[뉴스스페이스=김정영 기자] 북한 정권의 가짜 IT 인력 작전이 글로벌 기업 침투를 통해 연간 5억~8억 달러 규모의 막대한 수익을 창출하며 대량살상무기(WMD) 프로그램을 뒷받침하고 있다는 최신 보고서가 공개됐다.

IBM X-Force와 Flare가 2026년 3월 18일 발표한 '북한 침투자 위협 내부(Inside the North Korean Infiltrator Threat)' 보고서는 독점 위협 인텔리전스를 바탕으로 40개국에 분포한 약 10만명의 북한 IT 인력이 'RB Site'와 'NetkeyRegister' 같은 내부 관리 플랫폼을 통해 중앙 통제된다고 밝혔다.

이들 인력은 Upwork 등 프리랜싱 사이트에서 하루 최대 300건 입찰을 하고, LinkedIn으로 채용 담당자를 타깃하며, 구글 번역과 챗GPT를 활용해 업무를 수행한다.

작전 구조는 채용자, 조력자, IT 노동자, 서방 협력자로 계층화돼 있다. 서방 개인을 LinkedIn이나 GitHub로 모집해 신분과 회사 노트북을 대여받아 채용을 돕는 사례가 확인됐으며, 이는 노동자들이 장기 잠입을 가능케 한다. VOA 보도에 따르면, 성과 저조시 '자기비판' 처벌이 이뤄지고, 문제 발생시 즉시 신분 교체를 반복한다. 로그프레소 분석처럼 한 대 컴퓨터로 5개 가짜 신분을 운영하는 다중 클러스터 구조도 포착됐다.

수익 규모는 추정치가 상향 조정됐다. UN 제재위원회는 연 2.5억~6억 달러로 봤으나, 미 재무부 OFAC(미국 재무부 산하 해외자산통제국, Office of Foreign Assets Control)는 2024년 단일 연도에 8억 달러(약 1조2000억원)를 확인했다. 이는 북한 핵·미사일 자금의 핵심원으로, 베트남 사업가가 2023~2025년 250만 달러를 암호화폐로 환전한 사례가 대표적이다. Chainalysis에 따르면, 북한 해커는 2025년 글로벌 암호화폐 도난의 60%인 20.2억 달러를 탈취했다.

미국은 3월 12일 OFAC 제재로 6명 개인과 2개 단체(베트남·라오스·스페인 등)를 지정하며 압박을 강화했다. 스콧 베센트 재무장관은 "북한 IT 공작원들이 기업 데이터를 무기화하고 자금을 갈취한다"고 비판했다. MS는 2025년 3000개 아웃룩 계정을 차단했으며, CrowdStrike는 사기 취업 사건이 220% 증가했다고 보고했다.

AI 악용으로 위협도 고도화되고 있다. Financial Times와 Cloudflare 보고서는 딥페이크 영상·음성 변조로 원격 면접을 통과하고, 영국 노트북 팜을 운영한다고 지적했다. MS는 AI로 위조 문서 이미지를 교체하고 사진을 전문화하는 전술을 관측했다. IBM의 조시 청 분석가는 "HR·보안·채용팀의 통합 대응이 필수"라고 강조했다.

국제정치 전문가들은 "북한의 이 작전은 코로나 원격근무 허점을 타고 산업화됐으며, 2026년에도 플로리다 29곳 노트북 팜 등 미국 16개 주에서 지속됐다"면서 "기업들은 철저한 신원 확인, 대면 면접, 북한 IP·소프트웨어 모니터링을 강화해야 한다"고 지적했다. 북한의 제재 회피 전략이 AI와 결합되며 글로벌 안보 위협으로 부상하고 있다.