북한 지배 엘리트, 외국의 조사에 맞춰 인터넷 행동 변화

https://www.youtube.com/embed/HPaNHIqp6dg?rel=0&showinfo=0;vq=hd1080

범위 참고: Insikt Group 는 다양한 도구를 사용하여 타사 데이터, IP 지리적 위치, BGP(국경 게이트웨이 프로토콜) 라우팅 테이블, 오픈 소스 정보(OSINT)를 분석하여 북한 최고위층의 인터넷 활동을 조사했습니다. 이는 저희의 2017년 7월 분석이며, 본 보고서에 분석된 데이터는 2017년 12월 1일부터 2018년 3월 15일까지의 기간을 포함합니다.

Executive Summary

2017년 7월, 레코디드 퓨처는 북한의 가장 신뢰받는 지도자, 즉 북한의 "0.1%"의 인터넷 검색 행태에 대한 연구를 발표했습니다. 이 연구를 수행하면서 북한의 지배 엘리트들이 현대 인터넷 사회에 연결되어 있고, 기술에 능숙하며, 서구의 사용자들과 매우 유사한 인터넷 사용 패턴을 가지고 있다는 사실을 발견했습니다.

12월에 저희는 분석을 재검토하기로 결정했고, 북한 지배 엘리트의 인터넷 활용 방식에서 실질적인 변화를 발견했습니다. 특히, 북한 지도부는 최초 분석 이후 6개월 동안 서방의 소셜 미디어를 거의 완전히 포기하고 작전 보안 절차를 크게 강화했습니다.

이 극적인 행동 변화는 다음 중 하나 또는 그 조합에 의해 발생했을 가능성이 높습니다: 1) 북한 주민의 미디어 소비 에 대한 외국 연구와 관심의 증가, 2) 2016년 4월부터 시행되어 온 서구 소셜 미디어 서비스에 대한 공식 금지 조치의 새로운 집행, 또는 3) 북한 엘리트층의 운영 보안 강화.

주요 판단

북한 엘리트들은 서구의 소셜 미디어와 서비스에서 거의 완전히 중국의 알리바바, 텐센트, 바이두로 옮겨갔습니다.
6개월 동안 북한 엘리트층의 인터넷 난독화 서비스 사용률이 1,200% 증가했습니다. 여기에는 가상 사설망(VPN), 가상 사설 서버(VPS), 전송 계층 보안(TLS), 토르(Tor) 등의 서비스가 급격히 증가하는 것이 포함됩니다.
우리는 추가로 두 개의 국가, 태국과 방글라데시에서 헤우리스틱 ¹ 분석을 통해 북한 주민들이 거주하며 불법 수익 창출 활동을 벌이고 있을 가능성이 높은 것으로 확인했습니다. 이것은 2017년에 발견한 8개국(인도, 말레이시아, 뉴질랜드, 네팔, 케냐, 모잠비크, 인도네시아, 중국)에 추가된 것입니다.
북한은 계속해서 비트코인을 채굴했고, 1월 말에는 모네로도 채굴하기 시작했습니다.

배경

지난 7월에 상세히 설명드린 바와 같이, 북한 최고 지도부 중에서도 극히 일부만 글로벌 인터넷에 직접 접근할 수 있는 권한을 보유하고 있습니다. 북한의 인터넷 사용자 수에 대한 신뢰할 수 있는 통계는 없지만, 기자들은"매우적은 수" 에서"북한 지도부의 핵심층" 까지, 또는 " 단 몇십 가구"에 이르는 다양한 추산을 내놓고 있습니다. 정확한 숫자와는 무관하게, 북한 인터넷 사용자의 프로필은 명확합니다: 통치 계급의 신뢰받는 구성원 또는 그 가족 구성원입니다.

북한 엘리트들이 글로벌 인터넷에 접근하는 주요 방법은 세 가지입니다. 인터넷에 연결된 네트워크와 마찬가지로, 이 범위에서 악의적인 활동이 간혹 보고됩니다. 그러나 북한이 수행하는 악성 사이버 공격의 대부분은 해외에서 진행되는 것으로 추정됩니다(이 부분에 대한 자세한 내용은 아래 "해외에서의 활동" 섹션에서 설명됩니다).

