보통 SI 사업을 하다보면 외주 개발자를 통해 아웃소싱을 주는 경우가 종종 있죠. 흔히 발주자가 요청한 사업을 수주하면 하청을 준다라고 하는데, 또 거기에 하청을 주게되면 흔히 하청의 하청이라고 부르는 상황이 생깁니다. 그런데 발주자 입장에서는 하청업체에서 또 하청을 주더라도 요구사항만 제대로 맞춘다면 크게 신경쓰지 않는 경우가 있는데요.
심지어 이 하청을 값싼 노동력으로 대체하기 위해 해외의 개발자를 구해 일을 시키는 경우도 있죠. 그런데 최근 북한 IT 개발자들이 위장 취업을 하면서 이 아웃소싱에 직접 참여함으로써 외화벌이를 하고 있다고 합니다. 오늘은 이 문제에 대해 자세히 설명드려보도록 하겠습니다.
제가 올린 해킹 사례들 중 많은 부분이 북한의 해커 조직이 공격을 한 것으로 의심된다고 말씀드렸던 적이 있었는데요. 얼마 전에는 북한의 IT 조직원이 중국 보이스피싱 조직에게 악성 앱을 판매한 정황이 언론에 보도되기도 했습니다. 과거에는 자체적으로 악성코드를 제작하며 우리에게 금전적인 피해를 입죠.
그런데 이제는 북한에서 악성코드를 제작하는 서비스를 구축하여 돈을 벌기까지 한다고 합니다. 이와 더불어 위에서 말씀드린 IT 개발 하청업체로 둔갑하여 위장 취업까지 일삼는다 하니 정말 조심해야겠죠.
특히나 공공기관에서 사업을 발주하는 경우에는 문제가 더 큽니다. 북한 개발자가 공공기관 시스템을 개발하는 사업에 참여할 경우 단순 외화벌이가 아니라, 국내 공공기관의 중요 시스템의 구조부터 시작하여 백도어를 설치하여 공격을 감행할 수도 있겠죠.
코로나 시대 이후에는 개발자를 고용할 때 비상주로 하거나, 해외 법인을 통해서 팀 단위로 아웃소싱을 주는 경우가 있기 때문에 인력에 대한 검증이 철저하게 이루어져야 합니다. 또한 개발 이후에도 소스코드 진단이나 보안 취약점을 필수적으로 점검해야 할 것으로 보입니다.
3년 전 북한에서 이루어진 해킹 공격을 조사했을 때도 해커가 자신이 해외의 프리랜서 개발자인것 처럼 속여 활동했던 적이 있었습니다. 안그래도 최근 개발자의 몸값이 천정부지로 올라가면서, SI 같은 사업에서 어떻게든 단가를 낮추려고 하는 기업들은 해외로 눈을 돌리겠죠.
단가를 최대한 낮춰 이익을 남기려는 것이 기업의 숙명이니 어쩔 수 없지만 만약 그렇게 진행하게 되더라도, 최대한 투입 인력의 철저한 프로필 검증과 개발 후 보안성 검토는 반드시 수행하여 이로 인한 피해가 없었으면 합니다. 이번 글은 여기서 줄이도록 하죠. 감사합니다.
'Security Essay' 카테고리의 다른 글
LG유플러스 18만명 개인정보 유출 사건 (0) | 2023.02.06 |
---|---|
2023년에도 빠르게 증가할 랜섬웨어 공격 추세 (0) | 2023.02.05 |
외교안보 학술회의 사칭 위장 피싱 메일 (0) | 2023.02.01 |
보이스피싱 방지를 위한 심박스 차단 (0) | 2023.01.30 |
공공기관 문서중앙화 시스템을 이용한 악성 파일 차단 (0) | 2023.01.28 |
댓글