그룹아이비가 북한 IT 인력 연계 조직이 합성 신원과 인공지능을 활용해 글로벌 기업의 원격 채용 절차에 침투한 정황을 포착했다고 밝혔다. 이들은 가짜 신분으로 합법적인 고용 형태를 취하며 기업 환경에 접근한 것으로 조사됐다.

그룹아이비는 13일 관련 조사 내용을 공개하고, 최신 보고서 ‘북한 IT 근로자의 발자취를 따라서’를 통해 이 같은 활동을 확인했다고 설명했다. 조사에 따르면 이들은 합성 신원, AI 기반 입사 지원서, 디지털 플랫폼을 활용해 기존 보안 통제를 우회한 것으로 나타났다.

이번 사례는 전형적인 사이버 공격과는 다른 양상을 보였다. 시스템 외부를 직접 공격하는 대신, 가짜 신분으로 채용 절차를 통과해 조직 내부로 들어가는 ‘인력을 활용한 접근 모델’이 확인됐다는 것이 그룹아이비의 설명이다.

그룹아이비 위협 인텔리전스 팀은 깃허브, 프리랜서 마켓플레이스, 포트폴리오 사이트 등에서 활동한 가짜 개발자 페르소나들의 조직적 생태계를 발견했다. 관련 활동은 최소 2021년부터 시작돼 2026년 3월까지 이어진 것으로 조사됐다.

조사 결과, 기존에 노출된 계정 외에도 리포지토리, 이메일, 포트폴리오 사이트에 걸친 더 넓은 네트워크가 확인됐다. 위협 행위자들은 개발자 페르소나를 반복적으로 재사용하거나 용도를 바꾸면서 기술적 프로필은 유지하고 개인 이력의 세부 정보만 수정한 것으로 파악됐다.

이와 함께 신원 제작 키트, 입사 지원서 템플릿, AI 생성 답변, 계정 접속 정보가 포함된 아카이브가 발견됐으며, 생성형 AI 도구를 활용해 입사 지원서를 작성하고 고용주와 소통한 정황도 포착됐다. 업워크와 같은 프리랜서 플랫폼에서 인증된 계정을 확보해 신뢰도를 높이려 한 시도도 조사 내용에 포함됐다.