위장 취업한 북한의 IT 직원 관련 위협을 완화하는 방법
Mandiant
* 해당 블로그의 원문은 2024년 9월 24일 Google Cloud 블로그(영문)에 게재되었습니다.
작성자: Codi Starks, Michael Barnhart, Taylor Long, Mike Lombardi, Joseph Pisano, Alice Revelli
개요
2022년부터 맨디언트는 북한(DPRK)의 이익을 위해 활동하는 IT 근로자들을 추적하고 보고해 왔습니다. 이들은 북한 국적을 숨기고 다양한 산업 분야의 기업에 고용되어, 북한 정권에 수익을 창출하는 데 기여하고 있습니다. 특히, 제재를 피하고 대량살상무기(WMD)와 탄도미사일 프로그램에 필요한 자금을 마련하는 데 주력하고 있습니다. 2022년 미국 정부 자문 조직에 따르면 이 근로자들은 직무를 통해 얻은 권한을 악용해 악의적인 사이버 침입을 가능하게 했으며, 이는 맨디언트와 다른 기관들이 확인하였습니다.
IT 근로자들은 탐지를 피하기 위해 다양한 수법을 사용합니다. 맨디언트는 이들이 북한의 IT 근로자들이 자신을 숨기기 위해 이용하는 가짜 회사(front Company)를 이용해 실제 신원을 숨기는 것을 목격했습니다. 또한, 미국 정부의 기소 자료에 따르면 ‘조력자’로 알려진 북한 국적이 아닌 개인들이 이 IT 근로자들이 일자리를 구하고 유지하는 데 중요한 역할을 하고 있습니다. 이 조력자들은 자금 세탁, 암호화폐 송금, 회사 노트북을 자신의 거주지에서 수령 및 보관, 도용된 신원으로 고용 확인을 받는 일, 그리고 국제 금융 시스템 접근과 같은 필수적인 서비스를 제공합니다.
이 보고서는 북한의 이익을 위해 신분을 속이고 취업한 IT 근로자들이 고용을 얻고 기업 시스템에 접근을 유지하기 위해 사용하는 운영 전술에 대한 인식을 높이는 것을 목표로 하고 있습니다. 위협 행위자들의 방식을 이해하면 조직은 채용 과정에서 이와 같은 의심스러운 행동을 더 일찍 감지할 수 있습니다. 본 포스팅의 말미에는 맨디언트가 사건 대응 중에 식별한 행동 유형과 북한 IT 근로자들의 활동을 탐지하고 저지하기 위한 전략의 예시가 포함되어 있습니다.
UNC5267
맨디언트는 다양한 환경에서 UNC5267로 식별된 IT 근로자들의 활동을 추적하고 있습니다. UNC5267은 현재도 활발하게 활동 중이며 지속적인 위협을 가하고 있습니다. 일부 소식통에 따르면 이 위협 행위자 집단의 활동은 2018년까지 거슬러 올라갈 수 있습니다. 중요한 점은 UNC5267이 전통적인 중앙화된 위협 그룹이 아니라는 것입니다. 중앙집중식 조직이라기보다는 북한 정부에 의해 파견된 개인들이 느슨하게 연결 개인들이라 이해할 수 있습니다. 이들은 주로 중국과 러시아에 거주하며, 소수는 아프리카와 동남아시아에 머무르고 있습니다. 이들의 주요 임무는 미국의 기술 부문을 포함한 서방 기업에서 고수익의 일자리를 확보하는 것입니다.
UNC5267은 도용된 신원을 사용해 다양한 직책에 지원하거나 계약직으로 고용되어 초기 접근 권한을 확보합니다. UNC5267 운영자들은 주로 100% 원격 근무가 가능한 직책에 지원해 왔습니다. 맨디언트는 이들이 여러 분야와 부문에서 다양한 복잡성과 난이도의 업무를 수행하는 것을 관찰했습니다. 북한을 위해 일하는 IT 근로자들이 동시에 여러 직업을 맡아 매달 여러 급여를 받는 것은 흔한 일입니다. 한 미국 조력자는 IT 근로자들과 협력하여 60명 이상의 미국인 신원을 도용하고 300개 이상의 미국 기업에 피해를 입혔으며, 2020년 10월부터 2023년 10월까지 최소 680만 달러의 수익을 해외 IT 근로자들에게 창출해 주었습니다. UNC5267의 활동 목표는 다음과 같습니다.
