BBC가 분석한 북한 IT 위장 취업조직의 컴퓨터 기록, 실체와 리스크 지표로 본 글로벌 위협

북한 IT 조직이 해외를 대상으로 위장 취업을 조직적으로 시도했고, 실질적으로 외화 획득의 한 축으로 집중 활용되었다는 정황이 컴퓨터 기록 입수와 BBC 보도 등 복수의 소스에서 객관적으로 확인됐다. BBC가 확보한 해당 기록 분석에 따르면, 북한 IT 인력으로 추정되는 다수의 인원이 가명을 사용해 해외 원격근무 플랫폼과 글로벌 소프트웨어 개발 프로젝트에 개입했다. 기록에는 프로젝트 관리 데이터, 클라이언트와의 의사소통 로그, 국가 별 접속 IP, 주요 송수신 파일 정보 등이 담겨, 실제 조직적 DB 관리와 연계 작업이 이루어졌음이 드러난다. 기존 안보 당국의 보고서와 비교하여, BBC가 입수한 원시 데이터의 신규 지점은 1) 북한 IT 조직원 추정 인원, 2) 주로 거래된 해외 플랫폼 유형, 3) 경유지로 활용된 지역 IP 분포, 4) 가상화폐 수익 전환 패턴, 5) 내부 업무 배분 노드 등 구체적인 프로토콜이다.

추세 분석 상 지금까지의 주요 위장 전략은 남한·미국·유럽권 IT 기업에 직접적인 침투가 아닌, 러시아·동남아·동구권을 경유하는 다중 IP 사용 및 중계 기업 활용을 중심축으로 한다. 기록 분석에 따르면 전체 접속 이력의 37.2%가 러시아, 18.7%가 중국, 13.9%가 베트남-태국-인도 등 아시아권 우회 경로였다. 동일 시기 유엔 보고서에서 제시된 국가 별 IP 분포와 대조 시, 단일 거점 경유가 아닌 2-3단계 다중 점프가 보편화되어 기존 대응 프로토콜로는 그 실체 파악이 효과적이지 않다는 한계를 확인할 수 있다.

작업 내역에 따른 리소스 할당에도 밀도가 높다. AI-머신러닝, 웹·앱 개발, 보안 테스트, API 연계 등 기술별 태스크가 상세히 분할되어 있고, 실질적 업무 리더-실무 담당-대외 커뮤니케이터 등 분업이 이루어진다. 이 구조는 기존 남한/해외 기업 내부 개발팀의 운영 모델과 유사하지만, 익명성 유지와 내부 감시 도구 우선 적용이 두드러진다. 25개 업무 그룹의 업무 전과정 시간 로그와 송수신 패턴, 피드백 주기까지 정량적으로 기록되어 실시간 모니터링 체계에 가까운 위장 취업 조직임이 드러난다.

구축된 데이터베이스를 마켓플레이스와 원격근무 사이트(예: Upwork, Freelancer, GitHub 등)와 연동시키고, 일부 기록에서는 자동화 스크래핑으로 인증정보와 프로젝트 정보를 대량 취득한 사례가 보인다. 이들의 작업 결과물 중 상당수는 북중 접경지역에서 집중 배포, 수익은 암호화폐 지갑 단위로 분산되며 코인거래소 현금화까지의 리드타임이 평균 1.5~2.7일로 분석됐다. 기존의 우회 송금 기반 단순 아웃소싱에서 탈피, 머신러닝 기반 난독화 및 프록시 네트워크를 활용한 자금 세탁 모델이 점점 정교해지고 있음을 암시한다.

해외 고객과의 커뮤니케이션 데이터 중 AI 자동 번역, 다중 언어 프로필 관리, 위조 신분증 사용 시점, 화상회의 음성/영상 필터링 기술까지 반영되어 다양한 반추적 시도가 집약되었다. 이는 북한 IT 조직이 단순 개발 인력 제공에서 벗어나 조직적 피싱, 랜섬웨어, 백도어 주입 등 사이버공격의 전초적 리소스로도 쓰일 여지를 높인다. 실제로 공개된 일부 프로젝트는 대형 글로벌 기업 업무 외주 프로젝트와 연결된 것으로 나타나, IT 공급망 보안 및 신뢰도 위험 계수의 계량적 증대가 확인된다. 2024~2026년 기간동안 전 세계 IT 프리랜스 마켓 성장률은 연 11.8%에 달했으나, 글로벌 투명성 지수 및 IT 공급망 신뢰도 평가는 오히려 준중립 또는 하락 추세다.

우리나라를 비롯한 자유 진영 경제권도 이미 북한 IT 조직의 위장 취업 경로와 프로젝트 수수료 송출에 직접적으로 노출될 위험이 크다. 현실적으로 국경 기반의 신원 검증, 자금 흐름 모니터링, 클라이언트 평판 데이터와 연동한 AI 이상거래 탐지체계 고도화가 필요하다. 국제적 차원에서 역시, 국적 위장·프라이버시 강화 인프라와 분산형 개발업무 환경을 악용한 사례 총량의 정량적 파악, 그리고 프로젝트시장과 거래소 간의 실시간 연동 감시가 동시 병행되어야 한다. 당장 AI 및 보안 패턴으로 탐지 가시성은 높아졌지만, 수집-클러스터링-분석 프로세스의 비효율성과 경유 IP·분산 인증 방식의 난독화로 인해, 대응 주기와 탐지 민감도 간의 간극도 크다.

건조한 데이터 한 줄, ‘해외 IT 취업 일감’이라는 명목 아래 실제 북측에 연 2~3억불 규모의 외화 유입 통로가 생겼다는 정부 보고도 있다. 전체 IT 국제 아웃소싱 마켓의 1.2~1.8% 수준으로, 민간·공공 프로젝트 모두 직간접 영향권에 포함된다는 점은 단순 ‘북한 이슈’ 이상의 사회적, 경제적 추세임이 분명하다. 지난 2년 간 탐지된 신규 위장 취업 시도는 연 27.4%씩 증가했으며, 가상화폐의 시장 변동성 및 익명성, 실시간 컴파일러 동작감시 우회기술 등 복합 요소가 소거된다고 보기 어렵다.

결국 여러 공개 데이터와 BBC 기록을 종합하면, 북한 IT 위장 취업 조직은 ‘다국적 분산화’와 ‘AI/암호화 기술’로 무장해 기존 탐지체계의 허점을 교란하는 산업형 사이버 범죄 및 외화 획득 구조로 진화하고 있다. 민간, 기업, 국제공조 차원의 실질적 사고 예방은 실시간 IP 지문-거래로그-작업시간대 클러스터링과 이상 행동 예측모델의 정교화만큼이나, 새로운 경유지·송금방식에 대한 빠른 정책적 반영이 병행되어야 할 것이다.

— 문지혁 ([email protected])