[헤럴드경제=김보영 기자] 아마존의 협력업체 직원으로 위장취업한 북한 해커가 적발됐다. 다른 직원들에 비해 키보드 입력 시간이 수십㎳(밀리초) 지연되는 것을 수상하게 여긴 아마존 측이 추적한 끝에 이 같은 사실이 드러났다.

20일(현지시간) 블룸버그에 따르면, 최근 아마존은 이 직원의 키보드 입력 데이터가 미국 워싱턴주 시애틀 본사에 도달하는 데 걸리는 시간이 110㎳나 걸린다는 점을 수상히 여겨 내부 조사에 착수했다.

이는 0.11초에 불과한 매우 짧은 시간이지만, 미국 내에서 근무하는 직원들의 지연 시간인 수십㎳보다 현저히 길었다. 아마존은 이 같은 미세한 지연이 해당 직원이 미국이 아닌 해외에서 접속하고 있음을 시사한다고 판단했다.

조사 결과 해당 직원은 해외에서 원격으로 기기를 제어해 아마존 시스템에 접속하고 있었던 것으로 드러났다. 결국 아마존 시스템에 침투하려 했던 북한 해커는 중요 정보에 접근하지 못한 채 며칠 만에 차단됐다.

북한은 정보기술(IT) 노동자들의 해외 취업을 주요 외화벌이 수단으로 이용하고 있으며, 이들은 위장 취업한 이후 미국 내에 있는 컴퓨터를 원격제어 하는 방식으로 근무하는 것으로 알려졌다.

아마존의 슈밋 CSO는 “2024년 4월 이후 아마존이 적발한 북한 노동자의 취업 시도는 1800건 이상”이라며 “올해에는 1분기 만에 이들의 취업 시도가 27% 늘어난 사실도 발견했다”고 말했다. 그는 “이번 사례 역시 과거 북한 인력들이 취업을 시도할 때 사용했던 수법과 매우 유사했다”고 설명했다.

아마존 측은 해당 해커가 애리조나 출신 40대 여성의 도움을 받아 신분을 위장한 것으로 파악했다. 앞서 이 여성은 미국 거주자 70여 명의 명의를 도용, 북한 IT 인력들이 미국 기업 300여 곳에 취업할 수 있도록 돕는 등 이에 가담한 사실이 드러나 지난 7월 연방법원에서 징역 8년형이 선고됐다.

슈밋 CSO는 북한 출신 사기범들이 실제 미국인의 신원을 도용하기도 하지만, 신원 확인이 어려운 해외 컨설팅 회사 경력을 활용하는 등 공통적인 패턴을 보인다고 지적했다. 또 영어 관사인 ‘a’, ‘an’, ‘the’를 부자연스럽게 사용하는 점도 특징 중 하나라고 덧붙였다.

그는 “채용 과정에서 링크드인 프로필만 확인하는 데 그치지 말고 철저한 검증이 필요하다”며 “키보드 입력 시 발생하는 미세한 데이터 지연 같은 신호까지 감지할 수 있는 정교한 보안 소프트웨어를 갖춰야 한다”고 강조했다.