앵커: 북한 IT 기술자들의 위장 취업을 통한 외화벌이에 대해 관련국들이 촉각을 곤두세우고 있는 가운데 한미 정부는 지난 3월 북핵과 미사일 자금을 조달하는 북한 IT 인력들에 대해 공동제재 조치를 내렸습니다. 다만 북한 IT 기술자들이 어떻게 외화벌이를 하고 있는지에 대해서는 알려진 바가 적은데요. 자유아시아방송(RFA)은 최근 북한 IT 기술자들이 사용하는 PC에 저장돼 있는 자료를 일부 입수해 이들의 결제수단, 수익 규모, 업무 방식 등을 일부 확인할 수 있었습니다. 서울에서 목용재 기자가 보도합니다.
지난 2022년 9월 한 폐쇄망에서 IT 개발과 관련한 대화를 나누고 있는 두 기술자.
춤을 추는 영상에서 관절의 움직임을 추출하는 방법 등에 대해 얘기를 나누는 것으로 보아 가상현실(VR) 혹은 증강현실(AR) 관련 프로그램 개발자들로 추정됩니다. 그런데 이들은 '실장동무', '프로그람', '대방', '리용', '료해' 등과 같은 북한식 표현을 사용하고 있었습니다.
자유아시아방송(RFA)은 다크웹 전문분석 보안업체, 스텔스모어(StealthMole)로부터 해당 대화 내용을 입수했습니다.
3일 스텔스모어에 따르면 해당 대화 내용은 중국으로 파견된 것으로 추정되는 북한 IT 기술자의 PC 하드디스크 내에 저장돼 있던 파일 중 일부로 외부의 해킹 공격을 받아 다크웹에 유출된 것입니다.
다크웹은 특정한 프로그램 혹은 설정 및 권한이 있거나 접속 주소를 알고 있어야만 들어갈 수 있는 온라인 공간으로 일반적인 방법으로 접속하는 것은 제한됩니다. 익명성이 보장되는 다크웹에서는 다양한 불법 거래가 이뤄지고 있어 해킹 등 불법적인 방법으로 취득한 자료, 정보 등이 유통되기도 합니다.
자유아시아방송과 스텔스모어는 해당 자료를 분석해 북한 IT 기술자들의 작업과 업무 수주 방식, 결제 수단, 수익 규모 등을 일부 확인할 수 있었습니다.
주목할 만한 점은 북한 IT 기술자의 PC 바탕화면에 4개의 계정이 있었다는 점입니다. 이는 북한 기술자가 다양한 신분으로 위장해 일감을 수주하고 있다는 한국 정부의 발표와 맥을 같이합니다.
지난 2022년 12월 한국 외교부가 내놓은 '북한 IT 인력에 대한 정부 합동주의보'에 따르면 북한 IT 인력은 사회관계망서비스(SNS)를 통해 계정 대리인을 확보한 뒤 해당 계정 대리인과 관계를 맺어 이를 통해 작업용 계정을 제공 받습니다. 계정 대리인이 전자우편, 전화, 신분증 인증까지 완료한 뒤 계정을 제공한다는 것이 외교부의 설명입니다.
혹은 북한 IT 인력들은 외국인들의 신분증을 불법 수집해 이를 편집, 신분증상의 인물 사진을 북한 IT 인력 중 한 명으로 변경하는 방법을 사용하기도 합니다.
한국 정부는 북한 IT 기술자들이 이 같은 신분세탁으로 비즈니스, 건강, 사회관계망서비스(SNS), 운동, 게임, 생활 등 각종 분야의 IT 관련 업무를 수주하고 있는 것으로 보고 있습니다.
북한 IT 회사에 근무했던 탈북민 김철혁(신변안전 위해 가명요청) 씨는 자유아시아방송에 "신분이 노출돼 일할 수 없는 상황이 자주 발생하는데 이를 대비해 신분을 여러개 만들어 놓는 것"이라며 "주 계정으로 업무를 하면서 다른 계정도 꾸준히 관리하는데, 우리끼리는 '계정을 키운다'라고 말한다"고 말했습니다.
최상명 스텔스모어 이사는 자유아시아방송에 위장 신분으로 외화벌이를 진행하고 있는 북한 IT 인력 일부를 다크웹 상에서 포착했다고 밝혔습니다.
