구글 위협 인텔리전스 그룹(Google Threat Intelligence, 이하 GTI)은 최근 블로그를 통해 북한 국적의 IT 인력들이 원격 근무 형태로 해외 기업에 위장 취업하여 사이버 공격을 시도하고 있으며, 이들의 활동이 유럽과 북미 전역으로 확산되고 있다고 경고했다.
GTI에 따르면, 북한 IT 인력들은 가짜 신원과 허위 이력, 조작된 추천서를 기반으로 다국적 기술 기업에 침투하고 있으며, 내부 프로젝트에 접근하거나 민감 데이터를 갈취하는 방식으로 금전적·정보적 이익을 취하고 있다. 특히 일부는 협박(extortion) 형태로 전환하여, 해고 이후 내부 정보를 유출하겠다는 위협을 가하는 등 전술을 고도화하고 있는 것으로 나타났다.
이들이 악용하는 대표적인 지점은 기업의 ‘BYOD(개인 장비 사용 허용)’ 환경과 가상화된 인프라이다. 개인 장비에 대한 보안 점검이 미흡할 경우, 내부 중요 데이터의 외부 유출이 상대적으로 허술해지는 문제도 있지만, 반대로 SW 공급망 전체로 악성 코드가 주입, 확산될 위험이 존재한다. 이는 최근 사이버 보안 업계의 가장 큰 화두 중 하나인 ‘소프트웨어 공급망 공격(Supply Chain Attack)’과도 직접적으로 연결된다.
이러한 상황에서, 최근 한국 정부는 해외 우수 IT 인력을 국내 기업에 매칭해 채용을 장려하는 정책을 발표했다. 한국의 중소벤처기업부는 원격 근로 기반의 외국인 인재 유입을 유도해 국내 IT 기업의 인력난 해소와 글로벌 기술 경쟁력 강화를 꾀한다는 입장이지만, 글로벌 보안 환경의 흐름과는 다소 온도 차가 있다는 지적이다.
보안 컨설팅 그룹 에디앤볼텍스는 “해외 인력 채용 자체를 문제 삼을 수는 없지만, 신원 검증과 보안 위협 탐지를 철저히 병행하지 않으면 오히려 공급망 리스크를 내부로 끌어들이는 결과를 초래할 수 있다”며 “제로트러스트의 급진적 도입으로 최근 한국이 가상화 솔루션을 확대 도입하는 상황과 리모트 워크가 확산 정착되고 있는 상황 속에서 발생할 수 있는 취약점을 기민하게 검토해야 한다”고 경고했다.
또한 GTI도 블로그를 통해 ▲채용 시 철저한 신원 검증, ▲가상화 환경에서의 로그 및 접근 제어 강화, ▲보안 교육 내실화 등의 대응책을 마련해야 한다고 제언하며 보고서를 통해 관련 탐지 및 차단 전략을 제시했다.
현재 한국 정부는 해외 IT 인력 채용 확대와 글로벌 사이버 위협 대응이라는 두 가지 과제를 동시에 안게 됐다. 산업 경쟁력 제고와 체계적인 보안 리스크 관리 사이에서 장기적인 이익이 무엇일지 올바른 선택이 요구된다.
