미국 등 해외 기업과 계약을 맺은 정보기술 노동자 수천 명이 연간 수백만 달러 임금을 비밀리에 북한에 송금해 탄도미사일 계획에 충당하고 있던 게 미국 FBI 조사에 의해 밝혀졌다.
FBI는 제재를 회피하고 자금을 보낼 목적으로 북한 IT 노동자가 사용하던 17개 웹사이트와 피해자로부터 모은 150만 달러 자금을 압수했다고 발표했다. 이런 도메인은 미국에 본사를 둔 합법적인 IT 서비스 기업으로 보이도록 위장되어 있으며 노동자가 미국이나 전 세계 기업에서 원격 작업을 신청할 때 신분이나 주소 위장에 도움이 된다.
FBI 측은 북한은 탄도미사일 계획에 간접적으로 자금을 공급하기 위해 악의적으로 IT 노동자를 시장에 보내며 이번 같은 사기적인 도메인 압수는 기업이 이를 알지 못하고 이런 악질업체를 고용하고 비느니스에 손해를 입힐 가능성을 막기 위해 중요하다고 밝혔다.
북한이 언제부터 자국 IT 기술자를 타국 기업에 보냈는지는 불분명하지만 FBI 등은 2022년 5월 북한인 고용 시도에 대한 경고 권고를 낸 바 있다. 이런 가운데 당국은 북한이 IT 관련 교육과 훈련에 주력하고 있다고 지적했다.
전문가는 북한은 무기 개발 계획에 대한 자금원으로 10년 이상 IT 프리랜서를 활용해왔지만 코로나19 유행에 따른 원격 작업 보급이 이를 가속화했다고 분석하고 있다. 법원에 제출된 자료에 따르면 북한 정부는 숙련된 IT 노동자 수천 명을 주로 중국과 러시아에 파견해 미국 등 기업을 속여 프리랜서 원격 직원으로 일했다고 한다. 북한 노동자는 돈을 지불하고 미국인에게 집 와이파이 연결을 제공받아 미국에서 일하는 것처럼 보이는 등 다양한 방법을 사용했다.
FBI는 북한 IT 노동자 가능성을 보여주는 위험 신호도 들고 있다. 먼저 카메라에 비치는 것. 예를 들어 영상 면담이나 영상 미팅을 싫어하거나 할 수 없게 한다. 카메라에 비치면 시간이나 장소에 모순이 있거나 모습이 이상하다.
약물 검사나 직접 면담을 과도하게 걱정하거나 할 수 없게 한다. 코딩 테스트나 채용할 때 설문조사, 면접 응답에 부정행위 흔적이 있다. 구체적으론 일시 중단이 많고 눈으로 뭔가를 읽는 것 같은 움직임, 부정확하지만 그럴듯하게 들리는 대답을 하는 것 등이다. 또 SNS 등 온라인 프로필과 이력서 내용이 일치하지 않거나 동일 ID 복수 프로필에 다른 사진이 게재되어 있거나 프로필에 사진이 게재되어 있지 않다.
노트북이나 회사 자료를 받을 때 자택 주소가 짐 전송용 수도 또는 채용하면 갑자기 주소가 바뀐다. 이력서 학력은 중국, 일본, 싱가포르, 말레이시아 등 아시아 국가 대학이며 고용처 대부분은 미국, 우리나라, 캐나다다. 또 급여 선불을 반복 요구해 거부되면 분노나 공격성을 나타내기도 한다. 추가 결제를 하지 않으면 소스 코드에 대해 위협하거나 은행 계좌, 소속 프리랜서 기업, 급료 지불 방법 등 제공자가 변동되거나 바뀐다. 한국어를 사용하지만 본인은 한국어권 이외 국가나 지역 출신이라고 주장하는 것 등이다.
전문가는 고용주는 누구를 고용하고 누가 자신의 IT 시스템에 접근할 수 있는지에 대해 주의를 기울여야 한다며 무기 개발 계획에 자금을 제공해 버리거나 해커에게 데이터를 도난당하거나 미래에 협박 원인이 되는 일을 하고 있을지 모른다고 경고했다. 관련 내용은 이곳에서 확인할 수 있다.