[ 최상명 스텔스모어 이사] 저희가 조사하고 있는 이 북한 개발자가 여러 신분을 위장해서 활동을 했기 때문에 개별의 신원을 인증할 수 있는 그런 이메일들에 대해 개별로 활동해서 각각의 상황들을 고유하게 유지하기 위해 크롬에 있는 프로필을 여러 개로 사용을 해서…
유출된 자료 분석을 통해 북한 IT 인력들이 작업에 필요한 정보 및 업무 보고, 일정 공유 차원에서 무료 프로그램인 'IP 메신저'(IP Messenger)를 사용하고 있는 점도 확인할 수 있었습니다. 해당 프로그램은 외부 서버와 단절된, 특정 공간 내 연결된 컴퓨터끼리만 의사 소통 및 자료를 공유할 수 있는 프로그램입니다.
탈북민 김철혁 씨는 "일하는 과정에 자료를 공유할 일이 많은데, 보안적인 측면을 고려해 외부와 통신이 안 되는 프로그램을 사용하는 것"이라며 "대부분의 북한 IT 기술자들이 해당 프로그램을 사용한다"고 말했습니다.
< 관련기사>
유명 블록체인 업체 10여곳, 위장 북 IT 인력 고용
"북 IT노동자 위장취업 시도 지속 증가…유럽 표적 늘어"
"북 추정 IT노동자, 면접 도중 CIA 출신 언급하자 떠나"
다크웹에 유출된 또다른 북한 IT 기술자의 PC 파일 중에서는 주간 업무를 간략하게 보고하는 형태의 '메모장'도 포착됐습니다. 코로나 당시 작성된 것으로 추정되는데, 북한 IT 기술자들의 수익 규모를 단편적으로 추정할 수 있었습니다.
해당 메모장 상단에는 '1/9→4(4,000 달러)', '1/10→5(5,000 달러)', '1/13→6.7(6,700 달러), 총 15.7(15,700 달러)을 받으려 한다'는 내용이 적혀 있는데 이는 정산 받을 대금을 정리한 것으로 추정됩니다. 북한 IT 기술자들은 상급 책임자에게 보고를 할 때 날짜와 함께 1,000 달러 단위의 숫자를 간략하게 한자리로 표현한다고 합니다.
보고 내용만 본다면 북한 IT 기술자 1명이 3건의 작업으로 총 1만 5,700 달러를 1주일만에 벌어들인 셈입니다. 다만 이를 북한 IT 기술자들의 통상적인 수익으로 보는 것은 무리가 있다는 분석이 제기됩니다.
임수호 국가안보전략연구원 책임연구위원은 자유아시아방송에 "경우에 따라서는 1년 내내 아무것도 못하는 사람도 있다"며 "해당 메모장에 나온 1만 5,700 달러를 북한 IT 기술자들의 일반적인 수익으로 보기는 어렵다"고 분석했습니다.
임 책임연구위원은 지난 8월 '대북제재 이후 북한 외화수지추정' 보고서를 통해 중국에 파견된 북한 IT 기술자 1명의 월평균 수입을 지난 2016년 기준 약 2,000 달러에서 2023년 약 3,500 달러로 늘어난 것으로 추정한 바 있습니다.
다만 임 책임연구위원은 북한 IT 근로자들의 월평균 수익이 북한의 일반적인 해외 파견 노동자들에 비해 월등히 높은 수준이라는 분석도 덧붙였습니다.
[ 임수호 국가안보전략연구원 책임연구위원] 중국에 나가 있는 북한의 일반 근로자라고 하면 보통 봉제공과 같은 근로자들입니다. 그 근로자들의 월급 같은 경우에는 IT 근로자의 7분의 1정도 되는 것 같습니다. 거기에 비하면 IT 근로자는 상당히 소득 수준이 높은 거죠.
또한 해당 메모장에는 미국의 온라인 결제 수단인 '페이팔'(Paypal)과 '페이오니아'(Payoneer)도 언급돼 있는데 대금을 정산 받는 통로로 추정됩니다.
페이팔은 다양한 통화를 지원하고 있어 해외 결제가 용이하고 전자우편 주소만으로도 결제가 가능한 것으로 알려져 있습니다. 페이오니아의 경우 원격 근무자, 소규모 기업들에 특화된 서비스를 제공하는데, 미국과 유럽 등 현지의 계좌를 확보할 수 있어 이를 통해 대금을 받을 수 있습니다.
메모장에는 영어 학습 및 새로운 기술 습득 계획, 일감 수주를 위해 'LinkedIn'을 활용하고 있다는 내용도 있습니다.
최상명 스텔스모어 이사는 "위장 취업을 위한 영어공부, 지속적인 이력서 제출, 금융 시스템 취약점 연구 등이 이뤄지고 있었다"며 "북한의 IT 기술자들이 어떤 방식으로 외화를 벌어들이고 있는지에 대해 알 수 있는 대목"이라고 말했습니다.
서울에서 RFA 자유아시아방송 목용재입니다.
에디터 양성원, 웹편집 이경하