첫 번째 방법은 할당된 .kp 도메인을 사용하는 것입니다. 범위인 175.45.176.0/22로, 국내 유일의 인터넷 액세스 가능 웹사이트를 호스팅합니다. 여기에는 co.kp, gov.kp, edu.kp 등 9개의 최상위 도메인과 다양한 북한 국영 미디어, 여행 및 교육 관련 사이트의 약 25개의 하위 도메인이 포함됩니다.

북한-북한-인터넷-행동-1.png

175.45.176.0/22와 관련된 이벤트 타임라인 범위는 2017년 7월부터 2018년 4월까지입니다.

두 번째 방법은 중국 넷콤(China Netcom)에서 할당된 범위인 210.52.109.0/24를 통해 이루어집니다. 넷네임 "KPTC"는 국가 소유의 통신 회사인 한국우편통신공사( Korea Posts and Telecommunications Co.) 의 약자입니다.

북한-북한-인터넷-행동-2.png

210.52.109.0/24와 관련된 이벤트 타임라인 범위는 2017년 7월부터 2018년 4월까지입니다.

세 번째 방법은 러시아 위성 회사에서 제공한 할당된 범위 77.94.35.0/24를 통해 이루어집니다. 이 범위는 현재 레바논의 SatGate로 해결됩니다.

북한-북한-인터넷-행동-3.png

77.94.35.0/24와 관련된 이벤트 타임라인은 2017년 7월부터 2018년 4월까지입니다.

편집자 주

이 시점부터 '북한의 인터넷 활동' 또는 '행동'은 일부 지도자와 지배 엘리트에게만 접근이 허용된 북한 내부 인트라넷인 광명이 아닌 글로벌 인터넷 사용을 지칭합니다. 이 데이터는 광명이나 북한에 위치한 외교 및 외국 기관에 대한 접근이 허용된 특권층 북한인들의 인트라넷 활동이나 행동에 대한 통찰력을 제공하지 않습니다.

또한, 2017년 12월 1일부터 2018년 3월 15일까지를 기간으로 선정한 이유는 2018년 2월 한국에서 열리는 동계올림픽을 앞두고 남북 간 대화가 활발해지는 과도기적 시기였기 때문입니다.

분석

국제 인터넷 사용자와 마찬가지로, 북한 엘리트층의 인터넷 활동은 주로 인터넷 동영상, 온라인 게임, 웹 서핑으로 구성되어 있습니다. 시스코의 분석에 따르면 2017년 전 세계 인터넷 트래픽의 77%가 인터넷 동영상과 온라인 게임으로 구성되었습니다. 북한 사용자의 활동 중 70%는 인터넷 동영상 또는 온라인 게임에 해당했으며, 17%는 웹 서핑, 이메일 확인, 데이터 다운로드 등에 사용되었고, 13%는 가상 사설 네트워크(VPN) 또는 기타 암호화 기술을 통해 이루어졌습니다.

북한 지도부는 12월부터 3월까지 소셜 미디어, 쇼핑, 검색 사이트에서 지난 여름과 거의 같은 시간을 보냈습니다. 하지만 이들이 활용하는 서비스는 크게 달라졌습니다.

북한-북한-인터넷-행동-4.png

2017년 12월 1일부터 2018년 3월 15일까지(실제) 8개의 소셜 네트워킹, 쇼핑, 검색 사이트의 시간별 활동량입니다. 제공업체는 인기도별로 Alibaba(최고)부터 Instagram(최저)까지 나열됩니다.

지난 7월, 저희의 데이터에 따르면 북한 지도부는 특히 페이스북, 구글, 인스타그램 등 서구의 소셜 미디어를 많이 사용하는 것으로 나타났습니다. 실제로 Facebook은 중국어 서비스보다 일일 실제 사용량이 두 배 이상 많은 가장 인기 있는 서비스였습니다.

2017년 12월부터 2018년 3월까지의 소셜 미디어 활동에서 가장 눈에 띄는 점은 페이스북과 인스타그램의 활동이 거의 없고 중국 서비스 사용이 크게 증가했다는 점입니다. 페이스북과 인스타그램 활동은 너무 낮아서 위 차트에 표시되지 않습니다.

