AI 시대의 그늘: 북한 IT 인력의 위장 취업과 글로벌 보안 과제
북한 IT 인력의 위장 취업 실태가 다시금 수면 위로 부상했다. 최근 국내외 IT 기업들이 ‘개발자 채용’을 빙자한 북한 인력의 스텔스 침투와 협업 시도가 활발하다는 것이 복수 보안기관의 실사례와 기업 관계자 증언을 통해 드러났다. 이번 사안의 특징은 첨단 정보기술 환경에서 ‘멀티 국가 신분 세탁’과 ‘대규모 원격 근무’가 결합하면서 북한 IT 인력이 글로벌 서비스 개발 현장에 실제로 투입되고 있다는 점이다. 특히 이들은 가짜 신분증 위조, 제3국 거점 계좌 개설, 원격 근무용 가상 환경 구성 등 최신 ICT 기법을 적극 활용하고 있어, 국제보안망을 교묘히 우회하고 있다.
이 현상의 기술적 배경을 살펴본다. 북한은 2010년대 중반부터 전담 조직을 통해 IT 인력 양성 및 해외 취업 공작을 지속해왔다. 특히 오픈 채용 플랫폼, 프리랜서 중개 사이트, 원격 협업 도구의 보편화는 이들에게 다양한 익명화와 신분 변조의 공간을 제공했다. 최근 일부 AI 기반 신원 인증 시스템이 도입되고 있으나, 여전히 영상·음성 변조 등 최신 위장 기술이 관건이 되고 있다. 익명화 접속 네트워크(VPN), 프로토콜 우회, 다중 지불 시스템을 이용해 금전의 흐름까지 숨기는 방식은 현업 개발자들도 실시간으로 탐지하기 어렵다는 지적이 나온다. 실제로 국내 보안 기업의 분석에 따르면, 지난해 12월~올해 3월까지 30여건의 북한 이력서 위장 지원이 포착됐으나 상당수는 1차 필터링에 실패, 최소 7건이 실제 채용까지 이어졌던 것으로 파악된다.
이 같은 현상은 세계적인 IT 인력 시장 구조와도 직결된다. 전 세계적 기술 인력 부족, 원격근무 확산, 글로벌 프리랜서 시장 팽창이 맞물리며 ‘검증 불가 인력’의 진입 장벽을 급격히 낮추고 있다. 특히 중소 디지털 기업·스타트업들은 ‘개발 속도’와 ‘비용 절감’에 집중하느라 인력 신원 검증에 상대적으로 취약하다. 취업 후 강도 높은 기술 면접 없이 실전 코드 제출만으로 평가받는 구인구직 패턴 역시 북한 등 신분조작 인력이 쉽게 통과할 여지를 키운다. 더구나 이들이 주로 투입되는 분야가 웹/모바일 서비스, AI 모듈, 게임 서버 등 글로벌 소프트웨어 인프라의 핵심이어서, 단순 위장 취업을 넘어 기술 유출·보안 취약점 발생 같은 2차 피해 위험이 연쇄적으로 제기된다.
사례를 보면, 지난해 겨울 한 국내 AI 솔루션 회사는 원격 프리랜서 채널 통해 채용된 개발자에게서 이상 신호를 감지했다. 코드 내에 의도적 백도어를 식별하는 보안부서 조사 끝에, 이 개발자가 미국 IP를 차용한 북한 소속임이 드러난 것이다. 하지만 이 방법을 통해 파악한 건 극소수라는 점이 전문가들의 공통된 우려다. 실제 ‘현장 익명성’의 폭주를 방치할 경우, AI·클라우드·게임 등 주요 소프트웨어 산업 전반에서 구조적 침투와 정보유출 사고가 국제적 차원에서 속출할 수 있다. 북미, EU, 일본 등 선진국들 역시 이 문제에 직면해, 각국 정보기관 연합과 신원 검증 AI·디지털 포렌식 솔루션 강화에 나서고 있다.
정책 전망 측면에서는, 대규모 IT 프로젝트가 늘어나는 가운데 ‘무조건적 개방’이 아닌 신뢰 기반 국제 협약 및 지역별 검증 연계 강화가 해법으로 제시된다. 기술적으로는, AI 기반 다중 생체인증·실시간 의심행동 모니터링·분산형 신원관리(DID) 등 신 인증 인프라의 실전 투입이 가속화될 것으로 본다. 산업계는 직접적으로 검증 불가 인력의 아웃소싱 최소화, 고위험 국가 출신 지원자 AI 스크리닝, 결과물 직접 검증, 코드 감사(코드리뷰) 확대 등이 실질적인 방어선이 될 것이다. 특히, ‘채용 과정 전반의 자동화’란 미명 하에 신원 검증 절차가 간과되는 일이 없도록 하는 것이 IT 보안 거버넌스의 새로운 기준이 되어야 한다.
마지막으로, 대한민국 역시 스타트업부터 대기업까지 현직 개발자 및 채용담당자를 대상으로 최신 인증·보안 위협 교육 의무화 등 실효적 업무 매뉴얼을 구축해야 한다. 국경 없는 개발자 시장의 역동성 속에서 ‘기술 낙관론’ – 즉, IT 개방이 곧 번영이라는 신념이 현대의 복합적 리스크 환경에선 반드시 새로운 안전망과 함께 해야만 한다. IT 산업 각 주체는 ‘글로벌 채용=글로벌 리스크 공유’라는 발상의 전환 아래, 실제 현장 보안 역량을 전방위적으로 혁신해야 할 때다.
— 이도현 ([email protected])
이런 사건 들으니 원격근무 시대의 그림자가 느껴집니다. 정책적으로도, 기업 차원에서도 IT 보안 강화 없이는 더 큰 문제로 번질 것 같네요. 부디 앞으로는 철저한 검증과 투명한 관리체계가 자리 잡길 바랍니다.
이럴 줄 알았음… 원래 프리랜서 시장이 익명성 덕에 구멍 많지 ㅋㅋ 딴 나라 일 아니고 우리 얘기라니 씁쓸하다. 그래도 방법 자체는 정말 점점 정교해지네… 무서움.
…보안은 기술만으로 해결되는 게 아니라는 걸 매번 느낍니다. 판단력이 더 중요한 시대랄까… IT 인력 구하는 입장도 힘들겠네요.
와, 진짜 코미디다 코미디. ‘해외 원격근무 시대’ 외치던 사람들 지금 뭐라 할까? 인재 부족하다며 골치 앓던 게 하루아침에 북 IT팀으로 콜! 근데 이런 거 터질 때마다 돈만 들여서 AI 인증 시스템 업그레이드 한다고 쇼하는데, 진짜 실효성은 글쎄다… 걍 엄청난 새로운 ‘과업’만 생긴 느낌임요😅
최소한의 신원확인도 안 하면 당연히 이런 결과 나오는 거 아님? 기술력이 무색해지는 현실ㅋㅋ;