설정이 잘못된 북한의 인터넷 클라우드 서버를 통해 북한의 애니메이션 외주 제작 세계와 외국 기업들이 정보기술(IT) 프로젝트에서 어떻게 의도치 않게 북한 기업을 고용하게 되는지 엿볼 수 있는 흥미로운 기회가 마련되었습니다. 이번 사건은 외국 기업들이 자신들의 외주 작업이 잠재적으로 제재를 위반하고 평양의 컴퓨터로 흘러 들어가지 않는지 확인하는 것이 얼마나 어려운 일인지를 여실히 보여줍니다.
한 달간의 애니메이션 기록
이 이야기는 2023년 말, 북한 인터넷 프로토콜(IP) 주소에서 클라우드 저장 서버가 발견되면서 시작됩니다. 현재는 더 이상 사용되지 않는 것으로 보이는 이 서버는 설정 오류로 인해 비밀번호 없이도 누구나 서버를 오가는 일일 파일 흐름을 볼 수 있는 상태였습니다.
북한이 이러한 서버를 이용하는 이유는 북한 내부의 일반적인 IT 노동자들이 인터넷에 직접 접속할 수 없기 때문입니다. 보통 한 조직에 인터넷이 가능한 컴퓨터는 한두 대뿐이며, 노동자들은 이를 사용하기 위해 승인을 받아야 하고 사용 중에도 감시를 받습니다.
해당 클라우드 서버는 NK 인터넷 블로그를 운영하는 닉 로이(Nick Roy)에 의해 발견되었습니다. 우리는 올해 1월 한 달 동안 함께 파일을 관찰했습니다. 매일 애니메이션 작업 지침과 그날의 작업 결과물이 포함된 새로운 파일 묶음이 올라왔습니다.
파일을 업로드한 인물의 신원은 파악할 수 없었습니다. 파일에는 제작사 측에서 작성한 것으로 추정되는 중국어 수정 의견과 지침이 담겨 있었으며, 이 지침들이 한국어(조선어)로 번역된 내용도 함께 포함되어 있었습니다. 이는 제작사와 애니메이터 사이에서 정보를 전달하는 중개인이 존재했음을 시사합니다.
예를 들어, 아래의 소통 내용에서는 애니메이터에게 캐릭터의 머리 모양을 개선해 달라는 요청이 전달되고 있습니다.
관찰된 문서 어디에서도 북한 측 파트너의 신원이 명시적으로 밝혀지지는 않았으나, 4.26 만화영화 촬영소(SEK 스튜디오로도 알려짐)일 가능성이 매우 높습니다. 평양에 본사를 둔 이 조직은 북한 최고의 애니메이션 제작사로, 인기 시리즈인 ‘다람이와 고슴도치’를 포함해 국내 TV 방송용 시리즈를 제작합니다.
이곳은 과거 2000년대 초반 ‘햇볕정책’ 시절 한국 기업들과 함께한 프로젝트를 포함하여 여러 국제 프로젝트에 참여한 전력이 있습니다. 하지만 2016년, 이 스튜디오는 북한 국영 기업으로서 미국 재무부의 제재 대상에 올랐습니다. 미국 정부는 이 스튜디오와 협력하거나 중개 역할을 한 중국 기업들에 대해 2021년과 2022년 두 차례에 걸쳐 추가 제재를 가한 바 있습니다.
서버 접속 기록
구글 산하의 컴퓨터 보안 업체인 맨디언트(Mandiant) 연구원들과 함께 해당 서버의 접속 로그도 조사했습니다.
조사 결과, 가상사설망(VPN) 서비스와 관련된 인터넷 주소에서의 로그인이 여러 건 발견되었습니다. 그러나 VPN과 관련이 없는 주소 중에는 스페인 IP 1개와 중국 IP 3개가 포함되어 있었습니다. 중국 주소 중 2개는 북한과 인접하며 단둥, 대련, 심양 등의 도시가 포함된 요령성(랴오닝성)에 등록된 것이었습니다. 이 세 도시는 모두 북한이 운영하는 사업체가 많고 해외 거주 북한 IT 노동자들의 주요 거점으로 알려진 곳입니다.
확인된 프로젝트들
파일들은 다양한 프로젝트와 관련되어 있었으며, 이는 여러 명의 애니메이터가 작업에 참여했음을 시사합니다. 한 달간의 트래픽 관찰을 통해 일부 프로젝트의 정체가 드러났습니다. 여기에는 다음이 포함됩니다:
- 캘리포니아 소재 스카이바운드 엔터테인먼트(Skybound Entertainment)가 제작한 아마존 오리지널 애니메이션 시리즈 ‘인빈시블(Invincible)’ 시즌 3. 서버의 한 문서에는 이 시리즈의 이름과 스카이바운드 그룹의 일부로 보이는 ‘Viltruminte Pants LLC’라는 명칭이 적혀 있었습니다.
