팬데믹 이후 늘어난 재택근무 악용해 '위장 취업'
美 가정집에 노트북 수백 대 쌓아 놓고 대리 출근
여러 기업에 장기간 일하며 접근 권한 확보

재택근무 제도를 악용한 북한 정보기술(IT) 인력의 위장취업이 ‘노트북 농장’ 형태로 조직화되고 있다. 훔치거나 위조한 신분으로 미국 기업에 취업한 뒤, 미국 현지에 설치된 노트북을 원격으로 조종해 근무하는 방식이다. 이에 전문가들 사이에선 북한이 단순한 채용 사기나 외화벌이를 넘어 여러 기업에 접근해 장기적인 내부 접근 권한을 확보하려는 움직임으로 진화하고 있다는 분석이 나온다. 이들이 미국 내 조력자를 동원해 기업 내부의 공격 경로를 확보하는 방식으로 진화하면서 새로운 형태의 사이버 안보 위협으로 부상하고 있다는 지적이다.

노트북 농장, 채프먼 사건으로 세상에 알려져

16일(현지시각) 블룸버그통신은 "북한이 미국 기업들의 허술한 비대면 채용 시스템을 악용해 미국 안보와 경제 시스템을 교란시키고 있다"며 노트북 농장 사례를 집중 조명했다. 노트북 농장은 훔치거나 위조한 미국인 신분증을 이용해 북한 노동자를 미국 기업의 IT 일자리에 취업시킨 뒤 이들이 원격으로 미국 내 노트북에 접속해 업무를 수행할 수 있게 하는 방식으로 운영된다. 코로나19 팬데믹을 계기로 2020년부터 재택근무를 이용한 북한의 사기 행각이 이어져 왔지만, 미국 내 노트북 클러스터를 활용한 ‘농장’ 형태는 2023년 이후 본격화됐다.

블룸버그는 노트북 농장 첫 사례로 적발된 크리스티나 채프먼(Christina Chapman) 사건을 소개했다. 웨이트리스, 마사지사 등으로 일하며 생활고에 시달리던 채프먼은 2020년 3월 코딩 부트캠프 수료 경력을 구인·구직 소셜미디어(SNS) 링크드인에 게시했고 이 무렵 한 업체로부터 “소프트웨어 회사의 얼굴이 돼 달라”는 제안을 받았다. 해외 엔지니어와 미국 기업을 연결해 주는 회사라는 설명이었지만, 실상은 북한 정부가 외화벌이를 위해 만든 유령회사였다.

채프먼의 역할은 애리조나주 리치필드 파크에 있는 자택으로 배송된 노트북을 받아 전원을 켜고 인터넷에 연결해 두는 일이었다. 미국 기업들은 채용된 직원이 미국 내에서 접속해 근무하고 있다고 믿었지만, 실제로는 해외에 체류 중인 북한 IT 인력들이 원격 제어 프로그램을 통해 이 노트북에 접속해 업무를 수행했다. 채프먼의 집 선반 위에 놓인 수많은 노트북은 쉴 새 없이 깜박이며 북한 노동자들의 미국 기업 접속 통로 역할을 했다.

채프먼이 고객의 실체가 북한이라는 사실을 명확히 인지하고 있었는지는 분명하지 않다. 다만 북한 측의 요구를 받아들인 이후 사업은 급속히 확장됐고, 북한 해커들 역시 상당한 수익을 거둔 것으로 알려졌다. 결국 채프먼은 최근 미 법원으로부터 징역 102개월(8년 6개월)을 선고받았다. 미 법무부는 “이들이 훔친 미국인 신원을 이용해 유력 기업들에 원격 취업했고, 그 과정에서 벌어들인 급여 수백만 달러가 평양으로 흘러 들어갔다”고 밝혔다. 미 당국은 이 자금이 북한의 대량살상무기(WMD) 개발 프로그램에 전용된 것으로 보고 있다.

노트북 농장 사례는 이뿐만이 아니다. 지난 6월 30일 미 법무부는 캘리포니아 등 16개 주의 노트북 농장 29곳을 수색해 불법 자금 세탁에 이용된 금융 계좌 29개와 사기성 웹사이트 21개를 동결했다. 법무부에 따르면 북한 IT 인력들은 2021년부터 지난해 10월까지 미국, 중국, 아랍에미리트(UAE), 대만 등에 있는 조력자의 도움을 받아 미국인 신원 80여 개를 도용해 100곳 이상의 미국 기업에 취업했다. 피해 기업이 입은 손해는 법률 비용과 컴퓨터 네트워크 복구 비용 등을 합쳐 최소 300만 달러(약 40억6,000만원)에 달하는 것으로 집계됐다.

