북한의 인공지능(AI) 악용을 둘러싼 미 당국과 보안 업계의 경고음이 커지고 있습니다. 우려의 중심은 단순한 기술적 논의를 넘어 가짜 신원 생성과 원격 취업, 이를 통한 기업 내부 침투와 국가 안보 위협으로 빠르게 옮겨가고 있습니다.
특히 주목할 점은 북한이 AI를 단순한 기술 과시가 아닌 체계화된 '침투 도구'로 활용하고 있다는 사실입니다. AI로 정교화된 가짜 IT 인력을 미국과 서방 기업 깊숙이 밀어 넣음으로써, 불법 수익 창출과 첩보 활동 모델을 한층 더 고도화하고 있습니다.
미국 정부는 북한의 사이버 범죄를 단순한 일탈이 아닌 국제 제재를 무력화하고 정권의 핵심 동력을 확보하는 전략적 수단으로 규정하고 있습니다. 국무부는 VOA의 관련 질의에 “최근 수년간 북한은 국제 제재를 우회하고 불법적인 대량살상무기(WMD)와 탄도미사일 개발 자금을 마련하기 위해 사이버 범죄에 대한 의존도를 높여왔다”고 밝혔습니다. 특히 가상화폐 탈취와 자금 세탁이 이러한 전략의 핵심축으로 자리 잡았다고 지적했습니다.
[국무부 대변인] “In recent years, the DPRK has increasingly turned to cybercrime to circumvent international sanctions and fund its unlawful weapons of mass destruction and ballistic missile programs. Cryptocurrency heists and laundering have become a significant part of this strategy.”
국무부는 또한 가상화폐 절도, 불법 정보기술(IT) 노동, 위조 상품 거래, 석유 밀수 등 북한의 전방위적인 수익 창출 수법이 “미국 기업과 시민을 직접적인 타깃으로 삼고 있다”는 점을 분명히 했습니다. 이렇게 확보된 자금이 결국 북한의 위험하고 불법적인 WMD 프로그램으로 흘러 들어간다는 설명입니다.
[국무부 대변인] “North Korea’s revenue generation schemes—which include cryptocurrency theft, illicit information technology (IT) work, trafficking in counterfeit goods, oil smuggling, and other transnational criminal activities—often target U.S. companies and U.S. citizens to raise funds for North Korea’s dangerous and unlawful WMD and ballistic missile programs…”
미국 정부가 북한의 AI 악용을 단순한 기술적 변화가 아닌, 기존의 불법 외화벌이 구조를 더 은밀하게 재편하는 '강력한 수단'으로 인식하고 있음을 보여줍니다.
FBI는 북한 IT 인력 조직이 채용 담당자의 감시망을 뚫기 위해 “필요한 모든 수단”을 동원해 왔으며, 특히 AI의 등장이 이들에게 강력하고 유용한 도구가 되고 있다고 분석했습니다. FBI는 VOA에 “AI는 북한 노동자들이 이력서를 조작하고 신원을 은폐하는 데 결정적인 도움을 주고 있으며, 이는 결과적으로 민간 기업의 탐지 역량을 더 복잡하게 만든다”고 진단했습니다.
[FBI] “We are aware the North Korean IT worker cadre will do whatever is necessary to obfuscate and obscure their identities from hiring professionals and the advent of artificial intelligence has proven to be a very valuable tool for them. Artificial intelligence helps IT workers create resumes and obfuscate their identities, further complicating detection by private companies.”
수법은 치밀하고 전방위적입니다. FBI에 따르면 이들은 생성형 AI와 딥페이크 기술을 악용해 정부 및 군 신분증을 위조하는 것은 물론, 허위 지원용 합성 사진과 음성까지 만들어내고 있습니다. 나아가 장기간 유지되는 가짜 소셜미디어 인물(Persona)을 앞세워 원격 IT 일자리를 꿰찬 뒤, 기업 데이터를 탈취하고 불법 수익을 정권으로 송금하는 통로 역할을 하고 있다는 설명입니다.
[FBI] “They have used generative AI and deepfake technologies to forge government or military IDs, create synthetic photos and voices for fraudulent job applications, and maintain long-term fake social media personas, enabling them to secure remote IT roles, steal data, and channel illicit revenue back to the regime.”
