사이버 보안 연구원 닉 로이(Nick Roy)는 약 10년간 북한의 매우 적은 인터넷 존재를 살펴보면서 온라인에 등장한 북한의 신규 웹사이트를 탐지하고는 북한의 디지털 생활을 엿볼 정보를 제공했다. 하지만 2023년 말, 북한 인터넷 실태 전문 블로그 운영자이기도 한 로이 연구원은 전혀 예상치 못한 정보를 발견했다. 바로 북한 주민이 국제 사회의 주요 TV 쇼 관련 작업을 한다는 사실이다.
2023년 12월, 로이 연구원은 북한 IP 주소의 구성 오류가 있는 클라우드 서버에 애니메이션 파일 수천 개가 포함된 사실을 발견했다. 캐시에는 애니메이션 셀과 영상, 작업 논의 노트, 현재 진행 중인 프로젝트에 필요한 변경 사항 등이 포함되었다. 일부 이미지는 아마존 프라임 비디오에 공개된 슈퍼히어로 쇼와 맥스에 개봉될 예정인 아동 애니메이션 이미지로 확인됐다.
구글 소유 보안 기업 맨디언트(Mandiant)와 함께 조사 결과 분석을 도운 스팀슨 센터(Stimson Center)의 북한 전문 프로젝트인 38 노스 프로젝트(38 North Project)의 보고서로 상세히 설명된 바와 같이 북한 서버에 미국 스트리밍 플랫폼의 TV 쇼 관련 파일이 포함된 사실과 일시적 보안 오류는 북한이 IT, 테크 분야 인재를 이용하여 북한 정권의 자금을 확보하는 방법을 엿볼 정보를 제공한다. 해당 정보는 미국 정부 관료의 북한 IT 분야 근로자가 전 세계 기업과 외주 기업에 위장 취업한다는 경고 목소리가 갈수록 커진 시점에 발견된 점에서도 주목할 수 있다.
북한 인터넷은 매우 작고 취약한 공간이다. 북한의 IP 주소는 단 1,024개이며, 전 세계 인터넷과 연결된 웹사이트는 약 30개이다. 제한된 내부 인트라넷이 존재하지만, 북한 주민 2,600만 명 중 인터넷에 접속할 수 있는 이는 수천 명이다. 인터넷 접속 시 북한 정권의 엄격한 통제가 따른다. 북한 주민 중 극소수만이 한 번에 한 시간 동안 인터넷에 접속할 수 있으며, 인터넷 접속 시 옆자리에 앉은 관료에게 5분 단위로 인터넷 활동을 승인받아야 한다.
로이 연구원이 노출된 북한 클라우드 서버를 발견했을 때 일 단위로 업데이트된 사실을 확인했다. 북한 서버 콘텐츠 분석 작업을 도운 38 노스 프로젝트 수석 펠로인 마틴 윌리엄스(Martyn Williams)는 노출된 북한 서버가 북한 애니메이션 제작사와 파일을 주고받는 작업이 허용되었을 가능성이 있다고 진단했다. 서버는 지금도 활성화 상태이지만, 2024년 2월 말 한 차례 의문의 접속 중단 문제가 발생했다. 로그인 페이지가 있지만, 사용자 이름과 패스워드를 입력하지 않더라도 콘텐츠에 접근할 수 있다. 로이 연구원은 “노출된 파일을 먼저 발견한 뒤 로그인 페이지를 찾았다”라고 전했다.
파일에는 중국어로 작성되어 한국어로 번역된 의견과 지시 사항이 포함되었다. 윌리엄스는 “애니메이션 파일 중 다수는 작업 흐름 상세 정보가 담긴 스프레드시트와 같은 파일이 함께 존재했다”라고 전했다. 윌리엄스가 예시로 공유한 일부 파일에는 상세 애니메이션 파일과 영상 클립이 있었으며, 작가 노트와 여러 파일의 날짜 스탬프도 있었다. 보고서는 애니메이션 제작사가 캐릭터 머리 모양 수정을 요청한 기록을 발견한 사례를 전했다.
[사진=Unsplash]
연구팀은 문서와 이미지를 바탕으로 북한에서 작업 중인 일부 TV 쇼와 프로젝트를 확인했다. 캘리포니아 기업 스카이바운드 엔터테인먼트(Skybound Entertainment)가 제작한 뒤 아마존에 개봉된 TV 쇼인 인빈서블(Invincible) 시즌 3도 북한에서 작업 중인 파일 중 하나로 확인됐다. 유닉 스튜디오스(YouNeek Studios)가 제작하여 맥스, 카툰 네트워크(Cartoon Network)에 방영된 애니메이션 ‘Iyanu: Child of Wonder’와 일본 애니메이션 시리즈와 일본 애니메이션 스튜디오가 제작한 TV쇼 파일도 북한 서버에서 발견했다.
일부 파일에는 TV 쇼 시리즈와 에피소드 회차 정보도 담겨있었다. 일부 파일과 프로젝트는 상세 정보를 확인할 수 없었다. 다량의 말 관련 영상과 러시아의 말을 다룬 도서 파일도 상세 정보를 확인할 수 없었다.
현재도 북한에서 발생하는 인권 침해 문제와 핵무기 개발 계획을 이유로 북한 정권에 시행된 제재는 미국 기업의 북한 기업이나 개인과의 거래를 금지한다. 그러나 연구팀은 북한 서버 프로젝트에서 발견된 파일에 포함된 TV 쇼와 애니메이션 제작사나 스트리밍 플랫폼 기업이 북한 애니메이션 제작자의 작업 사실을 인지했을 확률이 매우 낮으며, 제작사나 스트리밍 플랫폼 기업이 제재나 기타 법률을 위반했을 가능성을 시사하는 증거는 없다고 전했다. 보고서에는 “계약 합의가 주요 제작사의 배급 단계에서 몇 단계 지난 시점에 이루어졌을 수도 있다”라고 기술되었다.
