북한이 불량 정권을 위한 도구로 인터넷을 혁명화한 방법

북한이 불량 정권을 위한 도구로 인터넷을 혁명화한 방법

이 연구를 위해 인식트 그룹은 다양한 도구를 사용하여 타사 데이터, IP 지리적 위치, BGP(국경 게이트웨이 프로토콜) 라우팅 테이블, 네트워크 트래픽 분석, 오픈 소스 정보(OSINT)를 분석하여 북한 고위 지도부의 인터넷 활동을 조사했습니다. 이 보고서를 위해 분석된 데이터는 2019년 1월 1일부터 2019년 11월 1일까지의 데이터입니다.

이 보고서는 기술, 금융, 국방, 암호화폐, 물류 분야의 정부 부처와 조직, 그리고 북한의 제재 우회, 불법 자금 조달, 국가가 후원하는 사이버 스파이 활동을 조사하는 기관에서 가장 관심을 가질 만한 자료입니다.

Executive Summary

지난 3년 동안 레코디드 퓨처는 북한 최고 지도층의 행동에 대한 독특한 통찰력을 보여주는 일련의 연구 자료를 발표했습니다. 2019년의 관찰과 연구 결과는 이러한 관찰을 확장하여 북한 지도자들의 인터넷 사용 방식에 대한 보다 광범위한 결론을 제시합니다. 2019년 데이터에 따르면 북한 정치 및 군사 엘리트들에게 인터넷은 단순한 취미나 여가 활동이 아니라 수익 창출, 금지된 기술과 지식에 대한 접근, 작전 조정을 위한 중요한 도구로 사용되고 있습니다.

또한, 우리는 북한이 다국적 기관과 서방 국가들이 부과한 국제 금융 통제 및 제재 체제를 회피하기 위해 인터넷 기반 모델을 개발했다고 평가합니다. 이것은 인터넷을 단순히 수익 창출의 수단으로 사용하는 것뿐 아니라, 북한 핵 및 탄도 미사일 프로그램 개발이나 사이버 작전과 같은 금지된 지식과 기술을 획득하는 도구로 활용하는 것을 포함합니다. 이 모델은 수익을 창출하기 위해 세 가지 주요 전략을 사용합니다 — 인터넷을 활용한 은행 강도; 암호화폐 및 블록체인 기술의 활용과 악용; 그리고 저수준 정보기술(IT) 작업과 금융 범죄.

가장 기본적으로 북한은 인터넷을 제재 우회 메커니즘으로 활용하는 모델을 개발했는데, 이는 독특하지만 예외적이지는 않습니다. 이 모델은 독특하지만 반복 가능하며, 무엇보다도 베네수엘라, 이란, 시리아 등 재정적으로 고립된 다른 국가들이 인터넷을 이용해 제재를 우회하는 방법에 대한 모범이 될 수 있다는 점에서 우려스럽습니다.

주요 판단

북한-북한-인터넷-도구-7-1.jpg

배경

2017년 4월 이후 진행된 우리 연구 결과에 따르면, 북한 최고 지도부 중 극히 일부만 글로벌 인터넷에 직접 접근할 수 있는 권한을 보유하고 있습니다. 북한의 인터넷 사용자 수에 대한 신뢰할 수 있는 통계는 없지만, 기자들은"매우적은 수"에서"북한 지도부의 핵심층"까지, 또는 " 단 몇십 가구"에 이르는 다양한 추산을 내놓고 있습니다. 정확한 숫자와는 무관하게, 북한 인터넷 사용자의 프로필은 명확합니다: 그들은 통치 계급의 가족 구성원이나 신뢰할 수 있는 구성원입니다.

북한 엘리트들이 글로벌 인터넷에 접속하는 방법은 크게 세 가지입니다. 첫 번째 방법은 할당된 .kp 도메인을 사용하는 것입니다. 범위인 175.45.176.0/22로, 국내 유일의 글로벌 인터넷 액세스 가능 웹사이트를 호스팅하고 있습니다. 여기에는 co[.]kp, gov[.]kp, edu[.]kp 등 9개의 최상위 도메인과 다양한 북한 국영 미디어, 여행 및 교육 관련 사이트를 위한 약 25개의 하위 도메인이 포함됩니다.

두 번째 방법은 중국 넷콤(China Netcom)에서 할당된 범위인 210.52.109.0/24를 통해 이루어집니다. "KPTC"는 한국우편통신공사(Korea Posts and Telecommunications Co.)의 약칭으로, 국가에서 운영하는 통신 회사입니다. 세 번째 방법은 러시아 위성 회사에서 제공한 할당된 범위 77.94.35.0/24를 통해 이루어집니다. 이 범위는 현재 레바논의 SatGate로 해결됩니다.

