북한 연계 IT 인력, 유럽 블록체인 기업 침투 본격화

구글 위협 인텔리전스 그룹(Google Threat Intelligence Group)이 북한과 연계된 IT 인력들이 미국 당국의 감시 강화로 영국과 유럽 블록체인 기업으로 침투 대상을 확대하고 있다고 밝혔다.

2일(현지시간) 크립토뉴스에 따르면, 구글 위협 인텔리전스 그룹(GTIG)은 북한 연계 IT 인력들이 전 세계 블록체인 기업 침투를 확대하면서 특히 영국과 유럽 기업들을 집중 타깃으로 삼고 있다고 발표했다. 이들은 합법적인 원격 근무자로 위장해 블록체인과 인공지능 관련 민감한 프로젝트를 다루는 기업에 취업하는 수법을 사용하고 있다.

구글 보고서는 이들 인력의 발전된 전술을 강조했는데, 정교한 위조 신분증 네트워크 확대, 새로운 협박 전략, 그리고 기업의 개인 기기 사용(BYOD) 정책을 악용해 감시를 회피하는 방식을 포함하고 있다.

GTIG 자문위원 제이미 콜리어(Jamie Collier)는 북한 IT 인력들이 미국 내 경계 강화에 대응해 상대적으로 감시가 약한 유럽 시장으로 방향을 전환했다고 강조했다.

콜리어는 "미국 내 위협에 대한 인식이 높아지면서 그들은 운영의 기민성을 높이기 위해 전 세계적인 가짜 신분 생태계를 구축했다"고 설명했다.

보고서에 따르면 북한 공작원들은 이탈리아, 일본, 말레이시아, 싱가포르, 우크라이나, 미국, 베트남 등 다양한 국가 출신의 전문가로 위장하고 있다. 많은 경우 가짜 자격증과 추천서를 이용해 최첨단 블록체인 및 AI 프로젝트를 다루는 기업에 접근하고 있다.

확인된 활동 중에는 솔라나(Solana), 앵커(Anchor), 코스모스 SDK(Cosmos SDK), 러스트(Rust) 등의 기술을 사용한 블록체인 기반 플랫폼 개발이 포함된다. 또 다른 활동으로는 MERN 스택과 솔라나를 활용한 취업 마켓플레이스 구축이 있다.

콜리어는 영국 내 조력자들의 존재가 이러한 공작원들이 계획을 지속할 수 있게 하는 더 광범위한 지원 네트워크 형성을 시사한다고 경고했다.

구글 보고서는 해고된 북한 IT 인력들의 협박 전술이 증가하고 있다고 지적했다. 10월 이후 이들 인력은 해고 후 전 고용주에게 데이터 유출 위협을 가하며, 돈을 지불하지 않으면 독점 정보를 경쟁사에 판매하거나 내부 프로젝트 세부 정보를 공개하겠다고 위협하는 사례가 증가하고 있다.

보고서는 "이러한 사건에서 최근 해고된 IT 인력들이 전 고용주의 민감한 데이터를 유출하거나 경쟁사에 제공하겠다고 위협했다"고 밝혔다. 이러한 데이터에는 독점 코드와 중요한 기업 정보가 포함되어 있다.

이러한 에스컬레이션은 북한 공작원을 대상으로 한 미국 법 집행 기관의 활동 강화와 맞물려 있다. 미 법무부는 최근 60개 이상의 기업이 연루된 사기성 IT 고용 계획을 조직한 북한 국적자 2명을 기소했다. 미 재무부는 또한 북한 IT 활동의 위장 회사로 의심되는 단체에 제재를 가했다.

이전에 IT 인력이 해고되었을 때는 다른 신분으로 기업에 재진입을 시도했지만, 최근에는 직접적인 협박으로 이어져 더 공격적인 금융 착취 전략으로의 전환을 나타내고 있다.

이와 관련해 구글 영국은 최근 사기 활동 방지를 위해 암호화폐 관련 광고에 대한 더 엄격한 정책을 도입했다. 2025년 1월 15일부터 영국에서 광고하려는 모든 디지털 자산 거래소와 지갑 제공업체는 금융행위감독청(FCA)에 등록해야 한다.

영국 FCA는 오해의 소지가 있는 암호화폐 프로모션을 단속하는 데 적극적으로 나서고 있으며, 이러한 규제 조치는 암호화폐 관련 광고에 대한 사전 승인을 의무화한 글로벌 트렌드와 일치한다.

사이버 위협이 증가하고 규제 감독이 강화됨에 따라 영국 기반 암호화폐 기업들은 내외부적 위험으로부터 자신들의 사업을 보호하기 위해 경계를 늦추지 말아야 할 것으로 보인다.