6개월이라는 짧은 기간 동안 북한 엘리트들은 서구의 소셜 미디어와 서비스에서 알리바바, 텐센트, 바이두로 거의 완전히 옮겨갔습니다. 상위 8위 안에 든 나머지 서구권 서비스들은 주로 소셜 네트워킹이 아닌 콘텐츠 스트리밍에 활용되었습니다.

이 행동 변화는 북한 주민들의 미디어 소비 에 대한 외국 연구와 관심의 증가, 2016년 4월부터 시행되어 온 서구 소셜 미디어 서비스에 대한 공식 금지 조치의 새로운 집행, 또는 북한 엘리트층의 운영 보안 강화 중 하나 또는 그 조합으로 인해 발생했을 수 있습니다.

생활 패턴

이 기간 동안 북한 지도자들은 2017년 여름과 유사한 뚜렷한 일일 사용 패턴을 보였습니다. 일반적으로 활동이 가장 많은 시간대는 오전 9시부터 오후 8시 또는 오후 9시까지이며, 토요일과 일요일이 지속적으로 가장 많은 활동을 보이는 요일입니다. 토요일 늦은 밤과 일요일 이른 아침에 활동이 가장 많았던 것은 주로 콘텐츠 스트리밍이나 온라인 게임으로, 북한 엘리트층에게 주말에 여가 시간이 허용되었음을 시사합니다.

북한-북한-인터넷-행동-5.png

시간별 일일 인터넷 사용량(평균이 아님).

영리 기업으로서의 게임

2012년경부터 기자, 학자, 연구원들이 진행한 탈북자 인터뷰 시리즈는 외부 세계에 북한 사이버 작전의 목표와 인력 구성에 대한 힌트를 제공했습니다. 탈북자들은 김 정권에 수익을 창출하는 것을 주요 목표로 삼은 해외 시설에 거주하는 운영자와 프로그래머로 구성된 북한 운영 체제의 모습을 그려냈습니다.

이 운영 모델은 북한 주민들을 해외로 파견해 사이버 작전을 수행하는 방식이, 우리가 분석한 북한 엘리트의 웹 트래픽과 비교할 때 특히 중요해집니다. 탈북자들은 김 정권이 수익 창출에 있어 비디오 및 온라인 게임과 사용자를 대상으로 한 위조 및 사기 행위가 얼마나 중요한 역할을 하게 되었는지 상세히 밝혔습니다. 중국에서 다른 북한 해커 수십 명과 함께 일했던 한 탈북자는 이 남성들이 연간 약 $100,000를 벌어야 했으며, 이 중 80%가 김 정권으로 송금되었다고 보고했습니다. 이 요구사항을 충족시키기 위해 남성들은 가짜 비디오 게임을 제작했으며, 무기, 포인트, 장비 등 디지털 아이템을 훔치는 봇을 개발해 이를 재판매해 이익을 얻었고, 게임 소프트웨어의 새로운 취약점을 발견해 판매했습니다.

아래 목록은 2017년 7월 이후 북한 엘리트층의 온라인 게임 사용 현황을 보여주는 것으로, 연구자들은 해외 북한 해커들이 정권의 수익을 창출하기 위해 어떤 게임을 악용하고 있는지 파악할 수 있는 단서를 얻을 수 있습니다. 이러한 유형의 수익 창출이 북한 영토에서 얼마나 이루어지고 있는지는 명확하지 않습니다. 하지만 해외 사업자들은 이미 익숙한 플랫폼과 서비스를 대상으로 봇이나 게임 핵을 개발하는 경우가 많았습니다.

0AD: 제국 어센던트
에이스 오브 스페이드
지진
마라톤 3부작 게임
무장 공격 1-3
월드 오브 워크래프트
큐브 2: 사우어브라텐
디아블로 2
리그 오브 레전드
세컨드 라이프
Steam의 계정 및 게임

또한 북한 엘리트들은 닌텐도, 플레이스테이션 등 다양한 게임 콘솔이나 시스템, 그리고 스팀과 블리자드 같은 게임 저장소 및 계정 제공업체를 활용하고 있습니다.