여기서 '북한의 인터넷 활동' 또는 '행동'이라 함은 북한 내부 인트라넷(광명)이 아닌 일부 지도자와 지배 엘리트에게만 접근이 허용된 글로벌 인터넷 사용을 의미한다는 점을 유의하시기 바랍니다. 이 데이터는 광명이나 북한에 위치한 외교 및 외국 시설에 대한 접근이 허용된 대규모 북한인 그룹의 인트라넷 활동이나 행동에 대한 통찰력을 제공하지 않습니다.

분석

인터넷 사용의 정상화

2018년 10월 보고서에서 관찰했듯이, 2017년 초에 북한 지도자들의 행동을 연구하기 시작한 이후 인터넷 활동량이 증가했습니다. 지난 3년 가까운 기간 동안 북한 네트워크와 주고받는 활동량은 300% 가까이 증가했습니다. 이러한 인터넷 사용량 증가에는 몇 가지 이유가 있을 수 있습니다.

첫째, 북한은 글로벌 인터넷에 접속하기 위한 대역폭과 용량을 확대했습니다. 2017년 10월, 북한은 최대 IP 범위 중 하나인 175.45.176.0/22의 일부 서브넷의 인터넷 트래픽을 전송하기 위해 러시아의 TransTelekom (AS20485) 을 새로운 파트너로 확보했습니다. 그 이전에는 175.45.176.0/22 전체 네트워크에서 발생하는 모든 트래픽이 해당 범위는 중국 유니콤(AS4837)에 의해 라우팅이 차단되었으며, 2019년 9월 초 현재 175.45.178.0/24 해당 서브넷은 과거에 TransTelekom 인프라를 사용한 적이 없습니다.

그러나 2019년 9월 중순경, BGP 라우팅 테이블에서 변경 사항이 관찰되었으며, 이는 175.45.177.0/24 서브넷이 중국 유니콤에서 트랜스텔레콤으로 완전히 전환되었습니다. 허리케인 일렉트릭 및 기타 서비스에서 실행된 트레이서루트 및 BGP 경로 쿼리 모두 175.45.177.0/24 서브넷이 현재 TransTelekom 인프라를 통과하고 있습니다.

또한 서브넷 분석에 따르면 2018년 초에는 36%에 불과했던 북한 전체 인터넷 트래픽의 45%가 현재 TransTelekom 인프라를 통과하는 것으로 나타났습니다. 증가된 용량은 지난 한 해 동안 인터넷 트래픽 증가의 일부분을 설명하는 것으로 평가됩니다. 트랜스텔레콤과 차이나유니콤 인프라를 통해 별도의 서브넷을 라우팅하면 인터넷 통신의 지연 시간을 줄이고 북한 지도부 사용자의 속도와 접근성을 높일 수 있습니다.

두 번째로, 북한은 지난 6개월 동안 이전에 해결되지 않았던 일부 지적 재산권(IP) 공간을 사용하기 시작했습니다. 6월 초, 북한 네트워크 관리자들은 kptc[.]kp 도메인에 속한 두 개의 DNS 이름 서버의 IP 주소를 변경했습니다. 도메인. 이전에는 kptc[.]kp의 네임서버가 175.45.176.15 및 175.45.176.16로 해결되었습니다. 2019년 6월 초 현재, 해당 네임서버는 175.45.177.15 및 175.45.177.16으로 이동되었습니다. 각각. 6월 초 이전에는 해당 두 IP 주소가 전혀 해결되지 않았습니다. 그 이후로, 이 두 개의 IP는 SMTP (또는 메일) 서버와 FTP 서버로서의 추가 역할을 맡게 되었습니다.

이러한 변화는 언뜻 사소해 보일 수 있지만, 북한 사용자들에게 제공되는 서비스가 확대된다는 점에서 의미가 있습니다. 우리는 kptc[.]kp[. 네임서버가 175.45.176.15 및 175.45.176.16에서 이전된 이유는 해당 IP 주소가 전통적으로 북한 인바운드 및 아웃바운드 인터넷 트래픽의 상당 부분을 처리해왔기 때문입니다. 지난 3년 가까이 평균적으로 175.45.176.15와 175.45.176.16은 전체 북한 인바운드 및 아웃바운드 트래픽의 30%를 처리했으며, 2018년 6월에 평가한 바에 따르면 두 컴퓨터의 부하가 상당하여 국내외 사용자 모두에게 페이지 로딩 지연 및 지연 문제를 일으켰을 가능성이 높습니다.

