로그프레소는 북한 IT 노동자의 해외 위장 취업 행태를 분석한 '북한 IT 인력 위장 취업 OSINT 분석' 보고서를 발간했다고 11일 밝혔다.
보고서는 딥웹·다크웹에서 유통되는 인포스틸러(정보탈취형 악성코드) 감염 로그를 분석해 이메일 계정, 비밀번호, 접속 IP, 하드웨어 ID(HWID), 운영체제(OS) 언어 설정 등을 교차 분석한 결과를 담았다.
미국 정부 및 민간 연구기관이 공개한 위장 취업 연관 이메일 계정 패턴 1879개와 2024년 이후 수집한 감염 레코드 104만5645건을 교차 검증한 결과, 이메일 80개, IP 66개, HWID 66개가 식별됐으며 28개 국가 490개 도메인 접속 정황이 확인됐다.
특히 동일 기기에서 최대 5개의 가짜 신분이 운영된 사례가 포착됐다. 서로 다른 이름과 국적으로 위장한 계정들이 동일 환경에서 활동한 기록이 확인됐다는 설명이다.
외국인 신분을 사칭한 계정에서 한국어 키보드 및 OS 언어 설정이 발견된 사례도 있었다. 복수 계정에서 유사한 비밀번호가 반복 사용됐으며, 레벤슈타인 알고리즘 기반 분석을 통해 일정한 변형 규칙도 확인됐다.
보고서는 이 같은 위장 취업이 단순 외화 획득을 넘어 기업 내부 시스템과 소스코드 저장소, 클라우드 자산 접근으로 이어질 수 있다고 지적했다.
양봉열 로그프레소 대표는 "위장 취업은 초기 침투 경로로 악용될 수 있다"며 "채용 단계에서 다차원 검증 체계를 강화해야 한다"고 밝혔다.