외국에서의 존재

지난 7월 연구에서는 전 세계 국가에 존재하는 북한의 주요 물리적, 가상적 존재를 식별하는 휴리스틱을 개발했습니다. 이 휴리스틱에는 이들 국가를 오가는 북한의 평균 이상의 인터넷 활동뿐만 아니라 뉴스 매체, 구 또는 시 정부, 지역 교육 기관 등과 같은 다양한 현지 리소스의 검색 및 사용도 포함되었습니다.

이 기술을 통해 인도, 말레이시아, 뉴질랜드, 네팔, 케냐, 모잠비크, 인도네시아, 중국 등 탈북자가 실제로 거주하거나 소재한 8개국을 파악할 수 있었습니다. 이번 12월부터 3월까지의 데이터 세트에서는 분석 결론의 충실도를 높이기 위해 해당 8개 국가의 데이터를 재검토하고 패턴에 맞지 않는 국가의 사례를 포함시켰습니다.

북한-북한-인터넷-행동-6.png

2015년 북한 수출 주요 목적지 (데이터 출처: MIT 경제 복잡성 관측소). 중국, 인도, 인도네시아, 태국, 방글라데시, 네팔(“기타 아시아”의 일부로 분류됨) 및 모잠비크는 이 주요 수출 목적지 목록에 포함됩니다.

지난 여름에 확인된 8개국 중 말레이시아와 뉴질랜드만 더 이상 행동 휴리스틱에 맞지 않지만, 그 방식은 약간 다릅니다.

뉴질랜드의 경우, 트래픽 양은 상대적으로 안정적으로 유지되었지만, 활동은 더 이상 휴리스틱의 후반부(지역 자원 및 기타)를 보여주지 않았으며, 대신 주로 북한 비트토렌트, 비디오 스트리밍 및 게임 서비스의 허브로 기능하는 것으로 나타났습니다. 1월 초 3일 동안 뉴질랜드 국방군(New Zealand Defence Forces )의 IP 주소가 북한 네트워크에 반복적으로 연결을 시도했습니다. 해당 활동은 반복적이고 소음이 컸지만, 북한 인터넷 서비스에 장애를 일으킬 정도는 아니었습니다.

뉴질랜드는 2017년 8월에 실시한 조치들을 통해 북한 학자들에 대한 비자 발급을 거부하고 유엔 및 미국 제재 체제에 대한 지원을 통해 북한의 일부 작전 활동을 차단했을 가능성이 있습니다.

말레이시아의 경우 트래픽이 크게 감소했지만 말레이시아에 북한인이 있는 것은 분명합니다. 예를 들어, 쿠알라룸푸르에서 북한 공식 이메일 계정을 반복적으로 확인하고 있지만, 현지화된 북한 활동의 폭은 지난 여름보다 훨씬 좁아졌습니다.

말레이시아와 북한 간의 관계는 지난해 여름 이후 급격히 악화되었으며, 김정은의 형인 김정은의 형인 김정은의 형인 김정은의 형인 김정은의 형인 김정은의 형인 김정은의 형인 김정은의 형인 김정은의 형인 말레이시아는 평양 주재 대사를 소환하고, 북한 근로자, 기업, 항공편에 대한 제한 조치를 취했으며, 여행 금지 조치를 부과했고, 쿠알라룸푸르에 있는 북한 대표부의 규모를 축소하도록 요구할 수 있다고 밝혔습니다.

인도, 네팔, 케냐, 모잠비크, 인도네시아, 중국 등 나머지 6개 국가 외에도 두 국가의 인터넷 활동이 이 행동 징후에 부합하는 것으로 나타났습니다: 태국과 방글라데시입니다. 우리는 이 8개국들이 자의든 타의든 탈북자들을 수용하고 있다고 평가합니다. 이러한 북한인들은 북한의 핵무기 및 사이버 작전 프로그램을 발전시킬 목적으로 국제 제재를 회피하거나 고급 교육을 받을 목적으로 불법적인 수익 창출 활동을 하고 있을 가능성이 높습니다.

