채용 담당자가 받은 이력서가 AI로 자동 생성되고, 화상 면접에서 마주친 얼굴이 딥페이크 필터를 쓴 제3자이며, 온보딩을 마친 신입사원이 실제로는 평양 혹은 중국 다롄에 앉아 있다면 — 이것이 2025~2026년 실제 기업이 직면한 상황이다. 북한 IT 위장취업 수법은 생성형 AI와 결합하면서 전통적인 채용 심사로는 걸러내기 어려운 수준으로 고도화됐다. 이 글은 서류 검토부터 재직 모니터링까지, HR·보안팀이 각 단계에서 지금 당장 쓸 수 있는 점검 항목을 정리한다.
2025–2026년 북한 IT 위장취업 실태: 무엇이 달라졌나
Microsoft Threat Intelligence는 2025년 6월 이 공격 집단을 ‘Jasper Sleet’(구 Storm-0287)으로 공식 명명하고 신규 수법을 상세 공개했다. 핵심은 세 가지다. 첫째, AI 생성 프로필 사진으로 LinkedIn·GitHub 계정을 꾸미고 실제 인물처럼 위장한다. 둘째, 음성변조 소프트웨어로 화상 면접을 통과한다. 셋째, 이력서를 LLM으로 자동 생성해 포지션별로 맞춤화하는 속도가 인간 채용팀의 검토 속도를 압도한다.
규모 역시 달라졌다. CrowdStrike의 2026 Technology Threat Landscape Report에 따르면 ‘Famous Chollima’로 추적되는 이 집단은 2025년 4월부터 2026년 5월까지 미국 테크 섹터 국가지원 공격의 47%를 차지했으며, 조사된 위장취업 사례만 320건을 넘는다. 반도체·클라우드·핀테크 기업이 집중 타깃이었다.
Group-IB의 2021~2026년 추적 보고서는 또 다른 전술을 드러낸다. 업워크·탑탈 같은 프리랜서 플랫폼에서 수년간 신뢰를 쌓은 기존 계정을 탈취하거나 매입해 재사용하는 방식이다. 계정 나이와 리뷰 점수가 이미 검증된 것처럼 보이기 때문에 플랫폼 자체 신뢰 지표만으로는 걸러낼 수 없다.
당국의 대응도 강해지고 있다. 2026년 4월 미 법무부는 북한 IT 워커를 100개 이상 미국 기업에 배치한 조력자 Kejia Wang에게 징역 9년, 공범 Zhenxing Wang에게 약 8년을 선고하고 두 사람의 60만 달러를 몰수했다. 같은 해 3월 OFAC은 이 사기 네트워크와 연루된 개인 6명·기관 2곳을 제재했으며, 해당 조직이 2024년 한 해에만 WMD 자금으로 약 8억 달러를 조달한 것으로 밝혀졌다. 취업 사기가 단순 임금 절취를 넘어 핵·미사일 프로그램 재원이 된다는 의미다.
서류·채용 전 단계 체크리스트
이력서 AI 생성 여부 확인이 첫 관문이다. GPT 계열로 생성된 이력서는 문체 균질성이 높고, 직무기술서에서 키워드를 그대로 가져온 패턴이 반복된다. 오타나 어색한 표현이 전혀 없는 “너무 깔끔한” 이력서는 오히려 의심 신호다. ChatGPT 탐지 도구(GPTZero, Originality.ai 등)를 보조 수단으로 활용하되, 판단의 근거로만 쓰고 단독 기준으로 삼지는 않는다.
GitHub과 LinkedIn 계정은 생성일과 활동 패턴을 함께 본다. 채용 공고 시점 직전에 리포지터리가 한꺼번에 생성됐거나, 커밋 이력이 특정 날짜에 집중되어 있으면 포트폴리오를 급조했을 가능성이 높다. LinkedIn 연결 네트워크가 지나치게 얇거나 1촌이 대부분 낯선 외국 계정으로 구성된 경우도 체크한다.
프리랜서 플랫폼 계정은 나이 대비 포트폴리오의 급격한 증가 여부를 확인한다. 2년 된 업워크 계정에 최근 3개월 안에 복잡한 프로젝트 15건이 갑자기 추가됐다면 계정 양도를 의심할 수 있다.
