북한의 인공지능(AI) 악용 수법이 가짜 이력서와 취업 면접을 정교하게 꾸미는 단계를 넘어, 널리 쓰이는 소프트웨어와 오픈소스 생태계, 화상회의, 앱 서명 체계까지 파고들고 있다는 경고가 잇따르고 있습니다. 사람을 노리는 기만 수법과 공급망 공격이 결합하면서, 기업들이 의심 없이 받아들여온 ‘디지털 신뢰 체계’의 근간이 흔들리고 있다는 분석입니다.
미국 정부는 이런 흐름을 미국만의 문제가 아닌 전 세계적 위협으로 보고 있습니다.
국무부는 VOA의 관련 질의에 “북한의 사이버 범죄 문제는 미국을 포함해 전 세계 기업과 사법권에 영향을 미치는 진정한 글로벌 문제”라고 답했습니다. 이어 “미국은 뜻을 같이하는 국가들과 긴밀히 협력해 사이버 공간에서의 파괴적이고 불안정한 행위를 저지하고 규탄하고 있다”며, “정부와 네트워크 방어자들, 그리고 일반 대중이 경계를 늦추지 않고 함께 북한의 사이버 위협을 완화하는 것이 중요하다”고 강조했습니다.
[국무부 대변인] “The issue of DPRK cybercrime is a truly global problem that touches companies and jurisdictions around the world, including the United States…The United States works closely with likeminded countries to disrupt and condemn destructive and destabilizing behavior in cyberspace. It is vital for governments, network defenders, and the public to stay vigilant and work together to mitigate the DPRK cyber threat.”
FBI도 북한의 AI 악용이 단순한 위장 취업을 넘어, 광범위한 온라인 기만과 첩보 활동으로 확장되고 있다고 설명했습니다. FBI는 VOA에 “이 행위자들이 점점 더 AI를 이용해 설득력 있는 스피어피싱 이메일과 가짜 문서, 딥페이크 신원을 만들어내고 있으며, 이는 사회공학, 즉 사람의 신뢰를 악용한 기만 수법과 첩보 활동을 더 효과적으로 만들고 탐지를 더 어렵게 한다”고 밝혔습니다.
[FBI] “These actors increasingly use AI to generate convincing spearphishing emails, fake documents, and deepfake identities that make social engineering and espionage campaigns more effective and harder to detect…Foreign Intelligence Services (FIS) are increasingly leveraging AI and cutouts to generate effective online content that appears professional. FIS officers have even impersonated legitimate organizations, such as think tanks and consultancies, putting unwitting US persons at heightened risk of recruitment.”
또 “외국 정보기관들은 점점 더 AI와 중간 연결책을 활용해 전문적으로 보이는 온라인 콘텐츠를 만들어내고 있고 싱크탱크나 컨설팅 회사 같은 합법적인 조직을 사칭해, 미국 내 인사들이 자신도 모르는 사이 포섭 대상이 될 위험을 높이고 있다”고 FBI는 경고했습니다.
문제는 이제 AI가 단지 이력서를 더 그럴듯하게 꾸미는 도구에 머물지 않는다는 점입니다. 사람과 조직이 별 의심 없이 받아들이는 신원, 문서, 메시지, 인간관계망까지 정교하게 위장하는 수단으로 쓰이고 있습니다. 북한의 위협도 사람을 기업 안으로 들여보내는 데 그치지 않고, 기업들이 신뢰하는 소프트웨어와 플랫폼, 화상회의, 개발 도구까지 함께 파고드는 쪽으로 확산하고 있습니다.
구글 위협 인텔리전스 그룹(GTIG)은 VOA에 “신뢰받는 소프트웨어 생태계에 대한 북한의 공격을 2023년부터 추적해 왔다”며 “2023년에는 북한의 공급망 침해가 중국 연계 위협 그룹보다 더 많이 포착됐고, 2024년에는 북한 위협 행위자들이 악성 엔피엠(npm)과 파이피아이(PyPi) 패키지를 활용한 여러 사례도 확인됐다”고 설명했습니다.
[GTIG] “GTIG has been tracking North Korea’s attacks on trusted software ecosystems since 2023. In 2023, North Korean supply chain compromises actually outpaced those attributed to Chinese threat groups, and in 2024 we observed several instances of North Korean threat actors leveraging malicious npm and PyPi packages.”
