[북한 IT 위장취업] 딥페이크로 면접 통과한 북한 해커…유럽 대기업 IT 인력으로 위장 취업

AI·가짜 신분증으로 무장한 북한 IT 요원, 4년간 미국 기업 300곳서 680만 달러 탈취…영국·유럽으로 전선 확대
아마존 1,800명 차단·구글 실태 경고…"채용 시스템이 국가 안보의 새 취약점"

북한이 인공지능(AI) 딥페이크와 생성형 언어모델을 결합해 서방 기업 채용 시스템을 조직적으로 침투하고 있다. 단순 사이버 해킹이 아니다. 실제로 월급을 받으며 내부 시스템에 접근하는 '인간 트로이목마' 전술이다. 이미지=제미나이3

원격 화상 면접 너머, 당신이 채용한 '신입 개발자'는 정말 존재하는 사람일까.

2026년 현재, 이 질문은 유럽 주요 기업 인사팀을 실제로 옥죄는 현실이 됐다. 파이낸셜타임스(FT)는 지난 15일(현지시간) 북한이 인공지능(AI) 딥페이크와 생성형 언어모델을 결합해 서방 기업 채용 시스템을 조직적으로 침투하고 있다고 보도했다. 단순 사이버 해킹이 아니다. 실제로 월급을 받으며 내부 시스템에 접근하는 '인간 트로이목마' 전술이다.

AI가 만들어낸 완벽한 직원…영국 '노트북 팜'이 유럽 전역 관리

구글 위협 인텔리전스 그룹(Google Threat Intelligence Group)의 제이미 콜리어 수석 고문은 FT와의 인터뷰에서 "북한 요원들이 영국 내 '노트북 팜(laptop farms·다수의 노트북을 한 장소에 집결시켜 원격 접속을 우회하는 거점)'을 구축하고 유럽 전역으로 활동 반경을 넓히고 있다"고 밝혔다.

이들의 수법은 계층적으로 설계돼 있다. 먼저 링크드인(LinkedIn)의 장기 휴면 계정을 금전으로 매입해 검증된 경력을 위장 확보한다. 이후 화상 면접에서는 실시간 딥페이크 필터를 씌워 서구권 인물로 외모를 바꾼다. 언어 장벽은 대형 언어 모델(LLM)이 해소한다. 핑 아이덴티티(Ping Identity)의 알렉스 로리 최고기술책임자(CTO)는 "LLM이 문화권에 맞는 이름·이메일 형식·구어 표현을 즉각 생성해 주기 때문에 과거 면접관이 포착했던 언어적 어색함이나 문화적 위험 신호가 사실상 사라졌다"고 분석했다.

결과는 충격적이다. FT 보도에 따르면 구글로부터 자사 직원이 북한 공작원이라는 통보를 받은 한 유럽 기업의 담당자는 "그는 우리 팀에서 성과가 가장 뛰어난 직원 중 한 명인데 확실한 것이냐"고 되물었다. 위장 취업자가 오히려 우수 인력으로 평가받는 역설이 현장에서 벌어지고 있는 셈이다.

4년간 680만 달러 탈취…AI·ML 고연봉 직군으로 타깃 이동

미국 법무부 통계에 따르면 북한 요원들은 2020년부터 2024년까지 300곳이 넘는 미국 기업에 파고들어 최소 680만 달러(약 116억 원)를 벌어들였다. 초기에는 단순 개발 업무가 주 타깃이었으나, 최근에는 인공지능·머신러닝(ML) 분야의 고연봉 직군으로 침투 목표를 높이고 있다. 확보한 수익은 김정은 정권의 핵·탄도미사일 개발 자금으로 전용된다는 것이 미 당국의 판단이다.

아마존의 스티븐 슈미트 최고정보보안책임자는 링크드인을 통해 "지난해 4월 이후 아마존 입사를 시도한 북한 의심 인력 1800여 명을 차단했다"고 밝혔다. 사이버 보안 업체 노비포(KnowBe4)는 실제 피해 사례를 공개하기도 했다. 채용된 위장 취업자는 정상 업무를 수행하는 척하면서 회사 보안망에 접속해 악성 코드 이식을 시도하다 발각됐다.

소포스(Sophos)의 레이프 필링 위협 인텔리전스 국장은 이들의 전형적인 패턴을 이렇게 설명했다. "7~10년 경력의 시니어 개발자로 위장해 여러 기업에 동시에 재직하면서 급여를 중복 수령하고, 적발될 기미가 보이면 이전 신분을 버리고 새 신분으로 재취업하는 방식을 반복한다." 채용 자동화 검증 시스템이 확산되자, 이에 맞서 화상 면접만 대신 봐주는 '대리 면접 조력자(facilitator)'를 고용하는 식으로 대응책도 진화하고 있다.

남의 나라 일이 아니다…국내 기업도 원격 채용 '허점' 점검 시급

이 문제는 유럽·미국 기업만의 위협이 아니다. 국내 정보기술(IT)·반도체·방위산업 기업들도 글로벌 원격 근무 인력을 활용하는 사례가 늘고 있어 동일한 위험에 노출돼 있다. 업계 보안 전문가들은 "북한 IT 요원들이 한국어 역량을 갖추고 있고, 한국계 미국인 등으로 위장하는 변형 수법도 보고된 만큼 국내 기업도 예외가 될 수 없다"고 경고한다.

특히 스타트업 생태계는 더욱 취약하다. 빠른 채용을 위해 비대면 면접에 의존하면서도 별도의 신원 확인 인프라를 갖추지 못한 곳이 많기 때문이다. 국가정보원도 지난해 사이버 안보 가이드라인을 통해 원격 근무 인력에 대한 강화된 신원 검증 필요성을 공식 권고한 바 있다.

보안 전문가들은 ▲업무용 노트북의 초기 접속 위치 실시간 모니터링 ▲화상 면접 중 신분증 실물 비교 대조 ▲입사 후 일정 기간 접근 권한 단계적 부여 ▲다중 소속 여부 확인 등의 방어 절차를 구축해야 한다고 입을 모은다.

핑 아이덴티티의 알렉스 로리 CTO는 FT에 "영국을 포함한 서방 국가들의 경제 안보는 기업들이 AI로 무장한 적대적 공격자들에 맞서 채용 단계에서 인력의 실체를 얼마나 철저히 검증하느냐에 달려 있다"고 강조했다.

채용 시스템, 이제 '안보 인프라'로 봐야 할 때

AI가 국경을 지운 시대, 북한은 총 한 발 쏘지 않고 적국의 기업 내부에 요원을 심는 데 성공하고 있다. 문제의 핵심은 기술이 아니라 인식이다. 채용 담당자들이 지원자를 '잠재적 위협 행위자'라는 시각으로 검증할 준비가 돼 있지 않다는 점이다.

사이버 방어 투자에 수백억 원을 쏟아붓는 기업들이 '입구'인 채용 단계의 신원 확인에는 여전히 허술한 이중 잣대를 적용하고 있다. 북한의 다음 타깃이 한국 기업일 수 있다는 가능성을 직시한다면, 채용 프로세스 전반을 보안의 관점에서 재설계해야 할 시점은 이미 지났다.

김주원 글로벌이코노믹 기자 park@g-enews.com