사이버 작전을 수행하는 북한의 전략적 동기에 대한 연구 1부에서는 북한의 미사일 및 핵 개발 프로그램 자금을 확보하기 위해 김 정권이 실행하고 있는 광범위한 해외 범죄 작전 중 일부를 자세히 설명했습니다.

북한의 불법 수익 창출 네트워크는 연구자, 기자, 학자들에 의해 광범위하게 연구되어 왔습니다. 이 연구들 및 수많은 추가 연구들은 북한이 해외 외교 기관, 국영 식당 체인, 해외 거주 시민들을 활용해 불법 수익 창출과 핵 및 사이버 작전 훈련을 지원하는 방법을 상세히 설명하고 있습니다.

태국과 방글라데시는 북한 국영 식당, 범죄 활동과 연관된 외교 시설을 운영하고 있으며, 북한 투자를 허용하고 있습니다. 우리가 개발하고 적용한 디지털 서명은 이 두 국가를 이 목록에 포함하는 데 대한 신뢰도를 높이는 데 기여하는 또 다른 데이터 포인트에 불과합니다.

볼륨은 높지만 시그니처 매치가 없음

북한 사거리에서 높은 활동량을 보였지만 휴리스틱의 두 번째, 즉 국지적 절반을 충족하지 못한 국가가 몇 군데 있습니다. 특히 상위 10개 국가 중 대다수는 북한 사용자들이 단순히 동영상 스트리밍, 콘텐츠 전송 또는 VPN/VPS 서비스를 이용하는 국가였습니다.

북한-북한-인터넷-행동-7.png

북한을 오가는 인터넷 활동이 가장 많은 상위 10개 국가(실제 수치).

흥미롭게도 알리바바의 비디오 스트리밍 및 콘텐츠 전송 네트워크는 미국 서버를 통해 북한에서 발생한 트래픽을 라우팅하는 것으로 보이며, 이는 미국에 기반을 둔 활동의 주요 동인이었습니다. 네덜란드와 독일의 경우, 두 국가의 인프라가 활동을 난독화하는 데 많이 활용되었으며, 주로 VPN 또는 VPS 서비스 및 토르 출구 노드를 통해 이루어졌습니다.

이는 지난 여름 북한 인터넷 활동의 1% 미만이 어떤 식으로든 가려지거나 은폐되었던 것과는 완전히 대조적인 결과입니다. 이러한 유럽 제공업체로의 이동의 동인은 명확하지 않지만, GDPR의 시행과 개인 인터넷 프라이버시에 대한 유럽의 관심에 따른 것으로 추정됩니다.

암호화폐 활동

우리의 초기 보고서에 따르면 북한이 2017년 5월 이후로 비트코인을 채굴해 왔다는 사실이 밝혀진 이후로, 북한의 암호화폐에 대한 관심과 활용이 급격히 증가했습니다. 2017년, 북한은 남한의 암호화폐 거래소에서 다수의 해킹 공격을 통해 자금을 탈취했으며, 5월 워나크라이(WannaCry) 공격과 연관되어 있으며, 모네로(Monero) 채굴을 시작했습니다.

이 새로운 데이터 세트에서는 북한 엘리트들의 암호화폐에 대한 관심이 확대되고 비트코인 채굴이 지속되고 있음을 확인할 수 있습니다. 데이터로 북한의 비트코인 활동의 전체 범위를 파악할 수는 없지만, 지난 1월 24일부터 3월 15일 데이터 세트가 종료될 때까지 5월에 관찰한 채굴 활동이 계속되고 있는 것을 확인했습니다. 트래픽 양과 피어와의 통신 속도는 지난 여름과 동일했지만, 해시 비율이나 빌드를 확인할 수 없었습니다. 이번 채굴 활동은 지난 여름의 활동과 비슷하게 소수의 머신에 국한된 소규모로 진행되었습니다.

또한 별도의 사용자가 Bitcoind 인터페이스를 사용하는 것을 확인했습니다. 이 인터페이스는 로컬 또는 원격 제어 및 다른 소프트웨어와의 통합, 또는 대규모 결제 시스템과의 통합을 가능하게 합니다. 이것은 북한 사용자들이 비트코인 거래를 진행하고 있다는 강력한 지표입니다. 그러나 구매된 항목, 관련된 지갑, 또는 사용자가 보유한 코인의 수를 확인할 수 없습니다.