GTIG는 또 “소프트웨어 생태계에 대한 지속적 악용은 기술 분야와 금융 부문 등 다양한 조직에 중대한 위협”이라며, 최근 악시오스(Axios) 공급망 침해에서 보였듯 북한이 전형적인 사회공학 전술을 넘어 신뢰받는 소프트웨어까지 겨냥하고 있음을 보여준다고 밝혔습니다. 이어 “북한은 국가가 후원하는 첩보 활동과 대규모 금융 절도를 결합해 글로벌 제재를 우회하는 독특한 위협”이라고 규정했습니다.
[GTIG] “The continued exploitation of software ecosystems represents a significant threat to organizations operating in the technology, financial sector and many others, and underscores North Korea's technical maturity beyond its typical social engineering tactics…North Korea represents a unique convergence of state-sponsored espionage and large-scale financial theft specifically designed to bypass global sanctions. Additionally, North Korean operations frequently involve the direct targeting of individuals and organizations, alongside the exploitation of trusted software.”
GTIG의 이런 평가는 최근 오픈AI(OpenAI) 공개 사례와도 맞물립니다. 오픈AI는 지난 10일 자사의 맥 운영체제(macOS) 앱 서명 과정에 쓰인 워크플로가 악성 악시오스(Axios) 버전을 실행했고, 이 과정에서 서명 관련 인증 자료에 접근할 수 있었다고 공지했습니다. 실제 인증서 유출 가능성은 낮다고 봤지만, 예방 차원에서 인증서를 교체했다는 설명입니다. AI 핵심 기업의 앱 서명 체계까지 공급망 공격의 영향권에 들어갈 수 있음을 보여주는 대목입니다.
사이버 보안 기업 카스퍼스키가 지난해 10월 공개한 블루노로프 사례는 공격 수법의 확장을 보여줍니다. 이 북한 해킹 조직은 생성형 AI와 사회공학을 결합해 Web3·암호화폐 업계의 임원과 블록체인 개발자를 겨냥했고, 벤처캐피털 투자자나 채용 담당자를 사칭해 가짜 화상회의와 악성 깃허브(GitHub) 저장소로 피해자를 유인했습니다.
마이크로소프트가 2024년 공개한 문스톤 슬릿(Moonstone Sleet) 사례는 위장 방식의 진화를 보여줍니다. 북한 연계 행위자들은 소프트웨어 개발·IT 서비스 회사를 사칭하는 가짜 기업을 만들고, 블록체인과 AI 관련 역량을 내세워 접근했습니다. 가짜 개인을 넘어 가짜 회사와 웹사이트, 소셜미디어 계정까지 동원하는 방식입니다.
북한의 이런 위협은 미국에만 머물지 않고 유럽으로도 번지고 있다는 평가가 나옵니다. 영국의 블룸즈버리 인텔리전스 앤드 시큐리티 인스티튜트(BISI)의 아리야메르 파타히 개발총괄은 VOA에 “가장 분명한 징후는 활동 무대의 이동”이라고 말했습니다. 미국의 단속이 강화되면서 북한 연계 인력들이 독일, 포르투갈, 영국의 기업과 방산·정부 관련 조직으로 향하고 있다는 설명입니다.
[아리야메르 파타히 / BISI 개발총괄] “The clearest indicator is the geographic pivot. As US enforcement has tightened, operatives have shifted toward European employers, actively targeting defence contractors and government-related organisations in Germany, Portugal, and the United Kingdom.”
파타히 개발총괄은 특히 이 문제를 단순한 채용 사기나 행정 문제로 봐서는 안 된다면서 “사기성 직원은 방화벽을 뚫고 들어오는 것이 아니라, 기업의 일상적인 절차를 거쳐 내부로 들어온다”고 말했습니다. 또 “대부분의 기업들은 여전히 채용을 행정 기능으로 취급한다”며, 인력 인증이 자금세탁방지나 공급망 실사만큼 엄격하게 다뤄지지 않는 한 노동시장은 적대적 국가 행위자가 악용할 수 있는 구조적으로 취약한 통로로 남게 된다고 경고했습니다.
[아리야메르 파타히 / BISI 개발총괄] “A fraudulent employee is not breaching a firewall; they are being invited inside through routine corporate processes…Most firms still treat recruitment as an administrative function. Until workforce authentication is treated with the same rigour as anti-money-laundering or supply-chain due diligence, the labour market will remain a structurally under-protected route for hostile state access.”