지난 6개월 동안 관찰된 네트워크 관리의 변화는 아마도 국내외 북한 사용자의 수요 증가에 따른 것으로 평가합니다. 예를 들어 인터넷에서 액세스할 수 있는 메일 서버를 설정한다는 것은 사람들이 해당 도메인의 사용자에게 이메일을 보낼 수 있고 사용자가 자신의 메일에 원격으로 액세스할 수 있기를 원한다는 것을 의미합니다. 우리는 지난 3년간 인터넷 활동이 300% 증가한 것을 통해 이러한 수요 증가를 관찰했으며, 이는 북한 엘리트층의 인터넷 사용이 정상화되고 전문화되고 있음을 반영하는 것으로 평가합니다.

생활 패턴 분석

지난 3년 동안 북한 지도자들의 일상적인 인터넷 사용 패턴의 변화도 모니터링해 왔습니다. 아래는 북한 지도부의 하루 중 시간대별 인터넷 사용 패턴을 보여주는 두 개의 차트입니다. 가장 최근 차트(2019년 1월부터 10월까지의 데이터로 작성)에서 주목할 만한 점은 일일 활동의 최고점과 최저점이 대부분 완화되었다는 점입니다.

북한-북한-인터넷-도구-1-1.png

2019년 1월부터 10월까지 시간별 일일 인터넷 사용량(평균이 아님).

북한-북한-인터넷 도구-2-1.png

2018년 3월부터 8월까지의 시간별 일일 인터넷 사용량(평균이 아님).

2019년 북한 지도자들은 2017년보다 근무 시간과 근무일에 평균적으로 인터넷을 더 많이 사용했습니다(아래 일별 활동 차트 참조).

북한-북한-인터넷-도구-3-1.png

2019년 1월부터 10월까지 요일별 일일 인터넷 사용량(평균이 아님).

북한-북한-인터넷-도구-4-1.png

2018년 3월부터 8월까지 일별 일일 인터넷 사용량(평균이 아님).

이러한 변화는 2018년에 처음 관찰되었으며, 위의 데이터는 이러한 변화 패턴이 비정상적인 것이 아님을 보여줍니다. 인터넷 사용량이 가장 높은 시간대는 평일 근무 시간으로, 주말과 늦은 오후와 저녁에 활동이 가장 많았던 2017년에 비해 큰 변화가 생겼습니다.

300% 증가한 활동량, TransTelekom 인프라를 통해 /24 서브넷을 추가로 라우팅하여 대역폭과 용량이 증가한 점, 이전에 해결되지 않았던 일부 IP 공간의 최근 활용 등을 종합하면 인터넷은 더 이상 단순한 흥미나 여가 활동이 아니라 북한 지도자들에게 중요한 도구가 되었다고 평가할 수 있습니다.

도구로서의 인터넷

위에서 언급된 모든 결과와 우리의 이전 연구는 북한 지도부가 인터넷을 사용하는 방식에 대해 훨씬 더 광범위한 결론을 제시합니다. 북한의 정치 및 군사 엘리트층에게 인터넷은 필수적인 도구로 자리 잡았습니다. 이것은 인터넷을 단순히 수익 창출의 수단으로 사용하는 것뿐 아니라, 북한 핵 및 탄도미사일 프로그램 개발이나 사이버 작전과 같은 금지된 지식과 기술을 획득하는 도구로 활용하는 것을 포함합니다.

또한, 북한이 다국적 기구와 서방이 부과한 국제 금융 통제 및 제재 체제를 우회하기 위한 인터넷 기반 모델을 개발했다고 평가합니다.

수익 창출

북한 모델은 인터넷 기반 수익 창출의 주요 원천으로 세 가지 주요 운영 기둥을 사용한다는 사실을 확인했습니다. 여기에는 다음이 포함됩니다:

  1. 은행 업무
  2. 암호화폐
  3. 낮은 수준의 정보 기술(IT) 업무 및 금융 범죄

뱅킹 운영

유엔 안전보장이사회 북한 전문가 패널에 따르면, 지난 4년간 최소 35개국의 금융 기관과 암호화폐 거래소가 북한 사이버 공격의 표적이 되어 김 정권에 최대 $20억 달러를 벌어들이는 데 기여했습니다. 금융 기관에 대한 공격은 전 세계 은행 간 금융 통신 네트워크인 SWIFT(Society for Worldwide Interbank Financial Telecommunication) 네트워크를 통해 수행되었습니다. 북한 운영자들은 먼저 SWIFT 단말기에 초기 접근 권한을 획득한 후, 일련의 사기 거래를 실행했습니다. 이 거래들은 피해 은행에서 가짜 계좌로 자금을 이체했으며, 이 자금은 이후 북한 요원들에 의해 곧바로 인출되었습니다. 미국 법무부가 2018년 9월에 34세 북한 운영자 박진혁을 기소하면서 공개한 자료에 따르면, 운영자들은 종종 북한 IP 주소를 사용하여 피해자 대상 웹사이트를 방문하고, 직원들에게 피싱 이메일을 전송하며, 네트워크 정찰 활동을 수행한 것으로 나타났습니다.