위에서 설명한 비트코인 활동 외에도, 1월 29일부터 북한 네트워크에서 모네로 채굴이 관찰되었습니다. 이 활동은 3월 15일 데이터셋의 종료 시점까지 계속되었습니다. 모네로 채굴은 비트코인 채굴과 유사하게 동일한 "작업 증명(Proof-of-Work)" 방법을 사용하며, 특정 목표 값과 일치하는 해시를 발견해야 합니다.

모네로는 비트코인과 달리 진정한 익명성을 갖추고 있습니다. 모든 거래는 블록체인 내에서 암호화되어 거래의 발신자 또는 수신자만이 상대방을 확인할 수 있습니다. 모네로는 또한 낮은 용량의 기계로 채굴되도록 설계되었으며, 채굴 포트가 용량에 따라 확장되는 경향이 있다는 점에서 독특합니다. 예를 들어, 많은 채굴자들은 저사양 머신에는 포트 3333을 사용하고, 고사양 및 고용량 머신에는 포트 7777을 사용합니다. 이 경우, 포트 7777을 통해 채굴이 진행되는 것을 관찰했으며, 이는 더 높은 용량의 머신이 채굴을 수행하고 있으며, 또한 더 높은 해시율을 나타냅니다. 관찰된 포트 번호와 활동은 해시율을 결정하기에 충분하지 않았습니다 — 우리가 확인할 수 있었던 것은 채굴이 진행 중이라는 점뿐이었습니다.

난독화된 활동

지난 여름에는 1% 미만의 활동만이 난독화된 것과는 대조적으로, 이번 기간에는 리더십 인터넷 활동의 훨씬 더 높은 비율(거의 13%)이 어떤 식으로든 난독화되었습니다. 2017년 4월부터 7월까지 북한 전체 인터넷 활동의 1% 미만이 난독화되었습니다. 약 6개월에 걸쳐 북한 지도부는 웹 콘텐츠를 탐색, 검색, 검색하는 방식을 크게 변경했습니다.

북한-북한-인터넷-행동-8.png

북한 지도부의 난독화 서비스 사용 비율.

포인트 투 포인트 터널링 프로토콜 (PPTP)은 가장 널리 사용된 오브스큐레이션 서비스였으며, 그 다음으로 아마도 HTTPS(포트 443을 통해) 또는 보안 브라우징, 그리고 IPSec VPN이 이어졌습니다.

2017년 4월부터 7월까지 북한 지도부는 전체 인터넷 활동의 1% 미만을 은폐했습니다. 이에는 TLS를 지원하는 브라우징, VPN 또는 VPS 사용, 기타 터널링 프로토콜, 심지어 Tor 사용까지 포함되었습니다. 12월까지 북한 사용자들은 웹 브라우징 습관을 근본적으로 변경했으며, 오브퓨케이션 서비스 사용량이 12배 증가했습니다.

북한 인터넷 활동의 70%가 인터넷 동영상이나 온라인 게임이라는 점을 감안하면 나머지 웹 트래픽의 상당 부분을 차지하는 13%는 지도부 활동에 대한 우리의 시야를 더욱 좁혀줍니다.

네트워크 분석

2017년 10월 1일, 연구진은 러시아 통신업체 트랜스 텔레콤(Trans TeleCom,AS 20485)이 북한 주요 IP 범위인 175.45.176.0/22의 인터넷 라우팅 데이터베이스에 등장하기 시작했다는 사실을 관찰했습니다. 2017년 10월 이전까지 북한이 글로벌 인터넷에 연결되는 주요 경로는 중국 통신사인 중국 유니콤(AS4837)을 통해 제공되었습니다.

10월 1일 다양한 시간대에 175.45.176.0/22의 네 서브넷 중 세 개가 (175.45.176.0/24, 175.45.177.0/24, 175.45.178.0/24 및 175.45.179.0/24는 연결이 안정화될 때까지 Trans Telecom에의해 라우팅되었으며, 이후에는 175.45.178.0/24만 라우팅되었습니다. 서브넷은 Trans Telecom 인프라를 통해 계속 전송 중이었으며, 나머지 세 개는 China Unicom을 통해 전송되었습니다.