아마존과 맥스 대변인 모두 북한 프로젝트 관련 의견 공개 요청을 거부했다. 유닉 스튜디오스는 와이어드의 문의에 답변하지 않았다.
스카이바운드 엔터테인먼트 대변인은 “스카이바운드 엔터테인먼트는 인빈서블 시리즈를 이용한 프로젝트를 진행하는 북한 기업이나 중국 기업, 혹은 그 외 관련 기관과 협력한 적이 없다. 또, 인빈서블 프로젝트를 진행하는 북한이나 중국 기업과 관련하여 아는 바도 없다”라며, “북한과 중국 기업의 인빈서블 프로젝트 작업 주장을 심각한 문제로 받아들이고, 내부 조사를 시작했다”라고 전했다. 스카이바운드 엔터테인먼트는 X(구 트위터)를 통해 보고서로 드러난 북한 프로젝트 관련 문제를 확인되지 않은 일이라고 언급하며, 당국과 관련 문제를 조사 중이라고 밝혔다.
윌리엄스는 중국의 유령회사를 이용하여 북한 기업의 활동 및 프로젝트 개입 사실을 숨겼을 가능성이 있다고 설명했다. 연구팀은 노출 서버의 연결 정보가 대부분 VPN으로 숨겨진 상태였으나 노출된 서버 연결을 분석하고, 스페인과 중국 도시 세 곳에서의 접속 사실을 감지했다. 보고서는 “접속 사실이 확인된 도시 모두 북한이 운영하는 기업이 다수 진출한 곳이자 해외 거주 북한 IT 인재가 주로 모인 곳이다”라고 전했다.
윌리엄스는 연구팀이 파일 속에 숨겨진 북한 기업 정보를 확인할 이름을 발견하지 못했으나 북한에는 SEK 스튜디오라는 이름으로도 알려진 조선 4·26 아동영화촬영소라는 확고한 입지를 다진 애니메이션 제작사가 있다. 1950년대 설립된 조선 4·26 아동영화촬영소는 외국 TV 쇼와 영화 수백 편으로 작업했다.
그러나 지난 몇 년간 미국 재무부는 조선 4·26 아동영화촬영소와 관계자, 외국 고객사와 작업한 유령 기업 여러 곳을 대상으로 제재를 시행했다. 제재 기록에 따르면, 다수 유령 기업이 중국과 관련되었다. 2021년 제재 시행 발표 차원에서 발행된 공식 성명에는 “조선 4·26 아동영화촬영소는 여러 유령 기업을 이용하여 북한 정권을 대상으로 한 제재를 피하고, 국제 금융 기관을 기만하였다”라고 작성되었다.
맨디언트의 북한 전문 연구원 마이클 반하트(Michael Barnhart)는 북한 기업이 외국 애니메이션에 불법으로 접근하여 비밀리에 프로젝트를 진행하는 주된 목적이 북한 정권의 자금 충당이라고 설명했다. 지난 몇 년간 북한 해커와 사기꾼 세력이 전 세계 기업 및 기관, 개인을 대상으로 거액의 달러를 탈취하여 북한의 군사 야망에 필요한 자금을 벌어들였다. 이 과정에는 거액의 암호화폐 범죄도 동원되었다. 2022년 초 미국 연방수사국(FBI)은 북한의 IT 근로자가 원격 근무자로 취업한 채로 외국 기업에 잠입하여 북한 정권의 자금을 제공한 사실을 경고한 16페이지 분량의 보고서를 발행했다.
반하트는 “외국 기업에 접근한 북한 IT 근로자 수가 예상보다 훨씬 더 많다”라고 말했다. 북한 IT 근로자는 계속 전략을 변경하여 외국 정보기관이나 기업이 정체를 알아차리는 일을 피한다. 반하트는 “불과 얼마 전까지만 하더라도 면접 도중 면접자와 구직자가 서로 직접 얼굴을 보면서 말하는 방법밖에 없었다. 이제는 뒤에서 타인이 면접자 대신 말할 수도 있다”라고 설명했다. 반하트는 엄밀히 말하자면, 기업이 원격 근무 인력의 기기를 인증하고, 기업 노트북이나 네트워크에 원격 소프트웨어가 연결되지 않았음을 확인해야 한다고 전했다. 또한, 기업은 숙련된 인사관리 담당 인력이 참여한 채용 단계로 IT 원격 근무자 후보를 검증하는 추가 노력을 펼쳐야 한다.
하지만 갈수록 북한 IT 인력과 이미 알려진 해킹 조직이나 지능형 지속공격(APT)으로 분류된 조직 구성원과의 접점이 커지는 추세이다. 반하트는 “많은 기업이 IT 인재에 더 초점을 맞출수록 APT 작전을 펼치는 이나 APT와 다른 활동을 혼합하려는 이를 발견하기 시작할 확률이 상승했다. 이번 사례는 북한의 IT 인력을 동원한 활동을 직접 연구하여 가장 빨리 알아차렸다. 또한, 그동안 조사한 사례 중 가장 빨리 발견한 국가 차원의 제재 회피 사례이다”라고 말했다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Unsplash]](/news/photo/202404/5510_7113_3750.jpg)
뉴스레터 신청