알려진 북한 소행의 은행 운영에 대한 공개 및 비공개 정보를 모두 연구하면서 지난 4년간의 운영을 위한 일련의 일반적인 전술, 기법 및 절차(TTP)를 확인했습니다.

암호화폐

2017년 7월, 우리는 북한 지도부가 암호화폐에 대한 관심과 활용을 보여주는 최초의 보고서 중 하나를 발표했습니다. 그 이후로 북한은 남한의 암호화폐 거래소로부터 대규모해킹 사건, 암호화폐 사기, 크립토재킹, 그리고 암호화폐 채굴과 관련된 혐의로 지목되어 왔습니다. 우리의 연구 결과에 따르면 북한은 최소 세 가지 암호화폐 — 비트코인, 라이트코인, 모네로 —에서 채굴, 도용, 또는 코인을 생성했으며, 유엔이 북한이 암호화폐를 통해강요받은 자금을통해 자금 조달된 것으로 평가한 블록체인 기반 사기 행위에 최소 한 건 이상 관여했습니다.

2019년 11월 현재, 저희는 소규모 비트코인 채굴을 계속 관찰하고 있습니다. 지난 2년 동안 트래픽 양과 피어와의 통신 속도는 비교적 안정적으로 유지되었지만 해시 비율이나 빌드는 아직 확인할 수 없습니다. 이러한 채굴 노력은 아직 소규모이며 소수의 컴퓨터로 제한될 가능성이 높다고 생각합니다.

하지만 2019년 5월 이후 모네로 채굴 활동이 2018년 대비 10배 증가한 것으로 나타났습니다. 2018년 10월 북한의 모네로 채굴 활동은 트래픽 양과 피어와의 통신 속도 모두 위에서 언급한 비트코인 채굴과 비슷했습니다. 저희의 평가에 따르면, 2019년 11월 현재 모네로 채굴 활동이 최소 10배 이상 증가한 것으로 나타났습니다. 모든 활동이 하나의 IP 주소를 통해 프록시되기 때문에 해시 비율을 확인할 수 없으며, 그 배후에는 최소 여러 대의 알 수 없는 컴퓨터가 있는 것으로 추정됩니다.

모네로는 2017년 8월 이후로 북한 운영자들에 의해 사용되어 왔으며, 워나크라이 공격으로 얻은 비트코인 수익이 비트코인 믹서를 통해 세탁된 후 최종적으로 모네로로 전환되었습니다. 모네로는 비트코인과 달리 진정한 익명성을 갖추고 있습니다. 모든 거래는 블록체인 내에서 암호화되어 거래의 발신자 또는 수신자만이 상대방을 확인할 수 있습니다. 모네로는 또한 일반적인 특수 장비 없이도 채굴이 가능하도록 설계되었으며, 채굴 포트가 용량에 따라 확장되는 경향이 있습니다. 예를 들어, 많은 채굴자들은 저사양 기계에 포트 3333을 사용하고, 고사양 및 고용량 기계에는 포트 7777을 사용합니다.

2018년과 유사하게, 포트 7777을 통해 채굴 활동이 증가한 것을 관찰했습니다. 이는 더 높은 용량의 기계들이 채굴을 수행했으며, 또한 더 높은 해시 속도로 진행되었음을 시사합니다. 관찰된 포트 번호와 활동은 해시율을 결정하기에 충분하지 않았습니다 — 우리가 확인할 수 있었던 것은 채굴이 진행 중이라는 점뿐이었습니다. 그러나 우리는 이 두 가지 요인 — 익명성과 비전문용 기계에 의해 채굴될 수 있는 능력 —이 북한 사용자에게 비트코인보다 모네로를 더 매력적으로 만들 가능성이 높다고 믿습니다.

2019년 8월 유엔 전문가 패널의 중간 보고서에 따르면, 패널에 보고된 한 회원국은 "조선민주주의인민공화국 군대의 전문 부대"가 암호화폐 채굴에도 관여하고 있다고 밝혔습니다. 북한의 IP 주소 공간에서 관찰된 비트코인 또는 모네로 채굴 활동이 해당 군사 부서에서 수행되고 있을 가능성이 있습니다. 그러나 우리는 현재 보유하고 있는 데이터 beyond를 넘어 추가적인 정보를 확보하지 못했으며, 관찰된 채굴 활동의 책임이 있는 북한 내 특정 기관을 확인하지 못했습니다.

