북한 사이버 위협: 페이머스 천리마와 IT 인력 위장 사기

이 글은 사이버 보안 위협에 대한 일반적인 정보 제공을 목적으로 작성되었습니다. CrowdStrike, FBI, Recorded Future 등 공신력 있는 기관의 공개 보고서를 바탕으로 합니다. 보안 대응은 반드시 전문가와 함께 진행하시기 바랍니다.

페이머스 천리마란 무엇인가

페이머스 천리마(Famous Chollima)는 사이버 보안 기업 CrowdStrike가 명명한 북한 연계 해킹 조직입니다. '천리마(Chollima)'는 하루에 400km를 달린다는 한국 신화 속의 날개 달린 말로, 북한이 국가 상징으로 사용하는 존재입니다. 빠르고 광범위한 사이버 작전을 전개하는 이 조직의 성격을 그대로 반영한 이름입니다.

이 조직은 북한 정찰총국(Reconnaissance General Bureau, RGB) 산하 75국과 연계된 것으로 분석됩니다. 단순한 해킹이 아닌 '합법적 고용'을 무기로 쓰는 내부자 위협(Insider Threat)이 핵심 전술이라는 점에서 기존 사이버 위협과 결정적으로 다릅니다.

어두운 배경에 코드가 흐르는 사이버 보안 위협 이미지 — Photo by Markus Spiske on Unsplash

충격적인 규모 — 2024~2025 데이터

수치가 이 위협의 심각성을 말해줍니다.

304건

2024년 CrowdStrike 대응 사고

+220%

전년 대비 침투 기업 증가율

320개+

최근 12개월 침투 기업 수

40%

내부자 위협 비중

최근 12개월간 페이머스 천리마 내부자들은 320개 이상의 기업을 침투했으며, 이는 전년 대비 220% 증가한 수치입니다. 피해는 미국에 집중되어 있었지만, 수사 당국의 단속으로 국내 노트북 팜이 폐쇄되자 영국, 루마니아, 폴란드 등 유럽으로 활동 범위를 넓히고 있습니다.

어떻게 침투하는가 — 5단계 수법

이들의 수법은 정교하게 단계화되어 있습니다. 단순한 해킹이 아니라 채용 프로세스 전체를 악용하는 구조입니다.

① 신원 위조 — 존재하지 않는 사람 만들기

AI로 합성 신분증, 경력 이력서, LinkedIn 프로필을 생성합니다. 실제 미국인의 신원을 도용하거나 구매하는 경우도 있어 배경 조회를 통과합니다.

② 채용 지원 — 원격 IT 직군 집중 공략

AI를 활용해 수십 개 이상의 회사에 동시 지원합니다. 주요 타깃은 항공우주·방산·기술·암호화폐 분야의 원격 근무 포지션입니다.

③ 화상 면접 — 딥페이크로 얼굴과 목소리 변조

실시간 딥페이크 기술로 화상 면접 중 신원을 감추고, AI 코딩 도우미로 기술 테스트를 통과합니다. 심지어 하나의 포지션에 서로 다른 합성 페르소나로 여러 차례 면접을 보기도 합니다.

④ 입사 후 — 노트북 팜(Laptop Farm) 운영

미국 내 협력자 주소로 회사 지급 노트북을 받은 뒤, 해외 운영자에게 원격 접속 권한을 넘겨 실제 위치를 숨깁니다. RustDesk, AnyDesk, TinyPilot 같은 원격 관리 도구를 설치해 지속적인 접근 경로를 확보합니다.

⑤ 데이터 탈취 및 협박

Git, SharePoint, OneDrive를 통해 기밀 데이터를 빼냅니다. 일부는 해고 이후 탈취한 데이터를 무기로 금전을 요구하는 협박까지 이어집니다.

AI와 딥페이크의 결합 — 위협의 진화

북한 IT 요원들은 생성형 AI를 활용해 수천 개의 합성 신원을 위조하고, 사진을 변조하며, 구직 활동을 추적하고 관리하는 도구를 개발했습니다. 특히 주목할 점은 다음과 같습니다.

🎭 딥페이크 면접 — 실시간으로 얼굴을 바꿔 다른 사람처럼 보이게 하며, 목소리까지 변조해 억양을 지웁니다.

📝 AI 글쓰기 — Slack 메시지, 이메일, 코드 리뷰를 AI로 생성해 영어 실력과 업무 능력을 위장합니다.

💼 다중 취업 — AI 스크립트를 이용해 한 명이 동시에 6~7개의 직장을 유지하며 여러 회사에서 급여를 받습니다.

🔍 신원 검증 통과 — Google Gemini와 ChatGPT를 활용해 완성도 높은 이력서와 자기소개서를 작성합니다.

