인포스틸러 로그로 추적한 북한 IT 노동자 위장취업 분석

부제: 100만 건 봇넷 텔레메트리로 밝혀낸 조직적 다중신원 운영 구조

들어가며: 기존 방법론의 한계

북한 IT 노동자들이 가짜 신분으로 해외 원격 IT 직무에 취업하는 행위는 이제 낯선 이야기가 아닙니다. 미국 법무부의 기소장, FBI 경고문, 각국 제재 목록에서 이 문제의 심각성을 알 수 있습니다.

그러나 보안 업계의 기존 분석은 주로 악성코드 역공학에 집중되어 있습니다. 문제는, 북한의 IT 위장 취업자(이하 DPRK 위장 취업자)들은 악성코드를 직접 배포하지 않는다는 점입니다. 그들은 GitHub에 커밋하고, Slack으로 회의에 참석하고, Jira 티켓을 처리합니다. 즉, 합법적인 원격 개발자처럼 행동합니다. 이러한 행동 양식은 악성코드 시그니처로는 탐지할 수 없습니다.

이 연구는 다른 출발점에서 시작했습니다. 딥웹·다크웹에서 유통되는 인포스틸러(InfoStealer) 악성코드 감염 로그를 분석 원천으로 삼았습니다. 북한 IT 노동자들이 사용하는 기기가 인포스틸러에 감염되면서 유출된 이 로그에는 이메일 계정, 패스워드, 접속 IP, 하드웨어 ID 등 다양한 흔적이 포함되어 있습니다. 그리고 이 흔적은 DPRK 위장 취업자들의 운영 구조를 역추적하는 단서가 되었습니다.

목차

• 분석 방법론: 공통 지표 교차 검증
• 핵심 발견

1. 한 기기에서 5개 신원을 운영
2. 한국어 키보드가 신원을 드러내다
3. 패스워드 패턴이 동일 운영 그룹을 특정하다
4. SMS 대행 + VPN + 원격 접속의 3종 인프라 세트
5. 러시아 TransTeleCom이 핵심 인프라

• 운영 그룹 프로파일
• 주요 흔적 분석 내역
• 결론

분석 방법론: 공통 지표 교차 검증

분석의 출발점은 미국 정부 및 민간 연구기관이 공개한 1,879개의 DPRK 위장 취업자 연관 이메일 계정 패턴입니다. 이를 기준으로 딥웹에서 2024년부터 현재까지 수집된 104만 5,645건의 인포스틸러 감염 레코드를 교차 분석했습니다.

[그림 1] 전체 텔레메트리 데이터의 분포 및 밀집도 시각화

본 분석의 출발점은 100만 건 이상의 텔레메트리 데이터가 이메일 계정, 패스워드, 접속 URL 등의 공통 속성을 기반으로 구조화될 수 있는지를 검증하는 것이었습니다. 시각화된 클러스터링 결과를 통해 데이터 간의 명확한 상관관계가 확인되었으며, 이는 해당 데이터셋이 DPRK 위장 취업자들의 행적을 추적하고 패턴을 규명하는데 있어 중요한 가치를 지녔음을 입증합니다. 본 보고서는 데이터의 이러한 유효성을 바탕으로 작성되었습니다.

[그림 2] Levenshtein 알고리즘 기반의 패스워드 유사도 클러스터링 시각화

봇넷 감염으로 유출된 데이터를 시각화하기 위해, 이메일 계정, IP 주소, 패스워드, 공유 패스워드 등을 주요 특징 지표로 추출하였습니다. 특히 패스워드 간의 유사성을 정량화하기 위해 Levenshtein(편집 거리) 알고리즘을 적용하여 데이터 간의 유기적인 연결 구조를 식별했습니다. 이렇게 도출된 클러스터를 공신력 있는 DPRK 위장 취업자 TTP와 정밀하게 대조하였으며, 이를 통해 신뢰도가 높은 그룹을 선별할 수 있었습니다. 본 보고서의 모든 분석 정보는 이러한 교차 검증을 거쳤습니다.

[표 1] 기본 수집 데이터에 대한 주요 텔레메트리 데이터 구분

신뢰도는 3단계로 분류했습니다.

[표 2] 텔레메트리 신뢰도 구분 기준

분석 결과 추출된 고유 계정은 이메일 계정 80개, IP 주소 66개, 하드웨어 ID 66개이며, 이들이 28개 국가에 걸쳐 490개 도메인에 접속한 흔적을 확인했습니다.

