://65.108.20[.]73[:]3000/BattleTank[.]exe로 업데이트되었습니다. 포트 3000은 2024년 10월 20일부터 2024년 11월 22일까지 65.108.20[.]73에서 열려 있었습니다. 링크는 hxxp://locahost[:]3000/BattleTank[.]rar로 업데이트되었습니다.

PurpleBravo 멀웨어 및 인프라

PurpleBravo는 BeaverTail, InvisibleFerret, OtterCookie 멀웨어 제품군을 사용합니다. BeaverTail은 처음에는 NPM 패키지를 통해 JavaScript 페이로드로 배포되었고, 이후 Windows 및 macOS 환경을 대상으로 하는 실행 파일 및 다운로더로 배포되는 악성코드 계열입니다. BeaverTail은 암호화폐 지갑과 브라우저 정보를 수집하는 정보 탈취자 역할도 합니다. InvisibleFerret은 보안 침해 후 페이로드 모음으로, 피해자 환경에서 백도어로 작동합니다. InvisibleFerret은 피해자 환경에 추가적인 악성 페이로드를 도입하고, 피해자 환경 내에서 정보 탈취 및 핑거프린팅 작업을 수행하며, C2 통신에 합법적인 프로토콜과 소프트웨어를 활용합니다. InvisibleFerret과 마찬가지로, OtterCookie는 백도어로 사용되는 보안 침해 후 악성코드 제품군이며 Socket[.]IO를 통해 C2 연결을 설정하고, C2 서버에서 셸 명령을 수신하고 실행하며, 민감한 피해자 데이터를 유출합니다.

Insikt Group은 BeaverTail, InvisibleFerret, OtterCookie 멀웨어 샘플을 분석했습니다(관련 파일 해시는 부록 B 참조). BeaverTail 샘플은 Windows 환경을 대상으로 하는 PE 변종으로 식별되었습니다. 이 샘플에는 freeconference[.]com이라는 합법적인 회의 웹사이트로 연결된 URL이 포함되어 있으며, 이는 FreeConference 실행 파일로 가장한 컨테이저스 인터뷰(Contagious Interview) 페이로드에 대한 Unit42의 발견과 일치합니다. OtterCookie 샘플은 멀웨어 계열의 두 가지 별도 버전이었으나, 이 샘플들을 정적으로 분석한 결과, 두 샘플 모두 시스템 지문 정보를 수집하여 공격자 C2 서버로 전송하는 능력을 보여주는 문자열이 포함되었으며, 여기에는 OtterCookie가 실행 파일, 사진, 구성 및 환경 파일 등의 정규식 패턴을 사용하여 특정 파일 유형에서 발견된 암호화폐 자산과 민감한 정보를 식별할 수 있다는 것을 나타내는 문자열이 포함되었습니다.

분석된 InvisibleFerret 샘플은 다음과 같은 기능을 가진 Python 스크립트입니다:

로컬 IP 주소 조회를 통해 피해자 장치의 위치 확인
장치 핑거프린팅 세부 정보 (사용자 및 호스트 이름)
HTTP POST 요청을 통해 Base64로 인코딩된 C2 주소에 연결
하드 코딩된 문자열을 사용하여 로컬 디렉터리 검색 수행
SSH 세션 관리 및 데이터 유출을 위한 역방향 셸 생성
클립보드 데이터 복사, 키로깅, 마우스 움직임 추적.

InvisibleFerret의 이전 샘플은 Zscaler에 의해 분석되었으며, 그림 2에 표시된 바와 같이 HTTP 트래픽을 통해 초기 정찰이 이루어지고 FTP가 데이터 유출에 사용되는 등 두 부분으로 구성된 감염 체인을 설명합니다.

그림 2: 인비저블페럿 감염 체인(출처: Recorded Future 및 Zscaler)

Insikt Group은 2024년 8월부터 2025년 2월 사이에 21개의 PurpleBravo 서버를 식별했습니다(전체 목록은 부록 B 참조). 대부분의 서버는 Tier[.]Net 호스팅을 사용하며, Majestic Hosting, Stark Industries, Leaseweb Singapore, Kaopu Cloud HK도 이 캠페인에 사용됩니다. Insikt Group은 이전에 다른 북한 위협 그룹들이 이러한 호스팅 제공업체를 선호하는 것을 관찰한 바 있습니다. Insikt Group은 2024년 9월부터 2025년 2월 13일 사이에 Recorded Future Network Intelligence를 사용하여 C2 서버 외에도 피해자로 의심되는 대상 7개 이상을 관찰했습니다. 피해자는 아랍에미리트, 코스타리카, 인도, 베트남, 튀르키예, 대한민국 등 최소 6개국에 위치해 있습니다. 오픈 소스 연구에 따르면 Astrill VPN은 북한 IT 인력 사이에서 선호되는 서비스로 확인되었으며, 그들이 원격 관리 도구와 함께 이 서비스를 사용한다는 증거가 있습니다. Insikt Group은 알려진 Astrill VPN 엔드포인트와 PurpleBravo 서버 간의 네트워크 트래픽을 관찰하여 이 연결성을 입증했습니다.

그림 3: PurpleBravo 피해자의 위치(출처: Recorded Future)

아래 요약된 조사 결과에서 암호화폐 분야의 최소 세 개의 피해자가 확인되었습니다.

2024년 10월 3일, Insikt Group은 아랍에미리트에 본사를 둔 암호화폐 분야의 시장 조성 회사와 BeaverTail C2 사이의 정찰 트래픽을 관찰했습니다. 정찰 트래픽 직후, 동일한 IP 주소 간에 유출 가능성이 있는 FTP 트래픽이 관찰되었습니다.
2024년 10월 15일, Insikt Group은 BeaverTail C2와 암호화폐 공간에서 온라인 게임을 제공하고 슬롯머신을 판매하는 도박 회사 간에 정찰 트래픽이 있을 가능성을 관찰했습니다. 해당 회사는 코스타리카에 등록되어 있습니다. 2024년 11월 25일과 26일에 C2와 회사의 인프라 사이에서 정찰 트래픽에 이어 FTP 유출 트래픽이 관찰되었습니다.
2024년 10월 2일, Insikt Group은 블록체인, AI, 모바일 등 다양한 애플리케이션을 개발하며 인도에 본사를 둔 소프트웨어 개발 회사와 BeaverTail C2 간의 잠재적인 FTP 데이터 유출 트래픽을 관찰했습니다.

전체 분석 내용을 읽으려면 여기를 클릭하여 PDF 보고서를 다운로드하세요.