해킹된 북한 IT개발자의 PC를 통해 드러난 북한 IT노동의 세계 [탈탈털털]

북한 IT 개발자의 ‘자기 소개’. KBS는 ‘다크웹’에 게시된 해당 개발자의 PC 저장 자료를 입수했다.

속도도 빠르고, 신용도 담보된다며 소개하고 있는 한 IT 개발자.

지난해 7월 그의 컴퓨터가 악성코드에 감염돼 다크웹에 유출됐습니다. 유출된 컴퓨터 자료 안에는 IT 개발자의 이름은 물론 중국으로 잡히는 IP주소, 그가 가족으로부터 받은 편지, 동료와 주고받은 업무 내용, 앱 제작 과정 중 주고받은 내용 등이 담겨있습니다.

이 자료가 보안업체의 레이더망에 포착된 건 올해 초입니다. 이 개발자의 국적은 '북한'으로 추정됩니다.

이렇게 추정하는 근거는 많습니다. 우선, 이 IT 개발자가 2020년 12월 가족으로부터 받은 편지만 해도 그렇습니다. 편지에는 해외에서 나가 일하는 가족에 대한 애틋함과 코로나19에 대한 걱정이 담겼는데, 말투는 물론 우리가 뉴스로만 듣던 '북한'의 여러 상황이 담겨있습니다.

북한 IT 개발자의 가족이 IT 개발자에게 보낸 서신

서신 내용 중 일부. ‘전화련계’, ‘량부모님’, ‘80일 전투’ 같은 북한 용어가 눈에 띈다.

이 편지를 본 북한이탈주민은 "북한 사람이 쓴 걸로 보인다"고 말했습니다. 북한이탈주민 출신인 김영희 남북하나재단 대외협력실장은 "북한 사람들은 편지를 쓸 때 가족 얘기뿐 아니라 북한에서 가장 크게 발생하는 일들을 쓴다. 당 제8차 대회, 80일 전투 등이 나오는 이유"라며 "펜을 놓는다, 량부모, 흰서리가 내리다 등 북한식 표현이 나오고 무엇보다 띄어쓰기가 북한식이다. 북한 같은 경우는 띄어쓰기를 우리 발음하는 순서 그대로 다 쓰는데 그런 부분들이 있는 것으로 봤을 때 북한에서 쓴 게 거의 확실하다"고 했습니다.

북한 IT 개발자의 가족이 편지를 쓴 일자에 발행된 북한 로동신문. 당 제8차 대회 관련 내용과 코로나19로 인한 마스크를 쓴 사람들의 모습이 보인다.

취재진은 신뢰성 확보를 위해 편지에 나오는 상황이 사실에 부합하는지도 확인해봤는데요. 편지를 쓴 일자에 발행된 북한 로동신문에는 편지에 나온 제8차 대회 관련 내용이 있었습니다. 당시의 로동신문과 비교해봐도 상황이 일치했습니다. 북한은 2021년 1월 8차 당 대회를 앞두고 2020년 10월부터 연말까지 '80일 전투'라는 동원 운동을 대대적으로 진행한 바 있습니다. 가족들은 이 80일 전투로 바쁜 일상을 이야기하면서도 해외에 나가 일하는 개발자의 '혁명 과업 완수'를 응원하고 있습니다.

■ 북한 IT 개발자, 국내 앱도 제작?

보안업체의 시스템에 포착된 북한 IT 개발자의 PC 저장 자료 목록

가족이 한마음으로 바란, 이 북한 IT 개발자의 '혁명과업'은 무엇일까요.

그동안 북한 IT 개발자들이 해외 기업에 위장 취업 하거나, 해외 기업의 일을 외주 받아 개발한다는 사례는 외신 등을 통해 보도된 바 있습니다. 지난 2월 국정원은 국내 불법 도박 사이트를 제작한 북한 IT 개발자들의 신원을 공개하기도 했습니다.

지난 2월 15일 KBS 보도. 국정원은 북한 IT 노동자들이 해외 불법 도박 사이트 수천 개를 국내 범죄 조직 등에 판매한 사실을 공개했다.

하지만 북한 개발자가 국내 관련 업무를 한 정황이 드러난 사례는 거의 없습니다.

그런데 이 자료에는 북한 개발자의 이름은 물론 이 개발자가 10여 개의 국내 앱을 제작한 것으로 보이는 정황이 발견됐습니다. 개발자가 가진 자료에는 국내 앱들의 제작, 개발에 참여한 사람이나 앱 스토어 등록에 참여한 사람만 알 수 있는 아이디와 비밀번호 같은 주요 정보들이 있었습니다.