이에 따라 FBI는 이 문제를 단순한 취업 사기나 신분 도용을 넘어선 ‘국가 안보 위협’으로 규정했습니다. “북한의 원격 IT 노동자들은 데이터 절도와 갈취, 악성코드 배포를 실행할 수 있는 중대한 위협”이며, “이들이 벌어들인 자금이 북한의 군사력 강화와 핵무기 개발의 돈줄이 되고 있다”는 것입니다. FBI는 특히 “북한의 IT 인력 수법은 지속적으로 진화하는 위협인 만큼, 당초부터 국가 안보 차원의 중대 사안으로 다뤄져 왔다”고 강조했습니다.
[FBI] “DPRK remote IT workers are a significant threat, as they can facilitate data theft, extortion, and malware deployment. The money gained from this scheme is used to pay for DPRK military and nuclear weapons ambitions…North Korea’s IT worker schemes are a persistent and evolving threat and have always been treated as a national security issue.”
아울러 이들이 위장 취업을 통해 현장에서 습득하는 고도의 정보와 기술적 경험이 “향후 북한의 악성 사이버 공격이나 군사 개발 역량을 고도화하는 데 매우 귀중한 자산이 될 것”이라고 경고했습니다.
[FBI] “The information and experience these actors gain during fraudulent IT work could prove invaluable to North Korea’s future malicious cyber or military development efforts.”
북한의 위장 취업은 이미 전통적 취업 사기를 넘어선 안보 위협 단계에 진입했습니다. 지난 15일 미 법무부는 북한 인력의 원격 접속 거점인 이른바 ‘노트북 팜(Laptop Farm)’을 운영한 미국인 2명에게 실형을 선고했습니다. 이들은 북한 원격 IT 노동자들이 미국 거주자인 것처럼 꾸며 100개가 넘는 미국 기업에서 일자리를 얻도록 도왔으며, 500만 달러 이상의 불법 수익이 북한 정권으로 흘러가게 했습니다.
이 과정에서 발생한 기술 유출은 특히 치명적이었습니다. 해외 공범이 AI 기반 장비와 기술을 개발하는 캘리포니아 방산업체 자료에 무단 접근해 국제무기거래규정(ITAR) 통제 기술 자료까지 확보한 것으로 적시됐습니다. 북한의 타깃이 단순 외화 벌이를 넘어 서방의 첨단 기술 자산으로 확장됐음을 보여주는 대목입니다.
이러한 범죄는 치밀하게 설계된 ‘구조적 위협’으로서 반복되고 있습니다. 미국 수사당국은 이미 여러 차례 이런 구조를 확인해 왔습니다. 특히 2025년 7월 애리조나 여성 ‘크리스티나 마리 채프먼’ 사건에서 법무부는 북한 IT 노동자들의 원격 취업 수법이 300개가 넘는 미국 기업에 걸쳐 이뤄졌고, 68개 도용 신원, 309개 미국 기업과 2개 해외 기업 피해, 1천700만 달러 이상의 불법 수익이 확인됐다고 밝혔습니다.
민간 보안업계는 북한의 침투 구조가 AI와 결합하면서 발생한 ‘질적 도약’에 주목합니다. 셰로드 드그리포 마이크로소프트 위협 인텔리전스 총괄은 VOA에, 자사가 추적 중인 북한 연계 조직 ‘재스퍼 슬릿(Jasper Sleet)’의 작전에서 “생성형 AI 이전에는 불가능했던 수준의 운영적 정교함(Operational Polish)이 나타나고 있다”고 분석했습니다. 과거보다 훨씬 큰 규모와 속도로 작전이 전개될 수 있다는 의미입니다.
[셰로드 드그리포 / 마이크로소프트 위협 인텔리전스 총괄] “What Microsoft Threat Intelligence observed with Jasper Sleet was a level of operational polish that simply was not possible before generative AI, and certainly not at scale and speed.”
가장 큰 변화는 ‘그럴듯한 가짜 전문가’를 만들어내는 일이 훨씬 쉬워졌다는 점입니다. 드그리포 총괄은 북한이 정밀한 검증에도 그럴듯해 보일 만큼 치밀한 전문직 신원을 만드는 데 AI를 악용하고 있다고 지적했습니다. 특정 직무에 최적화된 맞춤형 이력서는 물론, 일관된 경력을 갖춘 링크드인 프로필, 해당 분야에 대한 깊은 이해도가 느껴지는 자기소개서 등이 AI를 통해 ‘패키지’로 생산됩니다. 특히 화상 면접 중 AI 보조 도구를 활용해 기술적 질문에 실시간으로 답변하는 수법은, 지원자의 실제 배경을 감출 수 있을 정도의 유창함을 보인다는 설명입니다.