핵심 발견 1: 한 기기에서 5개 신원을 운영

가장 중요한 발견은 하드웨어 ID 클러스터입니다. 단일 하드웨어 ID에 연결된 이메일 계정 수가 최대 5개에 달하는 것을 확인했습니다. 본 보고서에서 분석한 이메일 계정 대부분은 Gmail 입니다. 앞서 설명한 것처럼 도메인이 생략된 이메일 계정은 모두 Gmail을 의미합니다.

[표 3] 하드웨어 ID 기준 이메일 계정 사용 현황

이는 단순한 기기 공유를 넘어, 하나의 물리 기기 내에서 서로 다른 가공의 신분(페르소나, Persona)과 프리랜서 프로필이 조직적으로 병행 운영되고 있음을 의미합니다. 즉, 동일한 장비에서 backendeng0417라는 신분으로 Backend Engineer 포지션에 지원하는 동시에, 또 다른 위장 신분인 richbondjames로 타 기업에 접근하는 식의 동시 다발적 구직활동이 이루어질 수 있다는 것입니다.

핵심 발견 2: 한국어 키보드가 신원을 드러내다

페르소나와 언어 설정 불일치는 배후 그룹 분석에 유효한 단서가 됩니다.

[표 4] 외국인 신분을 사칭하고 있으나, 시스템 언어 설정에서 한국어 사용 흔적이 발견되는 사례

첫번째 사례를 보면 일본인 이름을 사용하고 있지만, 한국어 키보드가 설정되어 있음을 확인했습니다. 이 기기의 실제 사용자는 일본인이 아니라 한국어를 모국어로 사용하는 인물일 가능성이 높습니다.

인포스틸러 로그에는 감염된 기기 사용자의 OS 언어·키보드 설정이 포함됩니다. 페르소나는 위장할 수 있지만, 기기의 언어 설정은 간과하기 쉽습니다.

핵심 발견 3: 패스워드 패턴이 동일 운영 그룹을 특정하다

[그림 3] 기본 수집 데이터에 대한 패스워드 패턴의 시각화 분석

분석 결과, 특정 패스워드가 서로 다른 국적과 이름을 내세운 복수의 이메일 계정에서 공통적으로 발견되었습니다. 서로 다른 국적과 이름을 내세우는 이메일 계정들이 동일한 패스워드를 사용한다는 것은, 이들이 개별적인 프리랜서가 아니라 하나의 운영 그룹에 속해있음을 나타내는 지표입니다.

• Xiah@1998123 — 이 패스워드는 4개 이메일 계정(balsinyar, duartejose020202, kyrychenkov30, romanvaraksin763)에서 동일하게 사용되었습니다.
• 123qwe!@#QWE는 6개 이메일 계정에서 공유되었습니다. 이는 키보드 배열을 순서대로 입력하는 키보드 워크(keyboard-walk) 패턴으로, 북한 관련 계정에서 반복적으로 발견되는 패턴입니다.

또한 Levenshtein(편집 거리) 알고리즘으로 클러스터링한 결과, 이들은 단순 재사용을 넘어 체계적인 변형 규칙을 따르고 있었음을 확인하였습니다.

• Assasin 패밀리: Assasin123! → Assasin123~ → Assasom123~ → aSSASIN123~
• James 패밀리: James123~ → james123~ (3개 이메일 계정 공유)
• 이메일 파생 패턴: lprfacial247@gmail.com → 패스워드 lprfacial247 (완전 일치)

대규모 계정을 관리해야 하는 운영자가 쉽게 기억하기 위해 선택한 이런 ‘운영 편의적 패턴’은, 역설적으로 보안 분석가가 공격 그룹을 특정하고 추적할 수 있는 결정적인 단서가 됩니다.

핵심 발견 4: SMS 대행 + VPN + 원격 접속의 3종 인프라 세트

[그림 4] 접근 도메인 서비스에 대한 분석

이메일 계정들이 접속한 서비스 목록은 DPRK 위장 취업자 운영 인프라의 전체 그림을 보여줍니다.

[표 5] DPRK 위장 취업자들이 신분을 위장하기 위해 접속한 주요 서비스 현황

동시에, 이 계정들은 정상적인 프리랜서처럼 보이기 위해 여러 서비스에서도 활발하게 활동하고 있었습니다.

[표 6] DPRK 위장 취업자들이 접속한 서비스 중 정상 프리랜서 개발자로 위장하기 위해 활용한 주요 서비스

북한 IT 개발자가 접속한 도메인 정보를 통해 “취업 지원 → 급여 수령 → VPN으로 위치 은닉 → SMS 대행 서비스로 계정 검증 우회” 로 이어지는 체계적인 패턴을 확인했습니다. 본 보고서는 이를 DPRK 위장 취업자들의 취업 활동이 이루어지는 주된 사이클로 판단합니다.

