안녕하세요. 자유아시아방송 박재우 기자입니다. 제가 얼마 전에 링크드인에서 이런 글을 발견했습니다. 북한 해커들로부터 일자리를 제안받았다는 글인데요. 실제로 북한 사람으로 보이는 이와 영상통화했다며 그 사진과 함께 그 내용을 올려 제가 직접 연락해봤습니다.
투픽: 제 이름은 투픽 아안(Tufik Aan)입니다. 프랑스계 모로코인이고, 사이버 보안 엔지니어입니다. 해킹과 리버스 엔지니어링, 그리고 사이버 보안 분야에서 일한 지는 대략 20년 정도 되었습니다.
“Dark Night”과의 심리전
기자: 온라인 커뮤니티 플랫폼 디스코드 채널을 운영하는 투픽 씨가 만난 첫 번째 인물은 닉네임 ‘Dark Night’이었습니다. 처음에는 평범한 유저인척 접근했습니다. 하지만 질문의 수준이 예사롭지 않았습니다.
채팅 내용:
> Dark Night: “당신 회사의 보안 툴, 우리 자체 서버에 설치해서 ‘오프라인’으로 쓸 수 있습니까?”
> Toufik: “영업팀에 물어보세요. 그런데... 혹시 정보국(Secret Service)에서 일하시나요?
기자: 투픽 씨의 뼈 있는 농담. 그런데 상대는 당황하지 않고 집요하게 묻습니다. “유료 버전에만 있는 비공개 해킹 템플릿이 있느냐”는 거였죠. 투픽 씨는 여기서 승부수를 던집니다. 번역기를 돌려 중국어로 직구를 날린 겁니다.
> Toufik: “당신들, 국가 지원을 받는 해커입니까?”
> Dark Night: “아니오.”
> Toufik: “왜 거짓말을 하죠? 친구, 당신은 지금 북한에서 접속 중이잖아요.”
> Dark Night: “하하하(哈哈哈). 북한 사람인 게 왜 안 됩니까?”
> Toufik: 형씨, 우리가 북한발 위협을 얼마나 경계하는지 아시나요? 게다가 당신들은 여러 중대한 해킹 및 침입 사건에 연루되어 있잖아요.
> Dark Night:그럴 리가요. 우린 이제 막 대학을 졸업하고 창업을 준비 중인 학생들입니다.
> Toufik: “당신들, 북한 정보기관이랑 연결되어 있죠?”
> Dark Night: “당연하죠.”
> Toufik: 사이버 보안 분야에서 일한다면 그들이 분명 당신에게 연락할 겁니다.
> Dark Night: 맞아요.
“내 이름으로 대신 일해줘”
기자: 그리고 몇달 뒤 뜬금없이 투픽씨와 함께 일하고 싶다며 어느 한 이메일이 도착했습니다.
결국 영상 인터뷰까지 진행됐는데요. 자신을 벤자민이라고 소개한 한 아시아인은 투픽 씨에게 제안을 합니다.
다크나이트(Darknight)와 벤자민이 동일 인물이거나 서로 연관되었다는 명확한 증거는 없습니다. 하지만 그는 이 갑작스러운 이메일을 받고 무척 놀랐는데요, 그의 개인 이메일 주소를 알고 있는 사람은 그리 많지 않았기 때문입니다
투픽: “그는 제게 명의를 빌려달라고 했습니다. 제가 면접을 통과하게 도와주면, 자기들이 제 이름으로 일을 하고 월급은 나누자고요. 한마디로’ 대리 취업’이죠.”
기자: 이들은 어떻게 자신에게 연락했느냐는 질문에 ‘보안 전문가’인 투픽 씨에게 “실력 있는 개발자라 연락했다”며 엉성한 거짓말을 늘어놓았습니다.