- 메릴랜드 소재 유니크 스튜디오(YouNeek Studios)가 제작하고 라이언 포지 엔터테인먼트(Lion Forge Entertainment)가 애니메이션을 맡아 2024년 HBO Max 방영 예정인 슈퍼히어로 애니메이션 ‘이아누: 경이로운 아이(Iyanu, Child of Wonder)’.
- 2024년 7월 방영 예정인 일본 애니메이션 시리즈 ‘마도구사 달리아는 고개 숙이지 않아(魔導具師ダリヤはうつむかない)’.
- 일본 홋카이도 소재 애니메이션 스튜디오인 **에카치 에필카(Ekachi Epilka)**의 이름이 적힌 ‘猫(고양이)’라는 이름의 파일들 (그림 1).
- BBC의 아동용 만화 **’옥토넛(Octonauts)’**으로 보이는 영상 파일들. 이 파일들에는 추가적인 식별 정보가 없었고 완성된 상태로 보였기에, 북한 애니메이터들이 직접 작업한 것이 아닐 가능성도 있습니다.
- 대련의 **목동동만(大连牧童动漫, Shepherd Boy Animation)**을 언급하는 문서가 포함된 미확인 애니메이션 시리즈.
이미지에 확인된 기업들이 자신들의 프로젝트 일부가 북한 애니메이터들에게 하청되었다는 사실을 알고 있었다는 증거는 없습니다. 실제로 미국 기반 애니메이션을 포함한 모든 파일의 수정 의견이 중국어로 작성된 점으로 미루어 볼 때, 계약 체결 과정은 주요 제작사로부터 여러 단계를 거쳐 내려온 하청 구조였을 가능성이 큽니다.
이 밖에도 신원이 확인되지 않은 여러 애니메이션 파일들, 농구를 주제로 한 중국 영화로 추정되는 영상의 특수효과 편집 지침 파일들, 그리고 말의 사육 및 관리와 관련된 다수의 러시아어 영상 파일 및 PDF 등이 발견되었습니다.
서버가 주로 애니메이션 관련 파일을 저장하는 데 사용되었다는 사실은, 소프트웨어 개발과 같은 다른 업무를 수행하는 북한 조직들을 위한 별도의 중개 서버가 존재할 가능성을 시사합니다.
시사점: IT 외주 제작 시 실사(Due Diligence) 필요
2022년 중반, 미국 정부는 기업들에게 원격 계약자를 찾을 때 애니메이터를 포함한 북한 IT 노동자를 의도치 않게 고용할 가능성에 대해 경고했습니다. 주의보(Advisory)에 따르면, 그러한 고용은 기업을 미국 및 유엔 제재 위반 위험에 빠뜨릴 수 있습니다.
북한 노동자들은 종종 자신들을 “외국인(비북한인) 또는 미국에 기반을 둔 원격 근무자”로 위장하며, VPN 등을 사용해 다른 국가에 거주하는 것처럼 보이게 한다고 명시되어 있습니다. 이에 대한 대응책으로 미국 정부는 작업 문서의 철저한 확인, 화상 면접, 배경 조사, 지문 로그인 등 고용된 노동자의 신원을 확인하고 해당 인물이 실제로 작업을 수행하는지 보장하기 위한 여러 안전장치를 마련할 것을 권고했습니다. 이러한 점검은 고용된 인물이 실제 작업을 수행하는지, 아니면 타인의 대리인에 불과한지 확인하기 위해 설계된 것입니다.
지난해 미국 수사 당국은 북한 노동자들이 미국에 있는 누군가에게 매월 400달러를 지불하고 4대의 노트북을 그들의 인터넷 회선에 연결해 두게 한 사례를 공개했습니다. 노동자들은 원격 데스크톱 소프트웨어를 통해 이 노트북에 접속한 뒤 미국 인터넷을 사용했습니다. IP 주소를 분석하면 일반적인 미국 가정용 서비스 제공업체에서 접속한 것처럼 보이게 됩니다. 이 사건으로 인해 미국은 북한 IT 노동자를 식별하기 위한 지침을 업데이트했습니다.
하지만 북한 스튜디오가 국제 프로젝트에서 계속 활동하고 있는 것으로 보이는 현실은, 이토록 글로벌한 산업 환경에서 현재의 미국 제재를 집행하는 것이 얼마나 어려운 일인지 잘 보여줍니다. 또한 미국 애니메이션 기업들이 자신들의 프로젝트에 관여하는 모든 업체에 대해 훨씬 더 잘 파악하고 있어야 할 필요성을 시사합니다.
답글 남기기
댓글을 달기 위해서는 로그인해야합니다.