○ 최근 북한 위협 행위자들이 IT 개발자로 위장 취업을 하려는 공격 행위가 증가하고 있는 가운데, 위장 취업을 목적으로 사용된 것으로 추정되는 Github계정 2건(CryptoNinja0331, ican0220)의 분석을 진행했습니다.
○ 각 계정의 특정 리포지터리에서 발견된 위장 취업에 사용된 것으로 추정되는 데이터를 분석한 결과 도출된 위장 취업 캠페인의 매커니즘은 다음과 같습니다.
| 절차 | 주요 키워드 | IT개발자 위장 취업을 위한 상세 절차 |
|---|---|---|
| 1 | 타깃선정 | 개발 분야 종목별 시장 조사 후 취업 대상 분야 선정 |
| 2 | 위장취업 자료 준비 | 위장 취업에 필요한 이력서, 포트폴리오, 이메일 계정 등을 준비 |
| 3 | 위조계정의 페르소나를 통한 구직활동 | 타인의 개인정보를 도용하여 신규 생성한 위장 계정으로 프리랜서 구인구직 사이트 등을 통해 구직활동 수행 |
| 4 | 원격도구 사용 | VPN, VPS, 협업 도구, 원격 제어 도구 등을 이용하여 업무 수행 |
| 5 | 자금이체 | 임금 수령 후 가상자산 플랫폼을 이용해 자금 이체 |
[표 1] 개발자 위장 취업 프로세스
○ Github계정의 리포지터리에서 북한 개발자의 위장 취업시도 정황 증거들이 다수 발견됩니다.
<aside> 💡
○ 최근 북한 개발자가 외화획득 및 정보탈취 등의 목적으로 타 국적으로 신분위조를 통해 위장취업 캠페인을 다수 시도 하고 있어서, 원격근무 및 재택근무환경의 기업의 채용담당자 및 구직자의 각별한 주의가 필요합니다.
| 항목 | 내용 |
|---|---|
| 구직자 | 링크드인, 헤드헌터 등을 통한 구직 시 취업 담당자의 신원 및 지원 회사 검증 필요 |
| 채용 담당자 | 구직자의 신원, 이력서, 포트폴리오 등의 정보 상세히 확인하여 검증 필요 |
| 공통 | 화상회의 앱 설치 요구 시 안내받은 링크가 아닌 공식 사이트를 통한 다운로드 필요 |
| GitHub, NPM, Bitbucket 등의 저장소를 통한 파일 다운로드 시 해당 저장소 및 계정의 신뢰도 파악 필요 |
○ 북한 IT 개발자의 위장 취업 관련 이슈는 2022.05.16. 미국 재무부 해외자산통제국(OFAC)의 공식 지침에서 최초로 경고된 후 현재까지 진행 중에 있습니다.