[셰로드 드그리포 총괄] “These threat actors are using AI to create fabricated professional identities that hold up to scrutiny. Things like resumes tailored to specific job descriptions, LinkedIn profiles with coherent work histories, and cover letters that read like they were written by someone who deeply understands the role. In interviews, we have seen AI-assisted responses that allow threat actors to answer technical questions in real time with a fluency that masks their actual background.”
진입 장벽이 무너진 점도 위협적입니다. 드그리포 총괄은 “과거에는 설득력 있는 가짜 인격체(Persona) 몇 명을 운영하는 데도 막대한 자원과 조율이 필요했지만, 이제는 훨씬 적은 인력으로 수십 건의 지원을 동시에 진행할 수 있게 됐다”며 “공격의 최소 품질(Quality floor)이 획기적으로 높아지면서 작전의 진입 장벽 자체가 무너졌다”고 평가했습니다.
[셰로드 드그리포 총괄] “On scale, what previously required significant resources and coordination to run a handful of convincing personas can now be done across dozens of simultaneous applications with far fewer people. On sophistication, the quality floor has risen dramatically…The barrier to entry for this type of operation has collapsed…”
하지만 드그리포 총괄이 꼽은 가장 치명적인 위협은 채용 이후의 ‘접근권’입니다. 일단 이들이 ‘신뢰받는 직원’의 가면을 쓰고 조직 내부에 침투하면 합법적인 계정과 권한을 부여받게 됩니다. 이때부터는 이들의 악성 활동이 정상적인 업무 수행과 교묘히 뒤섞여 탐지가 훨씬 더 어려워진다는 경고입니다.
[셰로드 드그리포 총괄] “The access. Once these actors are inside an organization as trusted employees, they have legitimate credentials, they understand the environment, and their activity blends with normal work.”
싱가포르의 보안 전문 기업 그룹아이비(Group-IB)는 북한의 이러한 행보를 산발적 사기가 아닌 ‘산업화된 모델’로 규정했습니다. 그룹아이비 대변인은 VOA에 “가장 중요한 발견은 이 활동이 고립되거나 기회주의적인 차원이 아니라, 매우 체계적(Systemic)이라는 점”이라고 밝혔습니다.
[Group-IB 대변인] “The most significant finding is that this activity is not isolated or opportunistic, but rather it is systemic.”
그룹아이비는 북한의 작전이 ‘반복성’과 ‘조율’이라는 특징을 띠고 있다고 분석했습니다. “가짜 인격을 생성하고 유지하기 위한 표준화된 작업 절차, 신원 자료의 중앙 집중식 저장소, 정형화된 지원 답변 템플릿, 그리고 여러 프로필이 공유하는 기술 인프라를 확인했다”는 설명입니다.
[Group-IB 대변인] “Our assessment is based on clear evidence of repeatability and coordination. We observed standardized workflows for creating and maintaining personas, centralized repositories of identity materials, templated job application responses, and shared technical infrastructure across multiple profiles.”
특히 보관된 ‘가짜 신원 패키지(Persona Packages)’와 AI 기반의 소통 템플릿은, 여러 가짜 신원을 동시에 운용할 수 있는 “조직적이고 ‘생산 라인’ 같은 시스템”의 구조를 보여준다고 분석했습니다.
[Group-IB 대변인] “Indicators such as archived ‘persona packages’ and AI-assisted communication templates point to an organized, production-like system…”
보안업체 DTEX의 마이클 반하트 국가 연계 위협 인텔리전스 연구원은 AI가 이 위협을 기존 방어 체계로는 감당하기 어려운 수준으로 가속화하고 있다고 분석했습니다. “AI에 의해 증폭된 북한의 ‘인재 엔진’은 기존의 보안 시스템이 상정하지 못한 속도로 위협을 키우고 있다”는 진단입니다.