IP·시간대·연락처 국가가 이력서의 거주지와 일치하는지도 기본 점검이다. 지원 이메일의 헤더 분석, 화상 면접 예약 시 제시한 시간대 등을 교차 확인한다. 레퍼런스 연락처는 반드시 전화로 직접 검증한다 — 이메일만으로는 가짜 레퍼런스를 걸러내기 어렵다.
화상 면접 단계 체크리스트
딥페이크·VTuber 필터는 몇 가지 물리적 한계를 가진다. 면접 중 갑작스러운 움직임을 요청해보는 것이 가장 빠른 탐지법이다. “카메라를 왼쪽으로 돌려주세요” 또는 “잠깐 옆을 봐주세요”라고 했을 때 귀·머리카락 가장자리에서 픽셀 경계선이 번지거나, 요청 자체를 거부하거나 기술 오류로 넘어가면 필터 사용을 의심해야 한다. 실시간 렌더링 딜레이로 인한 미세한 프레임 지연도 관찰 포인트다.
음성변조는 감정·강세가 평탄화되고 배경 소음이 비정상적으로 깨끗한 특징이 있다. 면접 중 마이크 교체나 재연결을 요구했을 때 거부하는 것도 의심 신호다. 예상치 못한 질문에 대한 반응 속도와 자연스러움을 관찰한다 — 답변을 읽어주는 보조자가 있다면 특유의 입력 딜레이와 시선 이탈 패턴이 나타난다.
기술 검증은 실시간 코딩 테스트 + 화면공유 + 문제 풀이 사고과정 구술을 동시에 요구하는 방식이 가장 효과적이다. 화면공유 없이 결과물만 제출하는 방식은 외부 도움 여부를 확인할 수 없다.
정부 발급 신분증은 스크린캡처가 아니라 카메라 앞에서 실물을 실시간 제시하도록 요구한다. 신분증을 천천히 돌려 앞·뒷면을 모두 보여달라고 하면 사전 준비된 위조 이미지로는 대응하기 어렵다.
온보딩 및 접근 권한 통제 체크리스트
온보딩 첫날 전체 코드베이스나 운영 시스템에 즉시 접근권을 주는 것은 피한다. 최소 권한 원칙을 채용 직후부터 적용해 역할에 필요한 리포지터리·서비스만 단계적으로 열어준다. 2~4주 관찰 기간 동안 행동 패턴을 확인한 후 권한을 확대하는 구조가 안전하다.
개인 기기 사용을 허용해야 한다면 반드시 MDM(Mobile Device Management) 등록을 전제로 하고, 원격 와이프 권한을 회사가 보유해야 한다. 사실상 가장 안전한 선택은 회사 지급 장치 필수화다.
AnyDesk·TeamViewer·ngrok·Cloudflare Tunnel 같은 비허가 원격 접속 도구의 설치 여부를 온보딩 직후 감사한다. 정상적인 업무 환경에서 이 도구들이 필요한 경우는 드물며, 발견 시 즉각 보안팀에 에스컬레이션해야 한다.
급여 계좌 소재 국가를 확인하고, 제3자 개인 계좌 경유 송금 구조는 계약 단계에서 차단한다. OFAC 제재 대상 국가 계좌는 자동 플래그되도록 급여 시스템을 설정해두는 것이 법적 위험을 줄이는 방법이다.
재직 중 이상행동 모니터링 체크리스트
SIEM이나 DLP 솔루션이 없더라도 다음 시그널은 로그 레벨에서 확인 가능하다.
시간대·지역 이상 접속: 계약서에 명시된 거주지와 전혀 다른 시간대에서 심야 로그인이 반복된다면 VPN 우회 또는 실제 거주지 불일치를 의심한다. AWS CloudTrail, GitHub audit log, Okta sign-in logs에서 login IP의 지리 정보를 주기적으로 검토한다.
소스코드·고객 데이터 외부 전송: 개인 Gmail·Dropbox·Google Drive로 대용량 파일을 업로드하거나, 사내 S3 버킷에서 비정상적인 GetObject 호출이 발생하는 경우다. DLP 규칙이 없더라도 CloudWatch나 S3 access log로 기본 탐지는 가능하다.