투픽: 대화 중에 아주 흥미로운 순간이 있었습니다. 제가 “질문이 하나 있는데, 당신 북한 사람입니까?”라고 물었습니다. 그때 그의 표정이 기억나네요. 아주 차갑게 변하더니 “뭐라고요? 아닙니다” 같은 반응을 보였습니다. 저는 “농담이다, 그냥 정보기관 사람인지 확인해 보려 했다”며 넘겼죠. 그 질문 이후엔 그냥 감사 인사를 나누고 연락하자며 끝냈습니다.
투픽 씨가 공개한 이 벤자민의 얼굴, 놀랍게도 보안 업체 DTEX 보고서에 올라온 북한 IT노동자의 얼굴과 동일했습니다.
마이클 반하트 DTEX 북한 전문 조사관: 사진이 한 장 있는데, 그가 조선인민군 군복을 입고 있어요. 김정은 배지는 보이지 않지만, 사진 속 인물들은 전부 군복 차림이었습니다. 인프라 쪽에서도 단서가 나왔어요. 그들이 사용한 일부 프록시를 추적해보니 현재 알려진 북한 관련 인프라로 연결되더라고요. 벤자민 마틴이 근무했다고 주장한 장소들도 확인해봤는데, 중간 거점들을 타고 따라가다 보면 북한 IT 노동자들의 활동과 직접적으로 연계되어 있었습니다
진화하는 ‘조력자(Facilitator)’ 수법
기자: 왜 이들은 보안 전문가인 투픽 씨에게 이토록 허술하게 정체를 드러내며 접근했을까요? 최근 북한 해커들의 트렌드를 알면 답이 보입니다.
기자: 과거에는 직접 해킹을 시도했다면, 이제는 ‘Facilitator’, 즉 조력자를 포섭하는 데 혈안이 되어 있습니다. 신분 노출을 피하기 위해 AI 배경을 깔거나 직접 나서다 정보당국이나 또는 언론매체에 얼굴을 드러내는 사태가 발생하자 아예 외국인의 명의를 빌려 위장 취업하려고 하는 겁니다.
실제로 미국에선 북한 해커들을 위해 집에 수십 대의 노트북을 켜놓고 ‘노트북 팜’을 운영하거나, 대신 약물 검사를 받아준 조력자들이 체포되기도 했습니다. 투픽 씨에게 접근한 ‘벤자민’ 역시 같은 수법을 쓰려던 인물이었습니다.
마이클 반하트 DTEX 북한 전문 조사관:이 작전의 가장 대표적인 사례가 크리스티나 채프먼입니다. 채프먼은 구직 플랫폼을 통해 접근을 받았어요. 북한 IT 노동자들은 정체를 숨긴 채 동남아시아 소재 회사라고 소개하면서 ‘미국 시장으로 사업을 확장하고 싶다’고 했죠. 전화도 대신 받아주고, 은행 계좌도 개설해서 송금을 처리해주고, 노트북도 보관해줄 사람이 필요하다며 접근한 겁니다. ‘물건을 보내드릴 테니 우리 조력자가 되어달라’고요.
그렇게 노트북들이 하나둘 애리조나에 있는 채프먼의 집으로 들어오기 시작했습니다. 그녀는 노트북을 받아 화면이 꺼지지 않도록 마우스 지글러를 연결해뒀어요. 노트북이 워낙 많다 보니 포스트잇에 ‘이건 어느 회사 것, 저건 어디 것’이라고 적어 붙여야 할 정도였죠. 그만큼 수많은 작전이 그녀 한 사람을 통해 동시에 돌아가고 있었던 겁니다.
기자: 북한 해커들은 지금 이 순간에도 링크드인과 디스코드를 유령처럼 떠돌며 우리의 이웃, 혹은 동료의 자리를 노리고 있습니다. 이들의 제안을 받아들이는 순간, 당신은 단순한 조력자가 아니라 북한 정권의 사이버 범죄 공범이 됩니다.
“당신 대신 일해주겠다”는 그들의 친절한 제안 뒤엔, 기업의 기밀과 국가 안보를 겨눈 칼날이 숨겨져 있습니다.
지금까지 자유아시아방송 박재우였습니다.