국정원 “북한, 가상자산 2조원 넘게 털고 공급망·원격채용까지 노렸다”

• 국정원이 공개한 ‘2025 국가사이버안보 연례보고서’의 핵심은 북한 사이버 위협이 훨씬 복합적으로 변했다는 것임.

  • 단순히 돈만 훔치는 게 아니라, 가상자산 탈취, 산업 정보 수집, 국제 제재 회피가 한 덩어리로 움직이는 양상이라고 봄.
  • 국정원은 이번 위협 규모를 역대 최대 수준으로 평가했음.

• 가장 큰 숫자는 가상자산 탈취액임. 지난해 북한이 빼돌린 가상자산이 2조원을 넘은 것으로 분석됨.

  • 해외 가상자산 거래소와 관련 업체의 보안 허점을 노린 결과라고 함.
  • 가상자산은 여러 지갑과 거래 경로를 거치며 자금 흐름을 숨기기 쉬워 제재 회피와 현금화에 악용되기 좋음.
  • 그래서 북한 입장에서는 핵심 외화 조달 수단으로 굳어졌다는 진단이 나옴.

• 국내 IT 시스템을 겨냥한 침투도 확인됨.

  • 북한은 국내에서 쓰이는 문서관리 솔루션 3종의 보안 취약점을 악용했다고 전해짐.
  • 취약점을 통해 관리자 계정을 만든 뒤 내부 자료를 빼낸 것으로 알려졌음.
  • 관리자 계정은 접근 권한이 넓기 때문에 한 번 뚫리면 조직 전체 문서와 자료가 위험해질 수 있음.

• 공급망 공격도 빠지지 않음. 북한은 오픈소스 소프트웨어 생태계에도 침투한 것으로 조사됨.

  • 여러 개발자가 함께 쓰는 오픈소스에 악성 코드를 심거나, 신뢰 관계를 악용하는 방식임.
  • 특정 기업 하나를 직접 노리는 것보다 파급력이 큼.
  • 널리 쓰이는 프로그램이나 개발 도구를 통해 다수 기관과 기업으로 피해가 번질 수 있기 때문임.

• 원격 채용 시대를 노린 딥페이크 위장 취업도 등장함.

  • 국정원은 북한 인력이 딥페이크 화상 인터뷰로 얼굴과 신분을 속여 해외 IT기업 채용 절차를 통과하려 한 정황을 확인했다고 밝힘.
  • 재택근무와 원격 채용이 보편화된 환경을 악용해 기업 내부 시스템 접근권을 얻으려 한 셈임.
  • 이건 단순 사기 취업이 아니라 외화벌이와 기업 정보 탈취를 동시에 노린 시도로 해석됨.

• 더 골치 아픈 건 공격 이후 대응까지 계산한 수법이 나왔다는 점임.

  • 국정원은 북한이 스마트폰을 원격으로 초기화해 증거 확보나 후속 대응을 어렵게 만드는 방식도 파악했다고 함.
  • 공격 흔적이 남은 기기를 초기 상태로 돌려버리면 악성 프로그램 분석과 침해 원인 추적이 크게 어려워짐.

• 결론적으로 이건 공공기관이나 거래소만의 일이 아님.

  • 가상자산 업체, 일반 기업, 개발 조직, 오픈소스 생태계, 원격 채용 프로세스까지 전부 공격면이 됨.
  • 보안 취약점 관리, 다중 인증 강화, 관리자 계정 통제, 채용 신원 검증, 의존성 점검 같은 기본기를 다시 조여야 하는 상황임.

---

기술 맥락

• 이 기사에서 봐야 할 기술적 선택은 방어 범위를 어디까지 잡을지예요. 북한 공격은 거래소 해킹 하나로 끝나는 게 아니라 문서관리 솔루션, 오픈소스 의존성, 원격 채용, 모바일 증거 삭제까지 이어지기 때문에 단일 보안 제품으로 막기 어렵거든요.

• 공급망 공격이 특히 위험한 이유는 개발자가 신뢰하는 경로를 타고 들어오기 때문이에요. 오픈소스 패키지나 빌드 도구가 오염되면, 그걸 쓰는 여러 조직이 동시에 영향을 받을 수 있어서 패치 관리와 의존성 검증이 중요해져요.

• 딥페이크 채용 공격은 보안팀만의 문제가 아니라 인사와 개발 조직의 접근권한 설계 문제이기도 해요. 원격 입사자가 내부 저장소, 문서, 배포 시스템에 접근하기 전까지 어떤 검증과 단계적 권한 부여가 필요한지 다시 봐야 해요.

• 스마트폰 원격 초기화 수법은 침해 대응 단계까지 공격자가 고려한다는 뜻이에요. 그래서 로그를 단말 안에만 남기지 않고 중앙화된 감사 로그와 계정 행위 기록을 확보하는 게 왜 필요한지 보여줘요.