원격 근무 노려 계약직이나 외주 형태로 채용

문제는 북한의 위장 취업이 단순히 개별 노동자의 일탈에 국한되지 않고, 특정 조직을 중심으로 구조화된 네트워크 범죄의 양상을 띠고 있다는 점이다. 미 보안업체 맨디언트는 이러한 활동의 핵심 조직으로 UNC5267을 지목한다. UNC5267은 중앙집중식 해킹 조직이라기보다 북한 정부와 연결된 IT 인력들이 느슨하게 결합된 형태로, 주로 외화벌이를 목적으로 서방 기업의 원격 근무 직무에 침투해 온 것으로 분석된다.

UNC5267 소속 인력들은 주로 100% 원격 근무가 가능한 직무를 노려 계약직이나 외주 형태로 채용됐다. 이들은 가짜 회사(Front Company)를 활용해 실제 신원을 숨기고, 북한 국적이 아닌 조력자의 도움을 받아 취업과 근무를 이어갔다. 이 과정에서 조력자들은 도용된 미국인 신원을 제공하거나 고용 확인 절차를 대신 처리하고, 회사 노트북을 자신의 거주지에서 수령·보관하는 등 핵심적인 역할을 했다.

취업한 이후에는 코드 수정이나 시스템 관리 권한을 확보하며 기업 내부 네트워크에 접근한 사례도 발견됐다. 동일 인력이 여러 회사에 동시에 고용돼 급여를 받는 경우도 흔했던 것으로 조사됐다. 급여는 조력자를 거쳐 세탁된 뒤 해외에 체류 중인 북한 인력들에게 전달됐고, 일부는 다시 평양으로 송금된 것으로 파악됐다. 맨디언트는 이들이 단기 수익뿐 아니라 장기적인 접근 권한 확보를 염두에 두고 활동했을 가능성도 있다고 지적했다.

이 같은 협업 구조는 단발성에 그치지 않았다. 미 수사당국에 따르면 UNC5267과 연계된 한 미국 내 조력자는 60명 이상의 미국인 신원을 도용해 300개가 넘는 미국 기업에 북한 인력을 취업시킨 것으로 드러났다. 이들이 2020년 10월부터 3년간 벌어들인 수익은 최소 680만 달러(약 100억7,500만원)에 달한다. 특정 기업에 국한된 단발성 피해 규모로 보기 어렵다는 점에서 다수의 기업이 동시에 이 네트워크와 접촉했을 가능성이 제기된다.

개발자에 집중된 권한, 시스템 피해 키울 수도

최근에는 북한 위장취업 실태가 단순히 급여를 받아 북한에 외화를 벌어다 주는 수준에서 나아가 실제 기업 시스템을 훼손하거나 악성 프로그램을 실행하는 단계로 진화하고 있다. 더욱이 이러한 위협은 미국에만 국한되지 않는다. 최근에는 유럽과 아시아에서도 원격 개발 환경을 악용한 유사 사례가 잇따라 포착되고 있다. 위장 취업이 개별 기업의 채용 리스크나 특정 국가의 관리 실패 차원에 한정되지 않고, 잠재적인 내부 공격 경로로 작동할 수 있다는 점에서 글로벌 IT 생태계 전반이 공유하는 구조적 리스크라는 인식이 확산되고 있다.

IT 산업의 측면에서는 개발자를 기업 내부를 위협할 수도 있는 존재로 인식했다는 점에서 개발자 신뢰 관행 자체가 흔들리고 있다. 그동안 경영자는 개발자를 시스템을 안정적으로 설계·운영하고, 정보화 문제를 해결하는 핵심 주체로 인식해 왔다. 그러나 팬데믹 이후 원격 개발과 재택근무가 보편화되면서 물리적 공간과 시간에 기반한 통제 장치는 급격히 약화됐다. 기존 조직 문화 속에서 자연스럽게 작동하던 암묵적 신뢰 역시 물리적 감독과 대면 접촉이 줄어든 환경에서는 더 이상 당연한 전제로 보기 어렵다는 평가가 나오는 배경이다.

이제 논쟁의 초점은 북한의 안보 위협 그 자체나 재택근무 제도의 허술한 관리 체계가 아니라, 개발자에게 부여된 권한의 배분과 직무 구조 설계에 대한 논의로 옮겨가고 있다. 소스코드 접근, 서버·네트워크 관리, 정보의 활용·배포 등의 권한이 시스템이 아닌 개인 단위에 집중된 환경에서 악의적 의도가 개입될 경우, 단 한 명의 개발자만으로도 시스템 전반에 심각한 영향을 미칠 수 있기 때문이다. 이는 특정 국가의 사이버 안보 위협 논란을 벗어나 원격 개발 환경에서 개발자 권한을 어떻게 설계해 왔는지에 대한 근본적인 질문을 던지는 대목이다.