[마이클 반하트 / DTEX 국가 연계 위협 인텔리전스 연구원] “Now amplified by AI, this talent engine is accelerating the threat beyond anything conventional defenses were designed to handle…”
채용 과정에서의 구체적인 기만 수법도 문제입니다. 반하트 연구원은 “모집책이나 기술 교육 담당자들이 구직자들에게 면접 과정에서 생성형 AI나 딥페이크 도구 활용을 권장할 수 있다”며, 이는 “사용자의 가짜 이력서를 뒷받침할 답변 생성을 돕거나, 조직에 제공한 가짜 신원에 맞게 구직자의 외모까지 변조하는 데 악용될 수 있다”고 설명했습니다.
[마이클 반하트 연구원] “Recruiters or skill trainers may promote the use of GenAI or deepfake tools to assist job seekers in the interview process. This may be to help answer questions to back up the user’s fake resume or to help disguise the user’s physical appearance to match the fake identity supplied to the organization.”
소포스 X-Ops의 사라 컨 북한 및 신흥 위협 담당 책임자 역시 이 문제를 경영 전반을 뒤흔드는 중대 위협으로 규정했습니다. 특히 “기술 직군에서 100% 원격 근무 직원을 채용하는 조직은 북한 연계 위장 IT 노동자들의 표적이 될 위험이 매우 높다”며 그 근거로 “작전의 방대한 규모”와 “위협 행위자들의 집요한 지속성”, 그리고 “AI 기반 신원 기만 수법”을 꼽았습니다.
[사라 컨 / Sophos X-Ops 북한 및 신흥 위협 담당 책임자] “Sophos assesses that organizations hiring fully remote employees, in technical roles face a high risk of being affected by North Korea-linked fraudulent IT workers… The operation is large in scale, and the actors are persistent. Their tradecraft keeps evolving to stay effective, including AI-assisted identity deception.”
결국 미국 정부와 민간 보안업계의 공통된 진단은 하나의 지점으로 모아집니다. 북한의 AI 기술 도입이 단순히 이력서를 위조하는 지엽적 단계를 넘어섰다는 점입니다. 이제 북한은 실체 없는 ‘가상 인격체’를 기업 내부 깊숙이 침투시켜, 자금과 정보는 물론 시스템 접근권까지 장악하는 고도화된 ‘수익 창출 구조’를 구축하고 있습니다.
미국 수사당국은 기업들이 채용 단계에서 간과해서는 안 될 구체적인 ‘위험 신호’들을 제시하며 각별한 주의를 당부하고 있습니다.
FBI는 북한 IT 노동자들의 수법과 관련해 VOA에, “지원자가 이력서에 적힌 구체적인 사항에 대해 제대로 답하지 못하는 경우를 자주 봤다”고 설명했습니다. 특히 미국 내 특정 지역 거주자라고 주장하면서도 해당 지역의 유명 식당이나 모교의 주요 상징물(Landmark) 같은 기본적인 질문에 답하지 못한다면 정밀한 재검증이 필요하다고 지적했습니다.
[FBI] “We’ve often seen that ITW applicants are unable to answer specific questions on information detailed on their resume.” / “We have found that companies are best protected from these schemes when they educate and involve the entire team…”
기술적 기만술에 대한 경계도 늦추지 않았습니다. 화상 면접 시 카메라 사용을 거부하거나, 인공지능(AI)을 이용해 외모를 변조하는 과정에서 발생하는 특유의 ‘영상 흔적(Artifacts)’이 발견되는 경우입니다. 서로 다른 인적 사항을 가진 지원자들이 동일한 전화번호를 돌려가며 사용하는 정황 역시 주요 경계 대상입니다.
FBI는 이러한 지능형 위협에 대응할 최선의 방책으로 인사(HR)로부터 자산관리, 보안팀까지 전 부서원을 교육하고 참여시키는 ‘전사적 대응(Whole-of-company approach)’을 강조했습니다.
[FBI] “Using a whole-of-company approach and creating avenues to collaborate on hires can allow companies to identify changes during the course of the hiring/onboard process that should be looked into further prior to hire. For example, if the HR team is told the individual changed their shipping address and communicates that with the asset management team prior to shipping a company asset, this can allow the company to conduct additional checks into why these changes are occurring and whether the individual is a legitimate hire.”
가령 채용 과정에서 갑자기 장비 배송지가 변경되는 등의 미묘한 징후를 각 부서가 실시간으로 공유하고 검증하는 협업 체계만이, 갈수록 교묘해지는 북한의 침투 시나리오를 무력화할 수 있는 가장 강력한 방어막이 될 수 있다는 제언입니다.
VOA 뉴스
Forum