북한의 운영자들은 피해자들이 악성 암호화폐 관련 소프트웨어를 설치하도록 속이기 위해 다양한 은밀한 기술을 사용해 왔습니다. 첫 번째는 '크립토재킹'으로 알려진 방법으로, 사용자의 컴퓨터를 몰래 해킹해 암호화폐를 채굴하는 방식으로, 특히 한국과 전 세계 사용자를 주요 대상으로 삼아 대규모로 진행되었습니다. 크립토재킹은 공격자가 피해자의 컴퓨터 자원을 활용해 암호화폐 채굴에 필요한 컴퓨팅 파워와 에너지를 빼앗는 공격으로, 이로 인해 암호화폐 채굴의 기회 비용이 크게 감소합니다.

2018년 말에 등장한 두 번째 기술은 일반적인 암호화폐 도구인 '트레이딩 애플리케이션'의 악성 버전을 활용했습니다. 이 경우, 북한 운영자들은 여러 암호화폐를 거래할 수 있는 단일 플랫폼을 제공하는 합법적이고 기능적인 애플리케이션을 개발했습니다. 설치 시 해당 응용 프로그램은 업데이트를 확인한 후 대신 잘 알려진 북한산 원격 액세스 트로이목마(RAT)인 FALLCHILL을 설치했습니다. 이 악성 거래 애플리케이션은 이후 표적화된 암호화폐 거래소의 네트워크에 접근할 수 있도록 지원했습니다. 다만, 이번 사례에서는 공격이 성공했는지 여부는 명확하지 않습니다.

블록체인 분석 기업 체인어널리시스(Chainalysis)는 2019년 3월 싱가포르에 본사를 두고 있는 암호화폐 거래소 드래곤엑스( DragonEx) 에서 유사한 기술을 사용해 여러 암호화폐로 약 $700만 달러를 탈취한 사례를 기록했습니다. 이 경우, 북한 운영자들은 Worldbit-bot이라는 기능적인 자동화된 암호화폐 거래 봇을 제작했으며, 이 봇에는 DragonEx 네트워크에 접근하고 최종적으로 $700만 달러 상당의 코인을 탈취하는 데 사용된 RAT(원격 액세스 툴)이 포함되어 있었습니다.

우리는 암호화폐가 북한에게 독립적이고 규제되지 않은 수익 창출 수단으로서 유용한 도구일 뿐만 아니라, 불법적으로 취득한 자금을 이동하고 사용하는 수단으로도 활용될 수 있다고 평가합니다. 유엔은 "암호화폐 공격이 북한이 해외에서 공격으로 얻은 자금을 더 쉽게 사용할 수 있도록 한다"고 결론지었으며, 북한 주민들은 자금을 추적하려는 시도를 회피하기 위해 수천 건의 거래를 시작하고, 여러 국가를 경유하며, 다양한 암호화폐로 전환하는 등 극단적인 조치를 취하고 있다고 밝혔습니다.

낮은 수준의 IT 업무 및 금융 범죄

2012년경부터 기자, 학자, 연구원들이 진행한 탈북자 인터뷰 시리즈는 외부 세계에 북한 사이버 작전의 목표와 인력 구성에 대한 힌트를 제공했습니다. 탈북자들은 김정은 정권에 수익을 창출하는 것을 주요 목표로 삼은 해외 시설에 거주하는 운영자와 프로그래머로 구성된 북한 운영 체제의 모습을 그려냈습니다.

탈북자들은 김 정권이 수익 창출에 있어 비디오 게임 위조와 사용자 사기 행위가 얼마나 중요한 역할을 하게 되었는지 상세히 밝혔습니다. 중국에서 다른 북한 해커 수십 명과 함께 일했던 한 탈북자는 이 남성들이 연간 약 $100,000를 벌어야 했으며, 이 중 80% 가 김 정권으로 송금되었다고 보고했습니다. 이 요구사항을 충족시키기 위해 남성들은 가짜 비디오 게임을 제작하고, 무기, 포인트, 장비 등 디지털 아이템을 훔치는 봇을 개발해 이를 판매해 이익을 얻었으며, 게임 소프트웨어의 새로운 취약점을 발견하고 판매했습니다. 추가 보고서에 따르면, 북한 해커들이 한국 내 온라인 카지노, 게이머,자동화기기(ATM) 사용자를 대상으로 자금을 조달하기 위해 공격을 가한 것으로 확인되었습니다.

