본 보고서는 아시아 최대의 IT 아웃소싱 시장인 일본의 B2B 및 B2G 시장을 타겟으로 활동하는 북한 IT 조직의 실체를 규명한 분석 문서입니다. 확보된 악성코드(RedLine Stealer) 로그를 기반으로 분석한 결과, 이들은 단순한 외화벌이를 넘어 소프트웨어 공급망 침투 및 금융 해킹 등 직접적인 사이버 범죄 조직으로 변모하고 있음을 확인했습니다. 이들은 물리적으로 중국에 거주하나 논리적으로 일본 및 미국 거주자로 완벽히 위장하여 프리랜서 플랫폼에 침투하고 있습니다.
북한은 국제 사회의 제재를 회피하고 통치 자금을 확보하기 위해 전 세계적으로 불법적인 외화벌이 활동을 수행하고 있습니다. 특히, 일본은 지리적 인접성과 더불어 아시아 최대 규모의 IT 외주 시장을 보유하고 있어 북한 IT 조직의 최우선 타겟이 되고 있습니다.
분석 대상은 단일 인물이 아닌, 최소 2명 이상의 팀(Cell) 단위로 활동하며, 역할에 따라 다수의 가짜 신분을 운용하는 조직적인 형태를 보입니다.
| 구분 | 식별 정보 (Identity) | 사용처 및 근거 (Source) | 비고 (Notes) |
|---|---|---|---|
| 시스템 사용자 | jks03 | UserInformation.txt | 내부 관리용 ID (정광성, 진경수 등 이니셜 추정) |
| 이메일 (Main) | [email protected] | Google Chrome Logs, Edge Logs | 메인 활동 계정 |
| 이메일 (Sub) | [email protected] | Microsoft Edge Session Logs | 팀원 추정 (최/리/정씨 등 이니셜 조합) |
| 가명 (중국) | Mingwen | Bing 쿠키 데이터 | 중국 거주 신분 위장용 |
| 가명 (일본) | 献身_Devotion | Coconala, Chrome Autofill | 일본 프리랜서 활동용 핵심 페르소나 |
| 가명 (일본) | ichiruru | Google Chrome Logs | 일본인 위장용 부계정 |
| 자금 수취인 | Jiang Y.X. (jiangyx2018) | Paypal (126.com 도메인) | 자금 세탁 조력자 (중국인 차명 계좌) |
이들은 "물리적 중국 거주, 논리적 미국/일본 위장"이라는 이중 구조를 통해 추적을 회피하고 있습니다.
단순 IT 개발 용역을 넘어, 고수익을 노린 금융 해킹 및 사기 사이트 운영 등 범죄 활동 비중이 높습니다.
유료 주식/코인 자동매매 프로그램(EA)의 보안을 뚫고 소스 코드를 탈취하거나 개조하여 재판매합니다.
데이팅 앱 소스를 복제하여 다수의 사기성 사이트를 개설하고 결제 수익을 탈취합니다.
일본인 개발자로 위장하여 Coconala, CrowdWorks, Lancers 등 주요 플랫폼에서 활동합니다. CrowdWorks 쿠키 데이터에서는 "착수", "완성" 등 일본어 비즈니스 응대 매뉴얼이 발견되었으며, 건당 50만~150만 엔 규모의 프로젝트를 수주한 기록이 확인되었습니다.
벌어들인 외화는 추적을 회피하기 위해 다단계의 세탁 과정을 거쳐 북한으로 송금됩니다.
| 1단계: 1차 수취 |
차명 계좌 활용 일본 프리랜서 수익 등을 중국인 조력자(Jiang) 명의의 계좌로 수취 - Paypal ([email protected]) - Payoneer CN (중국 페이오니아) |
| 2단계: 2차 세탁 |
가상화폐(Crypto) 전환 및 혼합 추적이 어려운 코인으로 세탁하거나 해외 거래소 경유 - Coinbase (미국), Zipmex (동남아) - Uniswap, PancakeSwap (DeFi 탈중앙화 거래소) |
악성코드 감염을 통해 확보된 로그 파일 및 실제 활동 사이트를 분석한 결과, 다음과 같은 결정적 증거들이 확인되었습니다.
🔍 RedLine Stealer 악성코드 감염 로그 분석 결과
감염된 PC의 스크린샷에서는 다음과 같은 결정적 증거들이 발견되었습니다:
※ 실제 스크린샷에는 시스템 전체 화면, 브라우저 쿠키 로그, 자동 완성 데이터, 파일 시스템 구조 등이 포함되어 있습니다.
📱 출회いのマッチングサイト(システム)を開発します
| 서비스 URL: | https://coconala.com/services/2447792 |
| 제공 서비스: | 데이팅 매칭 사이트 개발 (出会いのマッチングサイト) |
| 샘플 사이트: | https://dating.kpdomain.host/ (.kp = 북한 도메인 코드) |
| 납품 기간: | 3일 |
🚨 주요 발견사항:
※ 정상적인 일본 프리랜서라면 북한 도메인을 샘플로 사용할 이유가 전혀 없습니다.
🎭 ITエンジニア - 献身_Devotionさん のプロフィール
| 프로필 URL: | https://coconala.com/users/3242934 |
| 활동명: | 献身_Devotion (헌신_Devotion) |
| 직업: | ITエンジニア (IT 엔지니어) / 남성 |
| 경력: | 2003년부터 IT업계 종사 (ITベンダー 회사 경력 후 프리랜서) |
| 최종 로그인: | 2년 전 (반년 이상 미접속) |
📋 제공 서비스 목록:
⚠️ 의심 포인트:
※ 정상적인 일본 프리랜서 엔지니어가 본인 확인도 하지 않고 불법 디컴파일 서비스를 제공하는 것은 매우 이례적입니다.
| 사이트/서비스 | URL/정보 | 용도 | 발견 경위 |
|---|---|---|---|
| Dating 스캠 사이트 | dating.kpdomain.host | 사기성 데이팅 사이트 운영 | Coconala 포트폴리오에서 발견 |
| Video Chat 사이트 | video_chat.com | 동일 소스 코드 복제 사이트 | 브라우저 세션 로그에서 확인 |
| Stripe Dashboard | dashboard.stripe.com | 결제 모듈 직접 관리 | Edge 네트워크 로그에서 접속 기록 |
| ForexDLL | 다수의 트레이딩 사이트 | EA 디컴파일 대상 | 브라우저 탭 및 폴더명 |
| HighLow.com | 바이너리 옵션 사이트 | 자동매매 연동 시스템 | 프로필 경력사항에 명시 |
본 분석을 통해 식별된 조직은 "중국 내 거점을 두고, 미국/일본 등의 신분을 도용하여, 해킹 툴 판매 및 스캠 사이트 운영 등 불법적인 방식으로 외화를 벌어들이는 전문적인 북한 IT 범죄 조직"입니다.
이들은 내부적으로 jks03, crj1026 등의 ID를 사용하며, 철저한 신분 위장을 통해 일본 IT 시장 깊숙이 침투해 있습니다. 특히 단순 개발 업무 수주에서 그치지 않고, 악성코드 유포나 금융 해킹과 같은 적극적인 사이버 범죄로 활동 영역을 확장하고 있다는 점에서 일본 및 관련 국가의 IT 생태계에 심각한 위협이 되고 있습니다.
⚠️ 이들은 보안 의식 해이(불법 소프트웨어 다운로드)로 인한 악성코드 감염으로 활동 증거가 노출되었으나, 여전히 다수의 미식별 조직이 활동 중일 것으로 추정됩니다.