딥페이크 위장 취업의 전 지구화 — 북한 IT 노동자 479개사 침투·DOJ 9년 선고·유럽 확산·Experian 2026 고용사기 경보

DOJ 최신 기소 현황: 4월 왕 케이지아 9년 선고 — 피해 기업 479개사

2026년 4월 미국 법무부는 북한 IT 노동자 위장 취업 사건에서 핵심 공모자인 케이지아 '토니' 왕(Kejia 'Tony' Wang)에게 징역 9년을 선고하고, 공동 피고 정싱 왕(Zhenxing Wang)에게는 약 8년을 선고했습니다. 두 사람은 집합적으로 60만 달러 몰수 명령을 받았으며, 왕 케이지아의 네트워크 단독으로 100개 이상의 미국 기업에 북한 IT 노동자를 배치해 500만 달러 이상의 급여를 편취한 것으로 확인됐습니다. DOJ의 관련 기소 총계를 집계하면 피해 미국 기업은 479개사에 달하며, 이 숫자는 계속 증가 중입니다.

2026년 4월 포춘(Fortune) 보도에 따르면 이번 사건으로 현직 미군 병사를 포함해 최소 7명의 미국인이 유죄 판결을 받았습니다. 또한 왕 케이지아의 작전에서만 80개 이상의 미국인 신원이 도용됐으며, 미국 외 전 세계 40개국이 유사한 피해를 입은 것으로 추정됩니다. UN은 북한의 IT 노동자 작전에서 연간 2억5,000만~6억 달러, 북한의 전체 사이버 활동(암호화폐 절도 포함)에서는 최근 2년간 28억 달러를 편취했다고 추정합니다.

KnowBe4 사건: 배경 조사 + 화상 면접 4회를 뚫은 북한 요원

2024년 7월 KnowBe4 사건은 딥페이크 위장 취업의 정교함을 상징하는 사례로 자리 잡았습니다. KnowBe4는 사이버보안 인식 훈련 전문 기업임에도 불구하고 신원 도용 및 AI 조작 사진으로 신청서를 제출한 북한 요원을 채용했습니다. 해당 요원은 배경 조사를 통과했을 뿐 아니라 네 차례의 화상 면접도 통과했으며, 단지 입사 후 몇 시간 만에 회사 장치에 멀웨어를 설치하려는 시도를 통해 발각됐습니다. KnowBe4는 이 사건을 공개함으로써 업계 전반에 경보를 발령했지만, 이미 발각되지 않고 내부에 안착한 북한 요원의 수는 훨씬 더 많을 것으로 보안 전문가들은 경고합니다.

북한 요원들이 사용하는 주요 전술은 다음과 같습니다. 첫째, 도용하거나 위조한 전문직 신원과 LinkedIn 프로필 생성. 둘째, 대형 언어 모델(LLM)을 활용한 설득력 있는 이력서 및 현지화된 자기소개서 자동 생성. 셋째, 화상 면접 시 실시간 딥페이크 필터 및 AI 아바타 적용. 넷째, 제3국에 노트북 농장(laptop farm)을 구축해 VPN으로 원격 접속하면서 여러 기업에 동시에 복수 신원으로 취업. 다섯째, 소스 코드, 클라우드 인프라 접근 권한, ITAR 통제 데이터 등 민감 정보를 수집해 평양으로 전송.

유럽으로의 확산: 독일·포르투갈·영국

2026년 4월 블룸즈버리 정보보안연구소(BISI) 보고서에 따르면, 미국에서의 DOJ 단속이 강화되자 북한 IT 노동자 작전은 독일, 포르투갈, 영국을 주요 표적으로 삼아 유럽으로 거점을 이동했습니다. 북한 요원들은 소프트웨어 엔지니어, DevOps 전문가, AI·머신러닝 계약직 포지션을 중심으로 완전 원격 근무 조건을 활용해 침투합니다. 최소 300개 이상의 미국 기업이 2020~2024년 사이 이 방식으로 침투 당한 것처럼, 유럽 기업들도 같은 위협에 직면해 있습니다.

유럽 확산은 단순한 지리적 이동 이상의 의미를 갖습니다. 유럽연합의 AI 법(EU AI Act)과 GDPR은 고용 과정에서의 AI 활용을 엄격히 규제하지만, 이 규정들은 역설적으로 기업들이 AI 기반 신원 확인 도구를 적극 활용하기 어렵게 만드는 측면도 있습니다. 또한 독일어, 포르투갈어권 시장에서는 영어권보다 AI 생성 이력서와 실시간 딥페이크 면접에 대한 경계심이 상대적으로 낮다는 점도 북한 요원들이 노리는 취약점입니다.