2018년 9월, 월스트리트 저널은 북한 요원들이 UpWork와 Freelancer와 같은 '긱 경제' IT 프리랜서 웹사이트를 통해 전 세계의 무지한 사용자로부터 일감을 모집해 왔다고 보도했습니다. 특히, 일부 업무에는 웹사이트 및 애플리케이션 개발이 포함되었으며, 예를 들어 “캐나다 전자상거래 플랫폼 Shopify에서 대량 구매를 편리하게 하는 봇; 미국 취업 검색 회사용 웹사이트; 그래픽 디자인 프로젝트” 등이 있습니다. 이 경우, 이 북한 주민들은 중국 동북부 지역에 위치한 선양이라는 도시에서 활동하고 있었습니다.

이것은 북한 주민을 해외로 파견해 사이버 작전을 수행하는 것에 크게 의존하지만, 완전히 의존하지는 않는 운영 모델의 모습을 보여줍니다.

금지된 기술 및 지식에 대한 접근 권한 얻기

북한 탈북자들은 또한 외국 국가들이 김 정권의 사이버 작전에 미치는 역할에 대해 광범위하게 언급해 왔으며, 많은 경우 이들은 그 사실을 모르고 있습니다. 사이버 보안 관점에서, 김 정권은 제3국을 국가 후원형 운영자를 훈련시키고 수용하는 데 활용하고 있습니다.

북한은 단순히 제3국을 이용해 사이버 작전 요원을 훈련시키는 데 그치지 않고, 유엔 제재로 금지된 핵 관련 기술을 획득하기 위해 이들을 활용할 가능성도 있습니다. 2017년 9월 조사에서 월스트리트 저널은 북한인들이 특히 중국에서 해외 유학을 통해 "북한의 민감한 핵 활동 확산이나 핵 무기 전달 시스템 개발에 기여할 수 있는 분야"를 공부하고 있음을 발견했습니다. 이 분야에는 "고급 물리학, 고급 컴퓨터 시뮬레이션 및 관련 컴퓨터 과학, 지리 공간 내비게이션, 핵 공학, 항공우주 공학, 항공 공학 및 관련 분야에서의 교육 또는 훈련"이 포함됩니다.

또한, 탈출자들은 사이버 작전 요원들이 대학 졸업 후 해외로 파견되어 고급 훈련을 받는 경우가 많다고 보고했습니다. 탈출자들이 명시적으로 언급한 국가에는 중국, 러시아, 인도 등이 포함됩니다.

운영 모델은 북한 주민을 해외로 파견해 훈련시키고 사이버 작전을 수행하는 방식이, 우리가 분석한 북한 엘리트의 웹 트래픽과 비교할 때 특히 중요해집니다. 우리의 이전 연구에서, 우리는 전 세계 각국에서 북한이 가진 중요한 물리적 및 가상 존재를 식별하기 위한 경험적 방법을 개발했습니다. 해당 지표에는 해당 국가들과의 북한 인터넷 활동이 평균 이상 수준을 기록한 것이 포함되었지만, 동시에 뉴스 매체, 지역 또는 지방 정부, 지역 교육 기관 등 현지 자원의 브라우징 및 이용도 포함되었습니다.

이 기술을 통해 북한 주민이 실제로 거주하거나 거주할 가능성이 있는 국가를 파악할 수 있었습니다. 2019년 한 해 동안 기술과 이 분석을 지속적으로 개선해 왔으며, 2019년 한 해 동안 인도, 중국, 네팔, 케냐, 모잠비크, 인도네시아, 태국, 방글라데시 등 8개국에서 주로 관찰한 활동의 지속성을 확인했습니다. 그러나 이러한 분석은 과거에는 유용했지만, 점차 두 가지 이유로 인해 이들 국가에서의 북한 행동에 대한 실질적인 통찰력을 얻지 못하고 있습니다.

첫째, 북한 지배 엘리트들이 보편적으로 강력한 인터넷 보안 절차를 시행하고 있지는 않지만, 북한 주민과 모든 인터넷 사용자들의 광범위한 추세는 보안을 강화하는 것입니다. 이는 시간이 지날수록 북한의 인터넷 활동을 추적하고 새로운 인사이트를 밝혀내는 것이 더 어려워졌다는 것을 의미합니다.

둘째, 대형 기술 기업들은 DNS, 콘텐츠 전송, 클라우드 서비스 등 점점 더 다양한 서비스를 고객에게 제공하고 있습니다. 네트워크 관점에서 볼 때 일반적인 DigitalOcean, Cloudflare 또는 GoDaddy 인프라 뒤에 있는 최종 콘텐츠를 식별하는 것은 매우 어렵습니다. 포트와 프로토콜조차도 많은 양의 데이터만 제공하며, 종종 디지털오션 박스에서 종료되는 세션은 아무 것도 보여주지 않습니다.

저희의 데이터에 따르면, 중국과 인도 모두 고의든 무의식적이든 북한의 활동을 호스팅하고 지원하는 것으로 계속 평가하고 있습니다. 특히 인도는 계속해서 북한 사이버 작전의 숙주이자 피해자가 될 가능성이 높습니다.

