가짜 IT 직원 채용이 최근 몇 년 사이 심각한 문제로 떠오르고 있다. 그러나 인정하려는 기업은 거의 없다. 포춘 500대 기업부터 소규모 기업까지 원격 채용 관행이 악용되면서, 실제 신원을 숨긴 사람들이 신뢰받는 내부자로 접근 권한을 얻는 내부 위협이 현실화되고 있다.

미국을 기준으로 수천 명의 가짜 IT 직원이 활동 중인 것으로 추산되며, 이들은 정보·지식재산권·데이터 탈취, 업무 해외 위탁, 사보타주, 외국 정부로의 자금 유출 등을 목적으로 한다.

아마존 CSO 스티브 슈미트에 따르면 아마존은 북한이 IT 직군을 확보하려는 시도를 1,800건 이상 탐지하고 차단했으며, 그 수는 계속 늘고 있다.

일부는 개인적 이득을 위해 미국인 직원을 사칭하고, 다른 경우에는 북한과 같은 국가 소속 공작원이 국가 재정 이익과 기타 악의적 목적을 위해 IT 직원으로 위장한다.

AI는 이제 딥페이크, 더 설득력 있는 화상 면접, 빠른 신원 교체를 가능하게 하고 있다.

슈미트는 공격자들의 전술도 변화하고 있다고 경고했다. 프로필을 위조하던 방식에서 합법적인 미국인 신원을 구매하는 방식으로 진화하고 있다는 것이다.

센티넬원(SentinelOne)의 위협 연구원 톰 헤이글은 ” 전통적인 의미의 ‘채용 사기’가 아니다. 공격자의 첫 번째 목표가 ‘채용되는 것 그 자체’인 내부 위협 문제”라고 말했다.

CIO, CISO 등 IT 리더는가짜·사기 IT 직원을 끊임없이 경계해야 한다. 기업은 인식하지 못한 상태에서 피해를 입을 수 있다.

가짜 직원이 채용을 통과하는 방법

채용 과정에는 단일한 실패 지점이 없다. 가짜·사기 IT 직원은 신원을 숨기고 기술과 경력을 위조하며 면접과 신원 조회 과정을 들키지 않고 통과한다.

센티넬원은 회사 자체 채용 지원 시도를 포함해 북한 IT 직원 공작과 연결된 약 360개의 가짜 페르소나와 1,000건 이상의 입사 지원을 추적했다.

헤이글에 따르면 공격자들은 점점 더 대규모로 소셜 엔지니어링 전술과 신원 위장을 구사하고 있으며, 채용 과정이 핵심 진입 경로가 되고 있다.

합성 또는 도용한 신원으로 이력서와 온라인 프로필을 만들고, 스크립트·대역·AI 보조 응답으로 면접을 통과하며, 신원 조회는 제출된 정보만 확인할 뿐이다.

헤이글은 “가짜 구직자들은 이제 AI 도구를 활용해 정상적인 지원자를 모방하고, 초기 신원 조회를 통과하는 합성 신원을 만들고, 경력을 위조하고, 실시간 AI 지원으로 면접에서도 설득력 있게 답변한다”라고 말했다.

사이버 인텔리전스 전문 업체 플래시포인트(Flashpoint)의 조사에서는 인사 및 채용 사이트 로그인 정보가 담긴 악성코드 감염 호스트, 구글 번역된 코칭 메모 브라우저 기록, 해외에서 기업 기기를 원격 제어하는 데 사용된 ‘노트북 팜’, 위조 이력서의 신원 조회를 통과하기 위한 유령 회사 등이 발견됐다.

일단 채용되면 자격증명이 발급되고 장비가 배송되고 접근 권한이 부여되면서 신뢰받는 내부자가 된다. 헤이글은 “장기적인 위험은 단순히 가짜 직원을 채용하는 것이 아니라, 자신도 모르게 시스템과 민감한 데이터를 악의적인 접근에 열어주는 것”이라고 말했다.

가짜 IT 직원이 의심될 때의 대응

CIO가 가짜 IT 직원을 의심할 때의 다음 단계는 중요하다. 문제가 채용에서 내부 위협 관리로 전환되기 때문이다.

IANS 교수 자문위원이자 클라우드 플랫폼 업체 베드락 데이터(Bedrock Data)의 CISO 조지 거초는 몽고DB 재직 시절 자신도 모르게 북한 IT 직원을 채용했음을 발견한 이후 조사를 총괄했다.

처음 발견된 것은 크라우드스트라이크 오버워치(CrowdStrike Overwatch)를 포함한 엔드포인트 보호를 제거하려는 시도에 대한 경보였다. 거초는 “오버워치가 노트북이 북한 IP 주소와 통신하는 것을 탐지했다”라고 말했다.

거초는 CIO와의 인터뷰에서 “툴 조작과 북한 연계 트래픽의 조합은 즉시 일반적인 신규 입사자가 아님을 시사했다”라고 밝혔다.