노트북 화면에 보이는 코드와 해킹 관련 이미지 — Photo by Towfiqu barbhuiya on Unsplash

돈은 어디로 흐르는가

이 작전의 궁극적 목표는 대량살상무기(WMD) 및 핵 프로그램 자금 조달입니다. 자금 세탁 경로는 정교하게 설계되어 있습니다.

급여는 미국 내 은행 계좌, 암호화폐, 중간 브로커를 거치는 다층 금융 구조를 통해 세탁된 뒤 최종적으로 북한 정권에 전달됩니다. 한편 이와 별개로, 암호화폐 거래소를 직접 해킹해 자금을 탈취하는 작전도 병행합니다. 두바이 거래소에서 발생한 15억 달러(약 2조 원) 규모의 암호화폐 탈취가 대표적 사례로 지목됩니다.

실제 적발 사례

🇺🇸 애리조나 여성 기소 (2024)

미국 애리조나주 여성이 자신의 주소를 노트북 수령지로 제공해 300개 IT 기업에 북한 요원들이 침투할 수 있도록 도운 혐의로 기소됐습니다.

🇺🇸 테네시 남성 기소 (2024)

테네시주 남성이 자택에서 노트북 팜을 운영하며 북한 요원들에게 원격 접속 환경을 제공한 혐의로 체포됐습니다. 작전 범위는 17개국, 11개 산업에 걸쳐 있었습니다.

🌐 컨테이저스 인터뷰 캠페인 (2023~2025)

채용 담당자로 위장해 개발자를 유인한 뒤 가짜 코딩 테스트 파일에 악성 코드를 심는 방식입니다. BeaverTail, InvisibleFerret, OtterCookie 등의 맬웨어가 사용됐으며 피해자는 UAE, 코스타리카, 인도, 베트남, 한국 등 6개국 이상에 분포합니다.

기업과 개인이 할 수 있는 대응

채용 담당자를 위한 점검 사항

면접 시 카메라 상시 켜기를 필수로 하고, 지원자의 실제 위치를 지오로케이션으로 확인해야 합니다. 신분증 원본 제출 및 제3자 검증 서비스를 활용하고, 입사 후에도 정기적인 신원 재확인 절차를 운영하는 것이 중요합니다. 또한 RustDesk, AnyDesk 같은 원격 관리 도구의 무단 설치 여부를 상시 모니터링해야 합니다.

구직자를 위한 주의 사항

채용 과정에서 낯선 파일이나 소프트웨어 설치를 요구한다면 즉시 의심해야 합니다. 특히 "코딩 테스트를 위해 이 파일을 실행해 달라"는 요청은 컨테이저스 인터뷰의 전형적인 수법입니다. 채용 기업의 실제 존재 여부, 도메인 등록일, 직원 프로필의 진위를 직접 확인하는 습관이 필요합니다.

자주 묻는 질문

페이머스 천리마와 라자루스 그룹은 같은 조직인가요?

다른 조직입니다. 라자루스(Lazarus Group)는 대규모 금융 해킹과 국가급 사이버 공격에 특화된 반면, 페이머스 천리마는 원격 IT 위장 취업을 통한 내부자 위협과 암호화폐 절도에 집중합니다. 다만 모두 북한 정찰총국 산하 조직으로 분류됩니다.

한국 기업도 피해 대상이 되나요?

네. Recorded Future 보고서에 따르면 피해 기업이 한국을 포함한 6개국 이상에 분포하며, 특히 암호화폐·블록체인·소프트웨어 개발 분야를 우선 타깃으로 삼습니다. 원격 근무 포지션이 많은 모든 기업이 잠재적 대상입니다.

노트북 팜(Laptop Farm)이란 정확히 무엇인가요?

회사에서 지급한 노트북을 미국 내 협력자 주소로 수령한 뒤, 이를 한 장소에 모아 해외에 있는 북한 요원들이 원격으로 접속할 수 있게 만든 인프라입니다. 요원들은 미국 IP를 쓰는 것처럼 보여 위치를 숨길 수 있습니다.

2026년에도 이 위협이 계속될까요?

보안 전문가들은 2026년 북한이 오디오·비디오 딥페이크 기술과 AI를 더욱 고도화해 유럽 방산·정부 기관을 집중 공략할 것으로 전망합니다. 재정적 성공과 제한적인 법 집행 영향을 고려할 때, 이 위협은 당분간 계속될 가능성이 높습니다.

참고 자료

이 글은 아래 공신력 있는 기관의 공개 보고서를 기반으로 작성되었습니다.

🔗 CrowdStrike 2025 Global Threat Report — Famous Chollima 상세 분석 🔗 Recorded Future — Inside the Scam: North Korea's IT Worker Threat 🔗 FBI IC3 — 북한 IT 인력 위장 관련 공식 경보 (2025년 1월) 🔗 Huntress Threat Library — Famous Chollima 위협 프로파일

Infobada24