운영 보안

2018년 초, 북한 주민들이 가상 사설 네트워크(VPN), 가상 사설 서버(VPS), 전송 계층 보안(TLS), 토르(Tor) 등과 같은 운영 보안 기술의 사용을 급격히 늘린 것을 발견했습니다. 2018년 말에는 전체 트래픽의 13%에서 5%를 약간 상회하는 수준으로 운영상 보안이 취약한 행동이 완화되었습니다. 북한 지도자들의 보안 브라우징 기술 사용을 모니터링하는 것은 기술적 숙련도와 대응력, 엘리트 행동에 대한 국가 차원의 통제 정도 등 두 가지를 나타내는 지표라고 생각합니다.

2019년, 안전한 브라우징 기술의 사용률은 전체 인터넷 트래픽의 9.5% 로 소폭 회복되었습니다. 그 중에서도 HTTPS는 북한 지도자들이 가장 널리 사용한 프로토콜입니다. 이는 세계 상위 100만 개 웹사이트 중 거의 절반이 기본적으로 HTTPS를 사용하기 때문일 가능성이 높습니다.

2019년 북한 운영 보안 행동에서 관찰된 또 다른 변화는 DNS 터널링의 도입입니다. DNS(도메인 이름 시스템) 는 컴퓨터가 도메인 이름(pyongyangtimes[.]com[.]kp, 예를 들어) IP 주소(175.45.176.67)로. DNS의 원래 목적은 도메인과 IP 주소의 조회 및 매핑을 용이하게 하는 것이었지, 그 과정을 보안하는 것이 아니었습니다. 결과적으로, DNS가 네트워크 운영에 매우 중요하기 때문에 DNS 포트(일반적으로 포트 53)는 열려 있으며, 트래픽은 상대적으로 검열되지 않습니다. DNS 터널링은 DNS 프로세스가 도메인 이름 해결이 아닌 데이터 전송이나 네트워크 또는 장치 간 터널링에 사용되는 것을 말합니다.

북한의 경우, 2019년 중반에 사용자들이 DNS 터널링을 도입한 것을 관찰했습니다. 다시 한 번, DNS는 일반적으로 엄격히 검사되지 않기 때문에 방화벽 및 서비스 제한을 우회하는 데 이상적인 프로토콜이며, DNS 터널링 도구 키트가 널리 사용 가능합니다. DNS 터널링은 새로운 기술은 아니지만, 우리는 이 기술이 최근에야 북한 사용자에 의해 활용되기 시작했다고 판단합니다. 북한의 DNS 터널링 활동과 관련하여, 대부분의 목적지 IP 주소는 Shodan에 의해 VPN 엔드포인트 및 MicroTik 장치로 식별되었습니다. 이는 해당 솔루션이 대체 VPN으로 사용될 목적으로 설계되었을 가능성이 높음을 나타냅니다.

DNS 터널링은 대부분의 일반 인터넷 사용자에게 익숙한 기술이 아니기 때문에, 이 특정 기술을 사용하면 일부 북한 엘리트 인터넷 사용자가 얼마나 기술에 능숙한지 알 수 있습니다. 경영진이 DNS 터널링을 도입하는 데에는 두 가지 이유가 있을 수 있습니다:

  1. 침입 활동을 난독화합니다. DNS 터널링은 피해 네트워크에서 데이터를 유출하거나 감염된 엔드포인트와 명령 및 제어(C2) 서버 간의 통신 채널을 만드는 데 사용될 수 있습니다. 대부분의 조직은 네트워크 연결을 원활하게 하기 위해 허용적인 DNS 보안 정책을 사용하기 때문에 DNS를 통한 악의적인 통신은 차단되거나 식별될 가능성이 적습니다.
  2. 정부가 부과한 보안 조치나 콘텐츠 제한을 우회하기 위해. 북한의 인터넷 사용자들은 김정은 정권의 최고 지도부 계층에 속해 있지만, 일부는 김정은 정권이 허용하지 않는 콘텐츠에 접근하고 싶어할 수 있습니다. 예를 들어, 2016년에 김정은 정권이 국내 사용자들이 페이스북, 유튜브, 트위터에 접근하는 것을 차단하기 시작했다는 것을 알고 있습니다. 그러나 네트워크 트래픽 분석을 통해, 우리는 그 이후로 북한 사용자들이 해당 플랫폼에 접속하는 것을 관찰해 왔습니다. DNS 터널링은 더 숙련된 인터넷 사용자들이 이러한 콘텐츠 제한이나 다른 보안 조치를 우회하기 위해 일반적으로 제한되지 않는 프로토콜을 사용하는 방법일 수 있습니다.