몽고DB는 가짜 직원이 도용한 신원에 AI 생성 이력서 내용과 스크립트화된 면접 답변을 결합해 제출된 정보만 검증하는 신원 조회를 빠져나갔다는 사실을 파악했다.

이는 많은 신원 조회의 허점을 드러낸다. 거초는 “위조된 경력, 합성 신원, 재활용된 개발자 프로필은 탐지하지 못한다. 바로 이 때문에 공식적인 이상 징후 없이 심사와 면접을 통과할 수 있었다”라고 말했다.

후속 조사에서 보안 툴 비활성화 시도, 기기에 지속성 확보 시도, 상위 접근 권한 탐색 시도가 발견됐다.

거초는 “탐지되지 않은 채로 있었다면 FedRAMP 환경까지 접근이 확대됐을 것이다. 이 때문에 이런 사기 기법이 특히 위험하다”라고 덧붙였다.

발견 이후 여러 경고 신호들이 뚜렷해졌다. 면접 중 낮은 화질과 불명확한 영상, 통화 간 두드러지게 일관성 없는 억양, 중앙화된 검토 없이 산발적인 면접 피드백이 있었다.

또 다른 징후는 노트북 배송 주소의 막판 변경이었다. 거초는 “그것은 전형적인 그림자 직원 전술”이라고 말했다.

돌이켜보면 거초는 각 점들을 연결해 불규칙성이 개별적으로 처리됐기 때문에 그 사람이 어떻게 고용까지 이를 수 있었는지 명확해졌다고 말했다.

거초는 “이 중 어느 하나도 단독으로는 채용을 막지 못할 것이다. 그러나 미묘한 이상 징후를 취합할 책임자가 없었기 때문에 엔드포인트 경보가 발동되기 전까지 패턴을 인식하지 못했다”라고 설명했다.

발견 즉시 팀은 기기를 격리하고 모든 자격증명을 취소하고 전면 포렌식 조사를 실시하고 연방 당국에 통보했다. 거초는 “데이터 유출이나 횡적 이동은 없었음을 확인했다”라고 말했다.

도입된 완화 조치로는 채용 과정의 신원 사기 심사 강화, 초기 신호를 연결하는 ‘옐로 플래그 담당자’ 지정, 신규 입사자에 대한 신뢰 획득 전까지 접근 제로 정책 시행이 있었다.

거초는 채용 후 행동 텔레메트리도 필요하다고 주장한다. 자격증명이 아닌 행동이 사칭자를 드러내기 때문이다.

몽고DB는 보안 또는 HR 부서에 채용 과정의 불일치를 파악하는 전담 검토자를 지정할 것을 권장한다. AI 생성 링크드인 프로필, 불일치하는 이력서, 노트북 배송 주소의 의심스러운 변경도 주시해야 한다고 거초는 강조했다. 패널 면접과 프로젝트 기반 평가로 도용 또는 가짜 개발자 신원을 재활용하는 지원자를 가려내고, 신규 입사자는 민감한 데이터나 프로덕션 환경에 대한 접근 없이 시작하도록 해야 한다는 조언도 덧붙였다.

또한 신규 입사자가 로그인하기 전에 보안 에이전트(IAM, EDR, VPN 등)가 비활성화될 경우 경보를 설정하고, 가짜 개발자 채용을 시뮬레이션해 탐지·에스컬레이션·기기 복구를 테스트하라고 권고했다.

거초는 “비업무 시간 접근, 광범위한 내부 검색 활동, 대규모 문서 또는 코드 저장소 복제도 주시해야 한다”라고 말했다.

IT 리더들이 내부에서 목격한 것

고용 사기 문제는 더욱 악화될 것으로 예상된다. 가트너는 2028년까지 전 세계 지원자 프로필의 4분의 1이 가짜가 될 것으로 예측했다.

에너지 솔루션스(Energy Solutions)의 CIO 데이비드 웨이슨은 “가짜·사기 입사 지원자의 급증은 기업 전반에 걸친 전염병 수준이 됐다”라고 말했다.

웨이슨은 공격자가 데브옵스, 시스템 관리자, 데이터 엔지니어, 데이터베이스 관리자 같은 높은 접근 권한을 가진 기술직을 집중 공략한다고 말했다. 성공적으로 채용되면 핵심 시스템에 대한 깊은 가시성과 통제권을 얻을 수 있기 때문이다.

웨이슨에 따르면 이런 직무는 성의 열쇠를 가진 자리다. 접근 권한을 얻으려 한다면 일반 개발자 직위보다 훨씬 가치가 있다.

규제된 에너지 시장에서 운영하는 에너지 솔루션스는 계약에 따라 미국 기반 인력을 고용하고 미국 관할권 내에 데이터를 보관해야 한다.

웨이슨은 가짜 IT 직원을 직접 탐지한 경험을 바탕으로 다른 IT 리더들에게 조언을 건넨다. 가장 초기의 경고 신호 중 하나는 수백 건이 몇 시간 안에 쏟아지는 갑작스럽고 비정상적인 지원서 급증이었다. 회사 규모에 비해 터무니없이 많은 양으로, 자동화되거나 기업적인 활동을 시사했다.

