정부가 북한 정보기술(IT) 인력이 국적과 신분을 위장해 우리 기업들로부터 일감을 수주할 가능성이 있다며 8일 합동주의보를 발표했다. 북한 IT 인력들은 중국 등지에서 보이스피싱 등으로 외화 벌이를 해왔는데, 최근 감시가 허술하고 원격 근무가 가능한 IT 개발자 일자리에 대담하게 지원하면서 한국에까지 경고등이 켜진 것이다.

외교부·국가정보원·과학기술정보통신부·통일부·고용노동부·경찰청·공정거래위원회는 이날 국내 기업들이 국적과 신분을 위장한 북한 IT 인력을 고용하지 않도록 주의와 신원 확인을 강화할 것을 요청한다고 밝혔다. 정부는 구인·구직 플랫폼의 본인 인증 절차 등을 선제적으로 점검한 결과, 북한 IT 인력들이 신분을 위조해 우리 기업들의 IT 일감 수주 시도를 한 것으로 파악했다. 이에 따라 정부는 이날 북한 IT 인력 합동주의보를 발표하고 이들의 구체적 활동 행태와 신분 위장 수법, IT 분야 구인·구직 플랫폼 기업 및 프로그램 개발 의뢰 기업의 주의사항 등을 공개했다.

이들은 일단 구인·구직 웹사이트에 가입할 때 다른 국적으로 신분을 위조한다고 정부는 밝혔다. 손쉬운 신분 위장 기법 중 하나는 신분증을 조작하는 것으로, 외국인들의 운전면허증이나 ID 카드(신분증명서)를 불법 수집한 이후 포토샵으로 신분증 사진을 변경한다. 실명 확인을 위한 전화 인증이 필요할 때는 '전화번호 본인 인증 대행 사이트'를 활용하기도 한다. 최근에는 글로벌 구인·구직 플랫폼에 들어가 다양한 외국인에게 계정을 빌리고 번 돈을 떼어 주기도 한다.

특히 IT 개발자들이 일감을 받기 위해서는 발주 기업이 제시한 과제를 해결하는 식으로 면접을 진행하는데, 이때 북한 IT 인력들은 영상 면접보다는 온라인 채팅을 통한 방식을 선호한다. 비대면으로 업무를 따내면 북한 IT 인력이 계정 대리인 컴퓨터에 원격 접속해 계정 대리인 대신 프로그래밍 시범을 보여주는 경우도 있다고 정부는 밝혔다. 이렇게 해서 번 돈은 북한 IT 인력팀이 보유한 계좌로 송금되는데, 이들 중 상당수는 군수공업부, 국방성 등 안전보장이사회 대북제재 대상 기관에 소속돼 있고 수익은 상납돼 북한의 핵·미사일 개발에 사용된다고 정부는 보고 있다.

우리 기업이 북한 IT 인력에게 일감을 주고 비용을 지불하면 남북교류협력법 등 관련 국내법이나 유엔 안보리 대북제재 결의 위반으로 처벌받을 수 있다. 이준일 외교부 북핵외교기획단장은 "미국에 이어 우리 정부도 북한 IT 인력에 대한 합동주의보를 발표해 IT 분야 기업들이 경각심을 갖고 주의를 강화하기를 기대한다"며 "사이버 공간을 활용한 북한의 불법적 외화 벌이를 차단하기 위해 노력 중"이라고 밝혔다.

실제로 지난 9월 공개된 유엔 전문가패널 보고서에 따르면 북한 IT 근로자들이 긱 워커(Gig Worker)의 특성을 악용해 외화 벌이에 나서고 있다는 내용이 포함됐다. 러시아와 아랍에미리트(UAE) 등 해외에 체류하는 북한 정보기술자가 러시아인을 고용하는 등 방법으로 신분을 속이고 미국의 프리랜서 업무 플랫폼인 업워크(Upwork)에서 일거리를 따낸 것으로 드러난 바 있다. 이 같은 행위는 북한인의 해외 노동을 금지한 유엔 안보리 대북제재 결의 2397호 위반이다.

한편 지난 10월 29일 이태원 참사로 국민들이 패닉에 빠져 있던 시기, 북한은 이를 악용해 남측에 사이버 공격을 감행한 것으로 확인됐다.

구글의 위협분석그룹(TAG)은 8일 홈페이지에 공개한 보고서에서 지난 10월 31일 북한 해킹조직 'APT37'이 '서울 용산 이태원 사고 대응 상황(06:00).docx 221031'이라는 제목의 워드 파일에 악성코드를 심어 유포했다고 밝혔다. 이날은 이태원 참사 이틀 후로, 북한은 11월 2일과 3일 분단 이후 처음으로 동해 북방한계선(NLL)을 넘어 미사일을 집중 발사했는데 이에 앞서 사이버 교란을 시작했던 게 뒤늦게 알려진 것이다. 이 파일은 중앙재난안전대책본부 보고서 양식을 모방해 마이크로소프트 워드 프로그램으로 작성됐다. 사고 개요와 인명 피해, 조치 상황 등이 자세히 적혀 있다.

[한예경 기자]