비허가 원격 제어 툴 신규 설치: 온보딩 이후 시점에 ngrok 바이너리가 생성됐거나, 비표준 포트 포워딩 터널이 열린 흔적이 있으면 즉시 조사한다.
협업 회피 패턴: 코드 리뷰 참여를 지속적으로 회피하고, 슬랙 메시지가 최소화되며, 동료와의 직접 접촉을 의도적으로 피하는 패턴은 신원 노출을 꺼리는 행동 신호다. 단독으로 판단 기준이 되지는 않지만 다른 시그널과 결합되면 무게감이 달라진다.
동일 네트워크 다중 ID 접속: 동일 IP에서 서로 다른 사용자 계정이 동시에 로그인되거나, 자격증명 공유 흔적이 있으면 여러 워커가 같은 거점에서 운영 중일 가능성이 있다.
의심 사례 발견 시 대응 절차 및 신고 채널
의심 신호를 발견했을 때 당사자를 즉시 불러 해명을 요구하는 것은 피한다. 증거 보존이 먼저다. 로그·장치 이미징을 완료하기 전에 당사자가 파일을 삭제하거나 장치를 초기화할 수 있다.
내부 에스컬레이션 순서는 보안팀 → 법무팀이다. 보안팀이 접근 권한을 즉시 중단하고 포렌식 이미징을 시작하는 동안, 법무팀은 계약 위반 조항과 OFAC 제재 위반 가능성을 동시에 검토한다. 북한 IT 워커에게 급여를 지급했다면 OFAC 제재 위반에 해당할 수 있으며, 자진 신고 시 민·형사 면책 가능성이 생긴다.
외부 신고 채널:
- 미국 기업: FBI IC3(ic3.gov) 또는 CISA 신고 포털
- 한국 기업: KISA 118 침해사고 신고센터 병행, 국가정보원 산업기밀보호센터(111)
계약 종료 후에는 해당 직원의 자격증명 전수 폐기와 SSO 연동 앱 토큰 무효화를 동시에 진행한다. 접근 로그는 최소 90일 이상 보존해 사후 포렌식에 대비한다. VPN 자격증명·API 키·배포 시크릿 중 해당 직원이 접근했던 것은 모두 교체한다고 보는 편이 안전하다.
자주 묻는 질문
Q. 소규모 스타트업도 이 위협에 노출되나요?
오히려 더 취약하다. 대기업은 전담 보안팀과 SIEM이 있지만 스타트업은 채용 속도 압박이 크고 신원 확인 절차가 느슨한 경우가 많다. CrowdStrike 보고서에서 언급된 320건 이상의 사례 중 상당수가 시리즈 A·B 단계 테크 기업이었다. 인력이 부족하다면 최소한 GitHub 계정 나이 확인, 화상 면접 실시간 신분증 제시, 온보딩 접근 권한 단계화 세 가지만이라도 즉시 적용한다.
Q. 이미 채용한 직원이 의심될 때 어떻게 시작하나요?
직접 대면하기 전에 먼저 조용히 로그를 수집한다. Okta 또는 Google Workspace 관리자 콘솔에서 해당 계정의 로그인 IP·시간대 이력 90일치를 뽑아보는 것이 첫 단계다. 비정상 패턴이 확인되면 보안팀과 법무팀에 에스컬레이션하고, 이후 절차는 법무팀 지침에 따른다. 단독으로 계정을 잠그거나 직접 추궁하는 것은 증거 훼손 위험과 법적 리스크를 동시에 만든다.
Q. 딥페이크 탐지 툴을 도입하면 충분한가요?
툴 단독으로는 충분하지 않다. 딥페이크 탐지 솔루션은 오탐율이 있고, 최신 생성 모델은 탐지 도구보다 빠르게 발전한다. Microsoft Jasper Sleet 보고서가 강조하는 것처럼 신원 확인은 기술 레이어와 절차 레이어를 함께 써야 한다. 실시간 신분증 제시, 사고과정 구술이 포함된 기술 면접, 온보딩 후 접근 권한 단계화 등 절차적 게이트가 툴보다 더 신뢰도가 높다.