핵심 발견 5: 러시아 TransTeleCom이 핵심 인프라입니다

IP 66개를 ASN 기준으로 분류한 결과, 특정 러시아 통신사 ASN이 큰 비중임을 확인했습니다.

AS20485 Joint Stock Company TransTeleCom (러시아): 7개 IP, 11개 이메일 계정 연결

TransTeleCom은 러시아의 주요 백본 통신 사업자입니다. 단일 ASN에 이 정도의 집중도를 보이는 것은 러시아 호스팅을 활용하거나 VPN 출구노드로 활용하고 있음을 강하게 시사합니다.

국가별 접속 분포에서는 홍콩이 전체 이벤트의 **64.9%**를 차지했습니다. 홍콩은 이미 국내외 주요 정보기관 및 보안 리포트에서 DPRK IT 노동자들이 활용한 주요 거점으로 지목된 지역으로, 본 보고서의 분석 결과 역시 기존 위협 평가와 일치합니다. 더불어 홍콩의 특정 VPN 서비스를 이용해 실제 위치 정보를 은폐하고, 세탁하는 과정을 거치고 있음을 의미하기도 합니다.

운영 그룹 프로파일

분석 결과 식별된 5개 운영 그룹의 특성을 요약합니다.

그룹 1 — 독일 거점, 단일 기기 5개 신원

• 하드웨어 ID: 65BSLIZSLNT8XOE0NMM
• 이메일 계정: backendeng0417, kretovvadim881, leo.arnold.honey, richbondjames, techking5287
• 특이점: 패스워드 재사용이 가장 높음 (James/Assasin 패밀리 공유)

그룹 2 — 러시아 거점, 영어 설정 통일

• 하드웨어 ID: 88B59F2CF1ACE41FCB4E
• 이메일 계정: codechef730, i.asan825.mail, lovelydeveloper829, matchingcube, p.rango
• 특이점: 모든 계정 언어 설정이 English (United States)로 통일 — 의도적 설정 관리

그룹 3 — 러시아 거점, 언어 설정 없음

• 하드웨어 ID: 2WU1NIB0KVZFV9YJG19
• 이메일 계정: justinbropico, smallstar0924, tenochbush, webmaster0407
• 특이점: 언어 설정 정보 부재

그룹 4 — 다국가 운영, 최고 신뢰도 클러스터

• 하드웨어 ID: 20A1F78D427D13056976 외 다수
• 이메일 계정: balsinyar, duartejose020202, romanvaraksin763 (+ kyrychenkov30과 연동)
• 특이점: 6개국 접속, Xiah@1998123 공유 — 상호 연결된 운영자 네트워크라고 판단하게 되는 중요한 증거

그룹 5 — 러시아 거점, 개발자 특화 닉네임

• 하드웨어 ID: 22EAD21274BD7FBDA6B6
• 이메일 계정: codechef730, codewarrier3000, svendev128
• 특이점: 닉네임 자체가 개발자 지향 (codechef, codewarrier) — 기술직 취업에 집중

주요 흔적 분석 내역

이메일 계정 (신뢰도 High)

다음은 다양한 위협 지표를 통해 식별된 DPRK 위장 취업자 연관 이메일 계정 목록입니다. 단일 이메일 계정이 8개의 IP 주소, 2개의 패스워드, 그리고 8개의 하드웨어 ID(HWID)와 복합적인 상관관계를 맺고 있는 것은 일반 사용자의 행위 범위를 벗어난 이례적인 패턴입니다.이러한 ‘1:N’형태의 다중 매핑 구조는, 해당 계정을 개인이 사용하는 것이 아니라 조직적 차원에서 위장 신원 인프라를 위해 사용되는 계정임을 시사하는 강력한 증거입니다.

kyrychenkov30@gmail.com       (IP×8, PW×2, HWID×8)
romanvaraksin763@gmail.com    (IP×6, PW×3, HWID×6)
balsinyar@gmail.com           (IP×6, PW×2, HWID×6)
backendeng0417@gmail.com      (IP×1, PW×4, HWID×1)
richbondjames@gmail.com       (IP×1, PW×4, HWID×1)

ASN/IP

AS20485 (TransTeleCom, RU) — 188.43.235.0/24, 188.43.33.0/24, 188.43.253.0/24

패스워드 패턴

크리덴셜 모니터링 또는 다크웹 유출 탐지 시스템에 아래 패턴을 등록하면, 동일한 DPRK 위장 취업자 그룹의 신규 이메일 계정을 선제적으로 탐지 할 수 있습니다.

