화상면접 4번 뚫고 입사한 시니어 개발자, 회사 노트북 받자마자 25분 만에 멀웨어 깔았다

이거 봤어? 일단 사건부터

미국 법무부가 4월 15일에 미국 시민권자 두 명한테 각각 108개월, 92개월 실형 때렸다. 평균 9년이다. 마약 거래자급 형량이 IT 채용 사기에 붙은 거임. 일단 이 점부터 좀 미친 거 아님?

뉴저지 사는 커자 왕(42)이랑 전싱 왕(39). 4년간 뭐했냐면, 자기 집 거실에 미국 회사가 보내준 노트북 수십 대 쫙 깔아놓고 KVM 스위치라는 작은 장비를 물렸다. 키보드랑 마우스 입력을 통째로 원격으로 넘길 수 있는 장치다. 그러면 중국 단둥이랑 선양에 앉은 북한 IT 인력이 미국 시간에 맞춰 출근해서 미국 회사 사내망에 들어왔다는 거다. 면접 보는 얼굴, 출근하는 IP, 월급 들어가는 계좌가 전부 미국이었음. 주식으로 치면 차명계좌 수십 개 굴리는 건데 규모가 국가 단위다.

법무부 발표문에 따르면 이 구조로 미국인 80명 이상의 신원이 도용됐고, 100개 이상 미국 기업이 북한 IT 인력한테 정식 급여를 지급했다. 호파나 테크 LLC, 토니 WKJ LLC, 인디펜던트 랩 LLC라는 셸컴퍼니 거쳐서 5백만 달러가 평양으로 흘러갔다. 근데 더 미친 건 캘리포니아 어떤 AI 방산업체에서 일어난 일이다. 해외 공모자가 노트북에 원격 접속해서 ITAR 통제 데이터를 직접 빼냈다. ITAR이 뭐냐면 미사일이랑 군용 항공전자 같은 무기 기술의 외국인 접근을 원천 차단하는 규정인데... 단둥 책상까지 미국 무기 기술이 도달했다고 미국 정부가 공식 인정한 거임. ㅋㅋ

근데 이거 빙산의 일각이라는 게 진짜 문제

거의 모든 포춘 500이 이미 당했다. 보안업체 Mandiant CTO 찰스 카르마칼이 RSAC 2025 컨퍼런스에서 그냥 공개적으로 말했다. "내가 만난 거의 모든 CISO가 북한 IT 인력을 최소 한 명, 많게는 수십 명 채용했다고 인정했다". 시총 8위 구글조차 채용 파이프라인에서 북한 IT 인력 지원자 탐지했다고 자체 발표함. 암호화폐 스타트업 g8keep 창업자는 Fortune 인터뷰에서 "내 회사로 들어오는 이력서의 95%가 미국인 행세하는 북한 엔지니어"라고 함. 95%. 알아? 그냥 채용 시장 자체가 오염된 거다.

돈 단위가 살벌함. 미 재무부 OFAC가 2026년 3월에 발표한 최신 제재문에 따르면 북한 IT 인력 스킴이 2024년 한 해에만 약 8억 달러를 평양으로 송금했다. 1조 1천억 원 넘음. 작년에 북한이 쏘아올린 ICBM 발사비 어디서 나왔냐는 질문에 대한 답 중 하나가 '미국 기업의 정식 월급계좌'라는 게 진짜 어이없다.

보안회사가 직접 당함 (이게 찐). 2024년 7월에 KnowBe4라는 회사가 자기 블로그에서 고백했음. 이 회사 본업이 뭐냐면 다른 회사들한테 "당하지 않는 법"을 가르치는 보안 인식 훈련 회사다. 그 회사가 채용 과정에서 백그라운드 체크, 화상면접 4번, 사진 일치 확인까지 다 거쳤다. 통과한 지원자는 시니어 소프트웨어 엔지니어로 입사. 회사가 보낸 Mac 워크스테이션 도착한 순간, 정확히 25분 만에 멀웨어가 돌기 시작함. Raspberry Pi라는 손바닥만한 컴퓨터로 다운로드된 악성코드였음. 사진은 진짜 미국인 스톡 이미지를 AI로 보정한 거였고. CEO가 글 끝에 뭐라고 썼냐면 "우리 얼굴에 계란이 묻었다". ㅋㅋ 본인들이 더 어이없었던 듯.

