북한 IT 인력 위장 취업 OSINT 분석 보고서
Contents
인포스틸러 로그로 추적한 북한 IT 노동자 위장취업 분석
부제: 100만 건 봇넷 텔레메트리로 밝혀낸 조직적 다중신원 운영 구조
들어가며: 기존 방법론의 한계
북한 IT 노동자들이 가짜 신분으로 해외 원격 IT 직무에 취업하는 행위는 이제 낯선 이야기가 아닙니다. 미국 법무부의 기소장, FBI 경고문, 각국 제재 목록에서 이 문제의 심각성을 알 수 있습니다.
그러나 보안 업계의 기존 분석은 주로 악성코드 역공학에 집중되어 있습니다. 문제는, 북한의 IT 위장 취업자(이하 DPRK 위장 취업자)들은 악성코드를 직접 배포하지 않는다는 점입니다. 그들은 GitHub에 커밋하고, Slack으로 회의에 참석하고, Jira 티켓을 처리합니다. 즉, 합법적인 원격 개발자처럼 행동합니다. 이러한 행동 양식은 악성코드 시그니처로는 탐지할 수 없습니다.
이 연구는 다른 출발점에서 시작했습니다. 딥웹·다크웹에서 유통되는 인포스틸러(InfoStealer) 악성코드 감염 로그를 분석 원천으로 삼았습니다. 북한 IT 노동자들이 사용하는 기기가 인포스틸러에 감염되면서 유출된 이 로그에는 이메일 계정, 패스워드, 접속 IP, 하드웨어 ID 등 다양한 흔적이 포함되어 있습니다. 그리고 이 흔적은 DPRK 위장 취업자들의 운영 구조를 역추적하는 단서가 되었습니다.
목차
- 분석 방법론: 공통 지표 교차 검증
- 핵심 발견
- 한 기기에서 5개 신원을 …
부제: 100만 건 봇넷 텔레메트리로 밝혀낸 조직적 다중신원 운영 구조
들어가며: 기존 방법론의 한계
북한 IT 노동자들이 가짜 신분으로 해외 원격 IT 직무에 취업하는 행위는 이제 낯선 이야기가 아닙니다. 미국 법무부의 기소장, FBI 경고문, 각국 제재 목록에서 이 문제의 심각성을 알 수 있습니다.
그러나 보안 업계의 기존 분석은 주로 악성코드 역공학에 집중되어 있습니다. 문제는, 북한의 IT 위장 취업자(이하 DPRK 위장 취업자)들은 악성코드를 직접 배포하지 않는다는 점입니다. 그들은 GitHub에 커밋하고, Slack으로 회의에 참석하고, Jira 티켓을 처리합니다. 즉, 합법적인 원격 개발자처럼 행동합니다. 이러한 행동 양식은 악성코드 시그니처로는 탐지할 수 없습니다.
이 연구는 다른 출발점에서 시작했습니다. 딥웹·다크웹에서 유통되는 인포스틸러(InfoStealer) 악성코드 감염 로그를 분석 원천으로 삼았습니다. 북한 IT 노동자들이 사용하는 기기가 인포스틸러에 감염되면서 유출된 이 로그에는 이메일 계정, 패스워드, 접속 IP, 하드웨어 ID 등 다양한 흔적이 포함되어 있습니다. 그리고 이 흔적은 DPRK 위장 취업자들의 운영 구조를 역추적하는 단서가 되었습니다.
목차
- 분석 방법론: 공통 지표 교차 검증
- 핵심 발견
- 한 기기에서 5개 신원을 …