2017년 12월부터 2018년 3월 15일까지 175.45.178.0/24에 한해 서브넷은 트랜스 텔레콤을 통해 라우팅되었고, 나머지 3개는 차이나 유니콤 인프라를 경유했습니다. 트랜스 텔레콤 경로는 북한에 대체 인터넷 접속 지점을 제공했지만, 북한 전체 인터넷 활동의 3분의 1 정도만 활용되고 있는 것으로 보입니다.

북한-북한-인터넷-행동-9.png

175.45.176.0/24의 기본 범위 내에서 각 서브넷의 사용량을 총 트래픽의 백분율로 표시합니다.

176 서브넷은 북한에서 공개적으로 접근 가능한 웹사이트의 대부분을 호스팅하기 때문에 가장 많은 활동을 생성합니다. 또한 이 서브넷은 웹사이트를 호스팅하고 아웃바운드 트래픽을 라우팅하는 공유 서버들, 프록시 서버 및 로드 밸런서들로 구성되어 있습니다. 예를 들어, 우리 분석 결과에 따르면 북한은 이 서브넷 내 최소 8개의 IP 주소로 아웃바운드 트래픽을 분산하기 위해 F5 BIG-IP 로드 밸런서를 사용하고 있습니다. 로드 밸런서는 들어오는 인터넷 트래픽과 나가는 인터넷 트래픽을 관리하고 이를 특정 범위의 서버에 분배하여 동시 사용자의 용량과 네트워크 안정성을 향상시킵니다.

북한에서 호스팅하는 웹사이트에 접속해 본 경험이 있는 사람이라면, 이러한 사이트가 로딩 속도가 느리고 콘텐츠가 표시되기까지 여러 번 시도해야 하는 것으로 악명이 높기 때문에 의외로 들릴 수 있습니다. 분석 결과 이러한 로드 밸런싱은 주로 공유 서버에 사용되며, 이중화 시스템의 부족과 비디오 스트리밍 및 온라인 게임의 양으로 인한 제한된 대역폭에 대한 스트레스로 인해 성능이 저하된 것으로 보입니다.

즉, 각 IP 주소 뒤에 더 많은 물리적 컴퓨터가 있을 가능성이 있지만 정확히 몇 대가 있는지는 알 수 없습니다. 북한 IP 범위를 오가는 인터넷 활동의 양은 특히 국가 네트워크의 경우 매우 적습니다. 이렇게 적은 비율의 인구가 글로벌 인터넷에 접속하기 때문에 이러한 서브넷의 컴퓨터 수는 비슷한 인구(약 2,500만 명)를 가진 국가보다 중견 기업 규모에 더 가깝습니다.

210.52.109.0/24에 대해 범위 및 라우팅 테이블은 액세스 포인트가 AS9929 하에 중국 넷콤(China Netcom)에 의해 관리되고 있음을 확인합니다. 라우팅 데이터는 또한 이 범위에서 전송되는 데이터의 최소 절반이 Sprint에 할당된 자율 시스템 번호(AS 또는 ASN)인 AS1239를 통해 라우팅된다는 점을 기록하고 있습니다. 이 경로가 실제로 미국 내 물리적 인프라를 통과하는지, 아니면 AS 회원 자격의 공동 결과인지 명확하지 않습니다.

2017년 10월, 한 안티바이러스 회사 소속 보안 연구원들이 이 175.45.176.0/22 네트워크에 대한 조사를 진행했습니다. 범위를 조사하고 특정 IP 주소가 외국 방문자에게 할당되어 그들의 인터넷 접속에 특정한 목적으로 사용된다고 추측했습니다. 이것은 175.45.178.0/24 네트워크에서 온 13개의 IP 주소로부터의 "웹 트래픽"을 확인한 것에 기반을 두고 있습니다. 서브넷.