면접 단계에서는 신원 교체가 관찰됐다. 웨이슨은 “전화 심사를 통과한 사람, 줌에 나타난 다른 사람, 이후 세 번째 인물이 등장하는 경우도 있었다. 모두 같은 이름과 이력서 하에서”라고 말했다.

문제의 일부는 표준 채용 관행이 정보와 기술을 개별적으로 검증한다는 점이다. 웨이슨도 “전통적인 신원 조회는 제공된 정보만 확인하며 사기를 탐지하지 못한다”라고 강조했다.

일부 CIO들에게 불편한 현실은 업무가 높은 수준으로 완료되는 경우도 있으며 탐지가 성과가 아닌 신호에서 온다는 점이다.

그러나 가짜 IT 직원은 보안 위험만큼이나 비즈니스와 컴플라이언스 위험을 초래하며, 특히 규제 산업에서 기업을 계약 위반, 규제 결과, 고객 신뢰 손실에 노출시킨다.

가짜 IT 직원에 대응하기

슈미트에 따르면 아마존은 AI 기반 툴에 인간 감독을 결합해 이력서에서 비정상적인 연락처, 가짜 학교·기업을 식별하고 있다. 보안팀은 의심스러운 링크드인 프로필을 표시하고 더 많은 대면 면접과 사무실 출근을 요구하고 컴퓨터 사용과 업무 품질을 모니터링하고 물리적 토큰으로 인증한다.

슈미트는 IT와 HR이 이 문제에 대응하기 위해 채용에서 협력해야 한다고도 밝혔다.

슈미트는 포춘(Fortune)과의 인터뷰에서 “문제를 초기에 발견한다면 HR 기업에 실제로 훨씬 저렴하다”라고 말했다.

센티넬원의 헤이글은 필요한 전환이 채용 결정을 인력 채용 과제가 아닌 접근 제어 문제로 취급하는 것이라고 말했다. “신원을 일회성 HR 체크박스로 취급하는 것을 멈추고 원격 채용을 특권적 접근 권한 부여처럼 다뤄야 한다”라고 강조했다.

자신의 경험을 계기로 웨이슨은 지원자 추적 시스템과 기업 내부 시스템·프로세스 전반에 걸쳐 일련의 변화를 도입했다.

채용 공고 시 기술직 지원자들이 모든 서면 커뮤니케이션에 명시된 기대치와 결과를 이해하도록 명확히 한다. “또한 채용 관행에서 ‘완전 원격’ 표현을 제거한 것이 사기 기회와 미국 외 지원자를 크게 줄였다”라고 말했다.

웨이슨은 “모든 채용에 ‘제로 트러스트’ 접근 방식이 이상적이겠지만, 프로세스를 방해하거나 정당한 지원자의 지원을 막아서는 안 된다. 대신 자동화되고 사기성 있는 지원자가 파이프라인에 진입하는 것을 처음부터 막을 충분한 대응책이 필요하다”라고 말했다.

대부분이 봇인 대량의 지원서를 처리하기 위해 에너지 솔루션스는 현재 엄격한 CAPTCHA 설정을 적용하고, 직원 네트워크를 활용하는 추천 보너스를 운영하고, 신규 입사자에 대한 90일 만족 성과 평가를 실시한다.

심사 단계에서는 전화가 아닌 화상으로 면접을 진행하고 지원자는 라이브 과제를 위해 화면을 공유해야 한다. 화상 면접 후 보고서를 통해 심사 및 면접 후 지원자의 정확한 위치를 확인할 수 있다. 지원자가 미국 외에 있으면 옐로/레드 플래그로 처리한다.

지원자는 근무할 사무실을 선택해야 하며 면접 중 AI 사용 시 탈락한다는 점을 인지했음을 확인해야 한다.

신원 조회 및 경력 검증을 위해 두 명의 추천인을 요구하되, 한 명은 전 상급자 또는 관리자여야 한다. 이전 고용주를 포함한 경력과 전체 자택 주소를 확인한다.

접근 보안을 위해 채용 착수 양식에 새 직무가 기밀 또는 민감한 정보에 대한 상위 접근 권한을 얻는지를 묻는 질문을 추가했다.

입사 첫날 신규 입사자는 장비를 수령하고 교육 및 온보딩을 받기 위해 사무실에 직접 출근해야 한다. 모든 직무는 만족스러운 성과 이후 하이브리드 옵션을 제공하되 현장 근무를 원칙으로 한다.

웨이슨은 이 문제에 맞서려면 채용 프로세스 검토, HR과의 긴밀한 협력, 각 대응책의 효과 모니터링이 필요하다고 말했다. CIO에게 의미 있는 교훈은 채용 과정이 망가진다는 것이 아니라, 신뢰는 단계적으로 쌓아야 한다는 것이다.
dl-itworldkorea@foundryco.com