이런 지적은 민간 보안업계의 분석과도 맞닿아 있습니다. 싱가포르에 본사를 둔 보안 전문 기업 그룹아이비(Group-IB)는 이 위협을 더 이상 단순한 채용 사기로 볼 수 없다고 설명했습니다. 그룹아이비 대변인은 VOA에 “이는 단순한 채용 사기 문제가 아니라 보안, 컴플라이언스, 운영 전반에 걸친 기업 리스크”라며, “이 가짜 신원들은 신뢰를 얻고 채용 관문을 통과한 뒤 궁극적으로 기업 시스템과 민감한 데이터, 자금 흐름에 접근하도록 설계됐다”고 밝혔습니다. 그러면서 “기업들은 이를 원격 채용 환경이 만들어낸 ‘내부자 리스크’ 경로로 봐야 한다”고 지적했습니다.
[Group-IB 대변인] “Organizations should recognize that this is not simply a hiring fraud issue, but an enterprise risk spanning security, compliance, and operations. These synthetic identities are engineered to gain trust, pass recruitment processes, and ultimately secure access to corporate systems, sensitive data, and financial flows. The use of AI further enhances their effectiveness by enabling more convincing communication and scalable interaction with employers. As a result, companies must treat this as an insider risk vector enabled by remote hiring environments, not just as fraudulent job applications.”
기업들이 실제로 무엇을 바꿔야 하는지에 대한 실무적 제안도 이어집니다. 보안업체 디텍스(DTEX)의 최고경영자 마셜 하일먼은 VOA에 북한의 위협이 효과를 거두는 배경으로 공격의 정교함뿐만 아니라, 대응 조직의 내부적인 분절을 꼽았습니다. “이 위협은 인사, 채용, 보안, 법무, 컴플라이언스 부서가 서로 칸막이 안에서 움직인다는 점을 파고든다”는 것입니다. 또 “수상한 활동이 단순한 채용 문제 하나로 치부되고, 실제로는 정당한 기업에 신뢰 기반 접근권을 얻기 위한 조직적 작전이라는 사실이 간과되고 있다”고 설명했습니다.
[마셜 하일먼 / DTEX CEO] “What makes this threat so effective is not just the sophistication of the operation. It is the fragmentation it exploits on our side. It depends on HR, recruiting, security, legal, and compliance working in silos. It depends on suspicious activity being written off as an isolated hiring issue instead of recognized for what it is: a coordinated campaign designed to gain trusted access to legitimate companies.”
하일먼 최고경영자는 이어 이사회와 채용 관리자, 리크루터, 인사, 법무, 컴플라이언스, 보안팀이 모두 이 문제를 함께 이해하고, 명확한 대응 절차와 공동 플레이북을 갖춰야 한다고 강조했습니다. 외부 공급업체와 협력업체의 채용 관행까지 함께 들여다봐야 한다는 지적입니다.
[마셜 하일먼 CEO] “That is why awareness must move far beyond the security team. Boards need to understand the issue. Hiring managers need to know the warning signs. Recruiters need better threat context. HR, legal, compliance, and security need clear escalation paths and a shared playbook. Organizations must hold their third-party suppliers and vendors accountable for their hiring practices and be more willing to share suspicious patterns and lessons learnt before another company becomes the next victim.”
소포스 X-Ops의 사라 컨 북한 및 신흥 위협 담당 책임자도 이 사안을 단일한 채용 단계 문제로 취급하는 것이 가장 흔한 실수라고 지적했습니다. 인사, 법무, IT, 보안의 조율 없이는 탐지가 어렵고, 실제로는 여러 팀에 흩어진 이상 징후를 맞춰봐야만 위협의 실체가 드러난다는 것입니다. 또 실질적인 대응으로는 사전 교육, 신원 확인, 장비 및 접근 통제, 지속적 모니터링을 겹겹이 쌓는 방식이 필요하다고 제안했습니다.
[사라 컨 / Sophos X-Ops 북한 및 신흥 위협 담당 책임자] “One of the most common issues is treating this as a single-point hiring problem, instead of a cross-functional risk that needs coordination across HR, Legal, IT, and security. For example, organizations may lean heavily on third-party background checks; if a fraudulent candidate supplies inconsistent information to different parties, they can sometimes slip through without anyone realizing. In practice, detection usually depends on aligning multiple indicators across teams, not finding one obvious red flag.”
이처럼 미국 정부와 민간 보안업계가 함께 경고하는 것은, 북한의 AI 악용이 가짜 이력서나 취업 사기 차원에 머물지 않는다는 점입니다. 국가 주도의 첩보 활동과 외화 탈취, 디지털 신뢰 기반 교란이 서로 맞물리면서 위협의 성격도 한층 복합적이고 구조적으로 바뀌고 있다는 진단입니다.
VOA 뉴스
Forum