- 피해를 입은 회사에서 불법적인 급여 인출을 통한 금전적 이익 창출
- 피해자 네트워크에 대한 장기적 접근을 유지하여 미래의 금전적 착취 가능성 확보
- 스파이 활동 또는 파괴적 활동을 위한 접근 활용 가능성 (아직 명확히 관찰된 바는 없음)
사건 대응
맨디언트의 사건 대응에서 지금까지 주로 관찰된 것은 북한의 이익을 위해 위장 취업한 IT 근로자(이하 북한 IT 근로자)가 주어진 직무 범위 내에서 활동한다는 점이었습니다. 하지만 원격 근로자들은 종종 코드 수정이나 네트워크 시스템 관리를 할 수 있는 고도의 접근 권한을 얻습니다. 이러한 허위 직원들에게 부여된 높은 권한은 심각한 보안 위험을 초래할 수 있습니다.
맨디언트는 원격 근무를 위해 제출된 많은 북한 IT 근로자들의 이력서를 확인했습니다. 위협 행위자의 이메일 주소는 이전에 IT 근로자 관련 활동에서 관찰된 바 있으며, 빠르게 웹사이트를 생성하고 배포하는 데 자주 사용되는 플랫폼인 Netlify에 호스팅된 허위 소프트웨어 엔지니어 프로필과 연결되어 있었습니다. 해당 프로필은 여러 프로그래밍 언어에 대한 숙련도를 주장했으며, CEO, 이사, 다른 소프트웨어 엔지니어들의 링크드인(LinkedIn) 프로필에서 도용된 것으로 보이는 이미지를 사용한 가짜 추천서를 포함하고 있었습니다.
그림 1: 수정되었을 가능성이 있는 위협 행위자의 이력서 이미지
의심되는 북한 IT 근로자의 Netlify 페이지에서 맨디언트는 다른 정체성을 가진 Google Docs에 호스팅된 이력서 링크가 포함된 이력서를 발견했습니다. 링크된 이력서에는 Netlify 페이지와는 다른 이름, 전화번호, 이메일 주소가 기재되어 있었습니다. 또한 두 이력서 사이에는 대학교, 재학 기간, 과거 직책 및 회사 경력에서도 차이가 있었습니다. 하지만 두 이력서 모두에 약간 다르게 변형된 “나는 나 자신을 보는 것보다 다른 사람들이 나를 의지하는 것을 중요하게 생각한다"라는 문구가 있었습니다.
그림 2: 이력서 발췌 내용
그림 3: 이력서 발췌 내용
두 이력서는 맨디언트가 확인한 전체 허위 이력서 중 일부에 불과합니다. 하지만 이 이력서들은 북한 IT 근로자들이 여러 조직에 고용되기 위해 다양한 정체성을 사용하고 있음을 보여줍니다. UNC5267에서 사용된 이력서들의 공통적인 특징은 미국에 기반을 둔 주소와 함께, 싱가포르, 일본, 홍콩 등 북미 외 지역의 대학 학력을 기재하고 있다는 점입니다. 맨디언트는 많은 대학에서 외국 학생의 입학률이 낮다는 사실을 확인했으며, 이는 북미의 잠재적 고용주가 지원자의 학력을 확인하는 데 어려움을 줄 수 있음을 시사합니다. 또한, 맨디언트는 이력서에 기재된 교육 배경과 실제 학력 조사에서 확인된 대학 정보가 일치하지 않는 경우를 여러 차례 관찰했습니다. UNC5267의 이력서들은 종종 공개된 이력서와 상당 부분 중복되거나, 여러 UNC5267 정체성에 걸쳐 광범위하게 재사용되고 있습니다.
UNC5267은 공격 대상 회사의 노트북을 원격으로 접속해 공격을 수행하는 데, 이를 위해 '노트북 팜'을 이용합니다. 노트북 팜은 한 장소에 여러 대의 노트북을 모아놓고, 한 명의 관리자가 월별로 관리하는 시스템입니다. 맨디언트는 이 노트북들이 IP 기반 KVM 장치에 연결된 증거를 확인했습니다. KVM은 키보드, 비디오, 마우스를 하나의 장치로 통합하는 장치로, 이를 통해 원격으로 노트북을 제어할 수 있습니다. 또한, 이러한 사건에서 반복적으로 나타나는 패턴 중 하나는 노트북이 노트북 팜에 도착하자마자 여러 가지 원격 관리 도구가 설치됩니다. 이는 공격자가 실제로 회사에 출근하지 않고, 인터넷을 통해 원격으로 회사 시스템에 접속하고 있음을 나타냅니다. 맨디언트가 사건에서 식별한 원격 관리 도구는 다음과 같습니다.