해고하면 돈 뜯음 (이거 진짜 무서움). 가장 무서운 진화는 이거다. 보안업체 Secureworks랑 구글 Threat Intelligence Group이 2024년 말부터 연쇄 보고한 패턴이다. 의심받아서 해고되면? 일하던 동안 빼낸 소스코드랑 내부 데이터를 인질로 잡고 6자리 달러 비트코인을 요구한다. 1억 원 넘는 금액임. 협상 결렬되면 데이터를 경쟁사에 팔겠다 협박하고, 그것도 안 통하면 잔존 접근권을 북한 APT 해킹조직에 넘기겠다고 한다. 진짜 끝까지 뽑아먹는 구조다.

잠깐, 근데 왜 지금 이렇게 시끄러운 거임?

OFAC 권고문은 2022년부터 매년 갱신됐다. 그때까지는 "조심하시오" 수준이었음. 근데 지금은 형량이 9년이다. 미 법무부는 이 작전을 "DPRK RevGen: Domestic Enabler Initiative"라는 이름으로 시리즈처럼 굴리고 있음. 2025년 7월 애리조나, 12월 메릴랜드, 2026년 2월 워싱턴 D.C., 3월 조지아, 그리고 이번 4월 뉴저지. 1년 사이에 다섯 번의 중형이 떨어졌다. 미국 16개 주에서 노트북 팜 29곳이 일제히 수색됐고 노트북 약 200대 압수. 국무부는 도주 중인 8명한테 1인당 최대 5백만 달러 현상금을 걸었음.

이게 왜 게임체인저냐면, 지금까지 대북 제재 집행은 금융기관이랑 해운업체 추적에 집중돼있었다. 북한 선박이 어디서 환적했는지, 위장 회사가 어떤 은행을 통해 달러 세탁했는지가 핵심 질문이었음. 근데 이번 사건은 다르다. 적발 대상이 회사의 인사 부서고, 자금은 미국 기업의 정식 급여계좌에서 매월 따박따박 빠져나갔다는 거임. 4년간 5백만 달러가 어떤 방화벽도 안 거치고, 정상적인 월급으로 평양에 도착함. 이거 보안 문제가 아니라 채용 시장 자체가 뚫린 거다.

그래서 결론은

CrowdStrike가 이 북한 그룹한테 붙인 코드네임이 Famous Chollima임. 천리마 그잡채. 2024년 한 해에만 320개 회사를 뚫었고, 2025년에는 침투 시도가 220% 늘었다고 함.

근데 진짜 소름인 게... 지금 이 글 읽는 동안에도 미국 어느 회사 슬랙 채널에서 시니어 개발자 한 명이 PR 리뷰를 올리고 있을 거다. 실리콘밸리 시간으로 새벽 3시에. 노트북은 뉴저지에 있고, 그의 손은 단둥에 있음. 어떻게 해야 막을지 솔직히 나도 모르겠다. 면접 4번 뚫는 애들을 무슨 수로 거름?

출처

1차 자료 (미국 정부 공식 발표)

• U.S. Department of Justice, "Two U.S. Nationals Sentenced for Facilitating Fraudulent Remote Information Technology Worker Scheme..." — 형량, 셸컴퍼니 명, KVM 사용, ITAR 데이터 유출 모두 이 보도자료에 명시.

• U.S. Treasury OFAC, "Treasury Sanctions Facilitators of DPRK IT Worker Fraud" (2026.3) — 2024년 8억 달러 추정의 공식 출처.

• FBI IC3, "North Korean IT Worker Threats to U.S. Businesses" (PSA, 2025-07-23) — 채용 담당자용 실무 체크리스트.

언론 보도

• Reuters, "DOJ announces arrest, indictments in North Korean IT worker scheme" (2025.6.30) — 16개 주 29개 노트북 팜 수색, 8명 추가 기소 정리.

• CyberScoop, "North Korean operatives have infiltrated hundreds of Fortune 500 companies" — Mandiant CTO의 RSAC 2025 발언과 구글 사례.

• Fortune, "Thousands of North Korean IT workers have infiltrated the Fortune 500..." (2025.4.7) — 95% 이력서 북한 진술과 애리조나 케이스 정리.

• The Record, "The latest in North Korea's fake IT worker scheme: Extorting the employers" — 해고 후 협박 진화. Secureworks 인사이트.

• 연합뉴스, "'北 IT 근로자 위장취업 도운' 미국인 2명에 중형 선고" — 한국어 보도 참고.

보안업체 1차 보고

• KnowBe4, "How a North Korean Fake IT Worker Tried to Infiltrate Us" — 25분, Raspberry Pi, AI 합성 사진 디테일.