분석 결과, 북한 IP 주소의 '웹 트래픽'만으로는 외국인의 사용을 판단하기에 충분하지 않으며, 그렇지 않다면 이 /22 범위 전체가 외국인 방문자에게 할당된 것으로 평가될 수 있습니다. 확인된 13개의 IP 주소에서 인터넷 브라우징, 비디오 스트리밍, 온라인 게임, VPN 사용 및 기타 유형의 트래픽을 확인했습니다. 이 트래픽은 전체 관찰 트래픽의 0.5% 미만을 차지하며 통계적으로 유의미하지 않아 전체 분석에서 제외했습니다.

전망

지난 7월, 저희는 연구를 통해 북한의 지배 엘리트들이 실제로 현대 인터넷 사회와 얼마나 연결되어 있는지, 그리고 국제 제재가 북한을 외부 세계로부터 고립시키는 데 효과적이지 않다는 사실을 밝혀냈다고 주장했습니다. 또한, 우리는 김 정권에 지속적으로 부정적인 영향을 미치기 위해 새로운 도구와 관계가 필요하다고 말했습니다.

그 초기 보고서 이후 몇 달 동안, 우리는 북한 엘리트들이 인터넷을 활용하는 방식에서 실질적인 변화가 발생했으며, 김 정권에 대한 제재와 압력에 대한 국제 사회의 참여 다양성에서도 변화가 관찰되었습니다. 반년 만에 북한 지도부는 인터넷 서비스와 온라인 활동 방식을 근본적으로 변경해 익명성을 강화했습니다. 그들은 제재를 회피하기 위한 수단으로 암호화폐를 활용해 왔으며, 전 세계 금융 기관으로부터 자금을 훔치려는 시도를 해 왔습니다.

북한의 엘리트 인터넷 사용자들은 물리적 제재가 계속 강화되고 김 정권과의 활동을 차단하는 국가들의 연합이 형성되는 가운데, 변화하는 디지털 환경에 적응해 나가고 있습니다. 그러나 7월 평가에서 현재 김 정권에 대한 지속적인 부정적 영향을 미치기 위해 영토적 북한에 초점을 맞추지 않는 새로운 도구가 필요하다는 결론은 여전히 유효합니다. 유엔 북한 전문가 패널은 여전히 사이버 기술을 활용한 군사 기밀 절도에 집중하고 있으며, 미국 제재는 여전히 사이버 작전을 대상으로 하지 않고 있습니다.

지도부 검색부터 수익 창출, 전술적 사이버 작전까지 북한이 인터넷을 폭넓게 수용하고 있는 것을 보면 인터넷이 김 정권에 얼마나 필수적인 매체인지 알 수 있습니다. 이 불량 국가의 활동과 작전 범위를 제한하기 위한 국제적 노력에는 북한의 사이버 작전에 대한 제재 또는 징벌적 조치가 포함되어야 합니다.

사이버 보안 전문가와 네트워크 방어자들에게 이러한 지도부의 인터넷 행동 변화는 북한의 악의적인 사이버 활동을 방어하는 것이 얼마나 복잡한 일인지 계속 강조하고 있습니다. 금융 서비스 회사, 은행, 암호화폐 거래소, 사용자, 미군과 한국군의 사드 배치 및 한반도 내 작전을 지원하는 기업들은 네트워크에 대한 위협 환경에 대해 최고의 경계와 인식을 유지할 것을 지속적으로 권장합니다.

마찬가지로 에너지 및 미디어 기업, 특히 한국에 소재하거나 이러한 부문을 지원하는 기업은 디도스, 파괴적 멀웨어, 랜섬웨어 공격 등 북한의 광범위한 사이버 활동에 대해 경계해야 합니다. 모든 분야의 조직은 랜섬웨어의 적응성을 지속적으로 인식하고 위협의 진화에 따라 사이버 보안 전략을 수정해야 합니다.

^{1휴리스틱}분석은 기초 데이터에 여러 기준을 적용하여 분석 결과를 도출하기 위해 체계적인 근사치를 활용하는 문제 해결 접근 방식을 말합니다. 이 사례는 외국에 거주하는 북한 국적자의 활동 환경에 대한 면밀한 지식과 대규모 데이터 세트에 대한 심층 분석의 결과입니다.

^28은마법의 숫자가 아니라 해당 행동이 시그니처에 맞는 국가의 수일 뿐입니다.