-
GoToRemote / LogMeIn
-
GoToMeeting
-
Chrome Remote Desktop
-
AnyDesk
-
TeamViewer
-
RustDesk
이러한 원격 관리 도구와의 연결은 주로 Astrill VPN과 연관된 IP 주소에서 발생했으며, 이는 주로 중국이나 북한에서 유래한 것으로 보입니다. 마지막으로 맨디언트와의 조사에서 팀원들과 관리자들은 북한 IT 근로자들이 원격으로 노트북을 운영하면서 화상 통화를 피하고, 작업 품질이 평균 이하였다는 점을 꾸준히 강조했습니다.
또한, 맨디언트 조사에서 발견된 또 다른 공통점은 북한 IT 근로자들이 한 장소에 거주한다고 주장하면서도 노트북을 노트북 팜 또는 외부 조력 기관 같은 다른 장소로 배송해 달라고 요청하는 경우가 많다는 것입니다. 맨디언트는 이들이 고용 과정에서 도용된 신분, 특히 도용된 운전면허증과 연관된 주소를 사용하는 경우가 많다는 점을 확인했으며, 그 주소는 실제로 노트북이 최종적으로 배송되고 보관되는 장소와 일치하지 않는 경우가 많았습니다.
탐지 방법
맨디언트는 신뢰할 수 있는 소스와 정부가 제공하는 정보를 기반으로 조직이 북한 IT 근로자들의 활동을 식별하고 차단할 수 있는 다양한 전략을 제시하고 있습니다. 북한의 사이버 위협에 효과적으로 대응하기 위해서는 기술적 방어, 사용자 교육, 사전적 위협 탐지를 결합한 종합적인 접근이 필요합니다. 주요 권장 사항은 다음과 같습니다.
채용 과정에서 검증하기
-
생체 정보를 수집해 신원 확인 서비스와 대조하는 엄격한 배경 조사를 통해 위조 서류 사용을 방지할 수 있습니다.
-
면접 과정에서 카메라 사용을 요구하여 지원자의 실제 모습이 온라인 프로필과 일치하는지 확인하고, 면접자가 제공한 신분증과 일관된 지 확인하며, 답변이 그들의 배경과 일치하는지 확인하는 신중한 면접 절차를 도입해야 합니다.
-
미국 정부가 제공하는 정보와 신뢰할 수 있는 써드파티에 따르면 IT 근로자들이 카메라 사용을 꺼리거나, 인터뷰에서 가짜 배경을 사용하는 경향이 있다고 언급했습니다.
-
인사부서는 불일치를 감지하고, IT 근로자들의 전술, 기술, 절차(TTP)를 학습하도록 훈련을 받아야 합니다.
-
AI를 사용해 프로필 사진을 작하는지 감시해야 합니다.
-
맨디언트는 북한 IT 근로자들이 AI를 사용해 프로필 사진을 수정한 사례를 다수 발견했습니다.
-
피해 조직은 AI를 통해 생성된 이미지 여부를 확인하기 위해 오픈 소스 도구를 활용할 수 있습니다.
-
고용 전에 신분증의 공증본을 요구해야 합니다.
잠재적인 기술적 지표 관찰
-
전화번호를 확인해 VoIP(인터넷 전화) 번호를 식별해야 합니다. VoIP 번호 사용은 UNC5267이 자주 사용하는 전술입니다.
-
회사 노트북이 배송된 후 새로 들어오는 직원의 온보딩 과정에서 보고된 위치와 일치하는지 지리적으로 확인해야 합니다.
-
맨디언트는 회사 노트북이 보고된 위치와 지리적으로 일치하지 않는 사례를 발견했습니다.
-
원격 관리 도구의 사용과 설치를 감시하고 제한해야 합니다.
-
회사에서 발급한 컴퓨터가 기업 네트워크에 원격으로 접근하지 않도록 차단해야 합니다.
-
흔하지 않은 원격 관리 도구를 감시해야 합니다.
-
하나의 시스템에 여러 원격 관리 도구가 설치되어 있는지 확인해야 합니다.
-
VPN 서비스를 이용해 기업 인프라에 접속하는 경우도 감시해야 하며, Astrill VPN과 같은 VPN 서비스와 연결된 IP 주소도 추가로 검토해야 합니다.
-
마우스를 자동으로 움직여 화면이 잠기는 것을 방지하는 프로그램인 마우스 저글링 소프트웨어 사용 여부를 감시해야 합니다.
-
맨디언트는 북한 IT 근로자들이 여러 노트북과 프로필에서 활성 상태를 유지하기 위해 Caffeine 마우스 저글링 소프트웨어를 사용한 사례를 관찰했습니다. 이는 노트북을 켜두는 것이 중요한 조력자의 장소에서 유용하며, 여러 직업을 동시에 맡고 있는 북한 IT 근로자들이 온라인 상태를 유지하는 데 필수입니다.