123qwe!@#QWE        # 6개 이메일 계정 공유, 키보드 워크 패턴
Xiah@[0-9]{7}       # 4개 이메일 계정 공유, 동일 운영 그룹 신호
Assasin123[~!@#]+   # 패밀리 클러스터, 접미사 변형
James123[~!@#]+     # 패밀리 클러스터, 접미사 변형

지리적/언어 이상 징후

채용 플랫폼 또는 HR 시스템에 다음과 같은 이상 행위 탐지 로직을 반영할 것을 권고합니다.

• 프로필-시스템 언어 불일치: 지원자 국적·이름과 접속기기의 OS 또는 브라우저 언어 설정이 불일치할 때 알림
• 비정상 다국가 접속 패턴: 단기간(예:7일 이내)에 3개국 이상의 국가 IP로 접속이 발생하는 경우, 플래그를 활성화합니다.
• 단일 기기 기반 다중 계정 접속(HWID 중복): 동일한 하드웨어 식별자(HWID)에서 복수의 구직 계정이 번갈아 접속할 경우 즉시 경보를 발송합니다 (채용 플랫폼 세션 핑거프린팅 적용 가능)
• 가상 번호 기반 인증: sms-activate.org 등 임시 번호 발급 서비스를 통해 인증된 계정은 별도의 검토 프로세스를 거치도록 합니다

채용 프로세스 권고

DPRK 위장 취업자의 침투를 차단하기 위해, 채용 프로세스 전반에 걸쳐 다음과 같은 검증 체계 도입을 권장합니다.

• [검증] 다차원 신원 검증: 지원자의 LinkedIn 프로파일 및 활동이력과 GitHub 커밋 히스토리의 진위 여부를 대조합니다. 특히 화상 면접에서는 딥페이크 탐지 도구를 활용하여 지원자의 실제 신원을 반드시 확인해야 합니다.
• [식별] 비정상적 요구 포착: 계약 체결 전 Payoneer·Wise 등 특정 결제 플랫폼만 고집하거나, 사내 접근 OTP 등을 위해 공개형 SMS를 이용하려는 지원자는 주의깊게 살펴보아야 합니다.
• [통제] 엔드포인트 보안 및 인프라 감시: 원격 근무자에게는 가급적 업무용 기기를 직접 지급하고, MDM 솔루션을 도입하십시오. 이를 통해 접속 IP와 ASN을 상시 모니터링하여, 비정상적인 경로를 통한 접근을 실시간으로 탐지해야 합니다.

결론

이번 보고서가 보여주는 것은 두 가지입니다.

첫째, 북한 IT 위장취업은 개인 수준의 사기 행위가 아니라 고도로 조율된 ‘다중 신원 인프라’ 위에서 운영되는 조직적인 행위입니다. 단일 기기에서 5개 이상의 페르소나를 동시 운영하고, 체계적으로 패스워드를 변형하며, SMS 인증 대행과 VPN을 조합하는 방식은 이들이 철저히 훈련된 조직임을 보여줍니다.

둘째, 이런 집단을 추적하기 위해 인포스틸러 텔레메트리를 활용할 수 있다는 것입니다. 기존의 악성코드 역공학 방식으로는 악성코드를 배포하지 않는 조직을 탐지하는 데 한계가 있었습니다. 하지만 악성코드 개발자조차 악성코드에 감염되는 역설적인 현실은 새로운 추적의 실마리가 되었습니다. 봇넷 로그에 남은 하드웨어 ID, 언어 설정, 공유 패스워드 등 사소한 흔적은 위장된 페르소나를 뚫고 실제 운영자가 누구인지를 드러내는 가장 결정적인 단서가 됩니다. 일본인으로 위장했지만 한국어 키보드 설정이 노출된 사례처럼, 결정적인 단서는 때로 가장 사소한 곳에서 나옵니다.

북한 IT 위장취업은 단순한 외화 획득 수단이 아닙니다. 이들이 확보한 내부 시스템 접근 권한, 소스코드 저장소, 클라우드 콘솔 자격증명은 향후 더 큰 사이버 공격을 위한 초기 침투 벡터가 될 수 있습니다. 따라서 채용 단계에서 선제적으로 탐지하는 것이 기업의 리스크를 관리하는 가장 경제적이고 강력한 방어선입니다.