북한 IT 개발자가 개발에 참여한 걸로 추정되는 앱은 의료부터 교육, 뷰티, 재테크에 이르기까지 다양했습니다.

교육 관련 앱 개발 과정 중 나눈 대화로 추정되는 자료

앱 스토어에 앱을 게시할 때 필요한 정보들도 함께 발견됐다.

그런데 궁금합니다. 어떻게 북한 개발자가 국내 앱을 제작할 수 있었던 걸까요?

이 개발자가 제작에 참여한 것으로 보이는 앱 관련자들에 문의했습니다.

한 앱 관계자는 "자료에 나온 정보들이 저희가 앱을 제작할 때 사용한 정보와 일치한다"면서 "외부로 공개되지 않은 정보"라고 했습니다.

그러면서 "처음 앱을 제작할 때는 구인, 구직 사이트에서 국내 외주 업체를 구해 개발을 맡겼고, 그 이후에는 자체 인력이 수정, 보완, 업데이트했다"면서 "앱 개발을 할 때 해당 업체와 직접 만나진 않았고 SNS를 통해 소통했다. 북한 개발자가 제작에 참여했을 것이란 상상도 못 했고 이상한 점을 느끼지도 못했다"라고 말했습니다.

다른 앱들에 문의한 결과도 비슷했습니다. 대부분 구인, 구직 사이트나 지인 소개 등을 통해 국내 외주 업체를 찾아 앱 제작이나 앱 스토어 등록 업무를 맡겼다고 이야기했습니다.

북한 개발자가 자신을 10년 경력의 해외 외주 개발자로 소개하고 있는 데다 여러 구인 사이트에 접속한 이력도 있는 것으로 보아, 소규모 앱 제작 업체 등에 재하청을 받은 것으로 보입니다.

취재진은 이 중 국내 외주 업체 한 곳을 찾아가 봤습니다. 홈페이지에 나온 주소에는 사무실이 없었고, 실제 사무실이란 곳을 찾아내 방문했지만 업체 측과 연락이 닿지 않았습니다.

보안업체 스텔스모어 최상명 이사는 "기존에 북한 개발자들이 해외에서 위장 취업을 시도하거나 외주를 받아서 개발하는 내용과 사례들은 많이 알려져 있었다"라며 "한국도 앱을 외주를 주는 경우가 많은데, 그러다 보니 북한 개발자의 손까지 들어간 게 아닐까 추정된다"고 말했습니다.

■ "해외 과제조 중 낮은 순위…하반년에 전투를 해서라도 실적 올렸으면 한다"

문제는 이 개발자처럼 해외에서 앱 제작을 하는 개발자가 더 있을 걸로 보인다는 점입니다.

이 개발자가 동료와 나눈 대화로 추정되는 글입니다. 자신의 조가 다른 조와 비교해 실적이 저조해 걱정하는 대목이 나옵니다. 하반기에는 '전투'해서라도 실적을 올렸으면 한다고 말합니다. 이번에 발견된 자료 소유자 말고도 활동 중인 해외 IT 노동자가 더 있을 거란 점, 노동자들에게 할당된 목표가 있고 그 목표를 달성하기 위해 노력하고 있다는 사실을 미루어 짐작할 수 있습니다.

"이런식으로 하면 우리 대상조는 년말에 계획이나 겨우 할것 같습니다...(중략)...우리 과제조는 해와과게조중에서는 물론 기업소적으로도 낮은 순위에 있습니다. 다른 과제조보다 일은 더하면 했지 안하지는 않았는데 실적으로서는 너무 차이가 있습니다. 하반년에 여기서 전투를 해서라도 실적을 올렸으면 하니..."

북한 IT 개발자가 동료와 나눈 대화 추정 글

최상명 이사는 "북한 IT 노동자들이 악의를 품고 앱에 악성 코드를 심어서 올린다거나, 업데이트로 악성 코드를 이용자 휴대전화에 심는 등 2차, 3차 공격들을 할 수 있다."고 우려했습니다. 악성코드가 앱을 통해 휴대전화에 설치되면, 휴대전화의 각종 정보가 해커의 손에 들어갈 가능성이 있기 때문입니다.

최 이사는 "외주를 맡기는 업체 입장에서는 상대방이 북한 개발자인지 알기 쉽지 않고, 브로커가 끼는 경우에는 더 알기 쉽지 않다."라며, "외주를 맡긴 결과나 서로 주고 받는 대화에서 언어적인 표현이 북한 말이 있지는 않은지 등을 유심히 살펴보고, 개발된 앱이 안전한지도 꼼꼼히 살펴볼 필요가 있다."라고 강조했습니다.