-
새로 조직에 합류하는 IT 직원의 온보딩 시 노트북의 일련번호 확인을 요청해야 합니다. 이 정보는 회사 장치의 물리적 소유자라면 쉽게 제공할 수 있어야 합니다.
-
하드웨어 기반 다중 인증을 사용해 회사 장치에 대한 물리적 접근을 강제해야 합니다.
지속적인 완화 전략
-
원격 근무자들이 카메라를 켜도록 정기적인 무작위 점검을 고려해야 합니다.
-
현재의 위협과 동향에 대한 지속적인 교육을 제공해 잠재적인 악의적 활동을 식별하는 것이 중요합니다. 의심스러운 활동을 보고하는 방법에 대한 추가 교육도 제공해야 합니다.
-
최신 위협과 완화 전략을 파악하기 위해 정보 공유 커뮤니티 및 보안 공급업체와 협력해야 합니다.
-
IT 근로자들의 금융 거래를 막기 위해 미국 은행을 통한 거래를 요구하는 것이 좋습니다. 미국 은행 계좌 개설은 더 까다롭고, 다른 나라에 비해 더 엄격한 신원 확인 절차가 요구됩니다.
Google SecOps Enterprise+ 고객의 경우 Emerging Threats 규칙 팩에 새로운 규칙이 추가되었으며, 이 블로그에 나열된 IOC(침해 지표)는 Applied Threat Intelligence를 통해 우선적으로 처리할 수 있습니다.
맨디언트는 클라우드 및 온프레미스 환경에서 발생 중이거나 과거의 위협 행위자 활동을 탐지하는 맞춤형 위협 탐지 서비스(Mandiant Custom Threat Hunt Services)를 제공합니다. 이 서비스는 고객의 기술 스택과 특정 위협에 맞춘 분석을 포함합니다. 맨디어트가 제공하는 맞춤형 위협 탐지 서비스에 대한 자세한 내용은 아래 데이터 시트를 참조하세요.
전망 및 시사점
북한의 IT 인력은 상당한 제약 속에서도 꾸준히 사이버 위협을 가하고 있습니다. 이들의 활동은 국가 목표 달성과 개인적인 금전적 이익 추구라는 두 가지 동기를 가지고 있어 특히 위험합니다. 이들의 기술적 숙련도와 정교한 회피 전술은 인사 및 채용팀이 채용 과정에서 잠재적 위협을 식별하는 데 상당한 도전 과제를 안겨줍니다.
과거의 성공과 북한 정권의 사이버 작전에 대한 의존도를 고려할 때, 전 세계적으로 기업을 대상으로 한 정교한 공격과 침입이 계속해서 증가할 것으로 예상됩니다. 특히 서방, 그중에서도 유럽의 조직들이 북한의 이익을 위해 자신의 신분을 감추고 취업을 하고자 하는 IT 근로자들의 주요 표적이 되고 있습니다. 이러한 공격은 데이터 유출, 재정 손실, 지적 재산권 도난, 핵심 서비스 중단 등의 결과를 초래할 수 있습니다.
북한 IT 인력의 활동은 지속적인 경계와 적극적인 사이버 보안 태세의 필요성을 강조합니다. 비록 위협이 복잡하지만, 강력한 보안 조치와 직원 교육, 협력적인 노력을 결합하면 이러한 악의적인 행위자들로부터 조직의 회복력을 크게 강화할 수 있습니다. 또한, 고급 위협 탐지 도구를 활용하고, 강력한 사건 대응 계획을 유지하는 것이 잠재적 침해의 영향을 최소화하는 데 매우 중요합니다. 동종 업계 및 사이버 보안 기관과의 협력을 통해 위협 정보를 공유하는 것도 이러한 진화하는 위협에 대한 방어를 강화하는 데 큰 도움이 됩니다.
맨디언트는 주요 조직 및 피해자들과 공공 또는 사적인 파트너십을 통해 이러한 노력을 성공적으로 수행하고 있습니다. 현재 조직이 영향을 받았거나 북한 사이버 작전에 대한 정보를 가지고 있다면, 맨디언트는 필요한 사람들에게 필요한 보호를 제공하는 데 도움을 줄 수 있습니다. 이 문제는 우리가 모두 함께 해결해 나가야 할 과제입니다.
참고로 구글의 위협 인텔리전스 컬렉션에는 이 게시물에서 설명된 활동과 관련된 침해 지표(IOC)가 포함되어 있으며, 등록된 사용자에게 제공됩니다.