Experian 2026 경보 & Gartner 예측: 고용 사기의 미래

Experian의 2026년 사기 예측 보고서는 '딥페이크 구직자'를 올해 최대 위협으로 꼽으면서 구체적인 메커니즘을 분석했습니다. 생성형 AI 도구들은 이미 맞춤화된 이력서와 포트폴리오를 즉각 생성할 수 있고, 딥페이크 기술은 실시간으로 가짜 외모를 구현해 화상 면접을 통과하도록 합니다. 또한 에이전트형 AI(Agentic AI)의 부상으로 '기계 대 기계' 사기 — 즉, AI가 자동으로 수백 개의 구인공고에 지원하면서 AI 기반 심사 시스템을 통과하는 방식 — 가 실현 가능한 단계에 이르렀습니다. Experian 데이터에 따르면 2025년 기업의 약 60%가 전년 대비 사기 손실이 증가했다고 보고했습니다.

Gartner는 2028년까지 전 세계 구직자 프로필의 4분의 1이 가짜가 될 것이라는 충격적인 전망을 제시했습니다. 이는 단순한 북한의 국가 주도 사기에 그치지 않고, 생성형 AI가 대중화됨에 따라 다양한 행위자들이 딥페이크 신원을 고용 시장에서 활용할 것이라는 경고입니다. 이미 2025년 1월 국립법률리뷰(National Law Review) 보도에 따르면 FBI는 300개 이상의 미국 기업이 북한 요원을 알지 못하고 채용했다고 문서화했으며, 국가안보 전문가들은 이것이 단순 사기를 넘어 미국과 동맹국의 핵심 기술 인프라에 대한 전략적 침투임을 강조합니다.

기업과 개인의 방어 전략: 다층적 검증 체계의 구축

딥페이크 위장 취업에 대응하기 위한 방어 전략은 기술적·절차적·법적 세 층위에서 마련돼야 합니다. 기술적 측면에서는 화상 면접 시 라이브니스(liveness) 검증과 주입(injection) 공격 탐지 솔루션 도입이 핵심입니다. iProov의 'Verified Meetings'처럼 면접 진행 중 실시간으로 생체 인증을 수행하는 기술이 2026년 기준 가장 효과적인 방어선으로 평가됩니다. 또한 화상 면접에 등장하는 인물의 안면 생체정보와 제출 서류 속 사진을 교차 검증하고, 연결된 IP 주소·VPN 사용 여부·장치 지문(device fingerprint)을 확인해야 합니다.

절차적 측면에서는 원격 취업자에 대한 '대면 신분증 확인' 또는 공증된 신원 검증(notarized ID verification) 요구, 입사 후 일정 기간 내 무작위 화상 통화를 통한 신원 재확인, 소스 코드 접근 권한의 단계적 부여(least-privilege 원칙) 적용 등이 필요합니다. 법적 측면에서는 미국 기업의 경우 OFAC 제재 목록 조회를 고용 절차에 의무화하고, 한국·EU 기업은 외국인 원격 계약직에 대한 Know-Your-Contractor(KYC) 체계를 도입해야 합니다. 한국도 방산·바이오·반도체 분야의 기술 스타트업과 중견기업이 전혀 다른 차원의 위협에 노출됐다는 인식을 가질 필요가 있습니다.

종합 평가 — '국가 주도 딥페이크 위협'의 시대

북한의 딥페이크 IT 노동자 작전은 딥페이크 위협의 새로운 차원을 보여줍니다. 기존의 딥페이크 위협이 주로 성착취물, 명예훼손, 정치적 허위 정보에 집중됐다면, 이 사건은 딥페이크가 국가 사이버 무기화의 도구이자 조직적 경제 범죄의 인프라로 진화했음을 명확히 합니다. DOJ가 문서화한 479개사 피해, 9년이라는 역대급 공모자 선고, 유럽으로의 작전 확장은 이것이 일시적 트렌드가 아닌 장기적 구조적 위협임을 시사합니다.

Gartner가 2028년 '구직자 4명 중 1명이 가짜'라고 경고한 것은 단순한 통계가 아닙니다. 딥페이크 기술의 민주화와 에이전트 AI의 부상이 결합하면, 원격 고용 시장 전체의 신뢰 인프라가 재설계될 필요가 있습니다. 한국은 반도체·AI·방산 기술 강국으로서 동일한 위협에 직접 노출돼 있으며, 2026년 내로 국가정보원·고용노동부 합동의 딥페이크 위장 취업 탐지 가이드라인 마련이 시급합니다.

딥페이크 피해를 입었거나 조직에서 비슷한 위협을 발견했다면 혼자 감당하지 마세요. 유포 경로 추적부터 신원 도용 복구, 법적 대응까지 전문 팀이 함께합니다.