북한 인프라를 표적으로 하는 DDoS 공격

북한 웹사이트가 서비스 거부(DoS) 또는 분산 서비스 거부(DDoS) 공격의 표적이 되는 것은 드문 일이 아닙니다. 예를 들어, 5월 28일에 평양 타임즈, 내나라 및 여러 북한 보험 회사의 웹사이트를 호스팅하는 175.45.176.67은 초당 최소 550메가비트의 속도로 관측된 DNS 트래픽 수준이 최고조에 달하면서 1시간 동안 지속된 디도스 공격의 표적이 되었습니다. DNS 플러딩은 북한 인프라를 공격하는 데 가장 많이 사용되는 디도스 유형입니다.

2019년 4월 말부터 우리는 전 세계 161개 이상의 국가에서 발생한 장치들로부터 단일 북한 IP 주소를 대상으로 한 조율된 연결 없는 LDAP(CLDAP) 활동의 급증으로 특징지어지는 독특한 유형의 DDoS 공격을 관찰했습니다. 활동은 북한 현지 시간으로 정오경에 시작되어 약 25분 동안 진행되었으며, CLDAP 트래픽 수준은 관측된 속도 기준으로 최소 1.5 기가비트 초당(Gbps)까지 급증했습니다. 이는 북한 본토에 호스팅된 IP 주소 공간에서 관측된 일일 평균 수준보다 수십 배에서 수백 배에 달하는 수치입니다.

CLDAP는 일반적으로 기업 네트워크에서 디렉토리 서비스(예: 액티브 디렉토리에서 사용자 이름 및 비밀번호에 액세스하는 것)에 사용됩니다. 그러나 2016년과 2017년에 보안 업체들은 CLDAP 및 LDAP가 DDoS 공격에 악용되는 사례를 발견하기 시작했습니다. CLDAP를 통해 DDoS 공격을 수행하는 기술은 공격자가 CLDAP 요청에서 자신의 소스 IP 주소를 공격 대상의 IP 주소로 대체한 후, 연결 없는 LDAP 서비스를 실행 중인 공개 리플렉터 서버에 요청을 전송하는 것만 필요합니다. 위조된 주소는 CLDAP 반사 서버를 속여 CLDAP 응답을 요청자에게 되돌려 보내는 대신 원래 목표 대상에게 전송하도록 합니다.

또한 CLDAP 요청 패킷의 평균 크기가 약 80 바이트이며, 이에 대응하는 응답 패킷의 평균 크기는 약 1,472 바이트임을 관찰했습니다. 이것은 공격자들이 DDoS 공격이 진행된 40분 동안 약 18배의 증폭 요인을 달성했음을 의미합니다. 2017년 인터뷰에서 Akamai의 보안 대응 담당자는 그들이 관찰한 가장 큰 CLDAP 공격이 초당 3기가비트의 속도를 달성했으며, 해당 규모의 공격은 "작은 사이트를 오프라인으로 만들기에 충분하며 다른 사이트에서 지연 문제를 일으킬 수 있다"고 평가했습니다.

우리가 관찰한 공격 속도는 초당 1.5기가비트로, 최소한 북한의 공공 인터넷 인프라에 장애를 일으키기에 충분한 수준이라고 평가합니다.

북한-북한-인터넷-도구-5-1.png

2019년 4월 말, 북한의 글로벌 인터넷 기반 시설에 사용된 반사적 디도스 증폭 공격 방법론의 최상위 다이어그램. 또한 2019년 5월 7일 오전에 40분 남짓 지속된 공격과 다음 날인 5월 8일 저녁에 약 1시간 동안 지속된 두 건의 반사적 CLDAP 디도스 증폭 공격도 추가로 확인했습니다. 이 두 가지 공격 모두 사용된 고유 CLDAP 리플렉터 서버의 수는 훨씬 작았지만, 데이터 크기의 상대적 CLDAP 증폭 계수는 18배로 일관되게 유지되었습니다. 흥미로운 점은 5월 8일 공격에 사용된 거의 모든 리플렉터 서버가 하루 전 북한 IP를 대상으로 한 공격에도 사용되었다는 점입니다. 또한, 사용된 리졸버의 총 개수에는 큰 차이가 없지만, 5월 7일 공격에 사용된 리졸버의 62%가 이전 4월 23일 공격에도 사용된 것으로 밝혀졌습니다.

공격
날짜(줄루어)
최대 활동 기간
DDoS 증폭 계수
관측된 총 CLDAP 리플렉터 사용 개수
공격 1
23/04/2019
40분
18.88
10529
공격 2
06/05/2019
41분
18.35
1338
공격 3
07/05/2019
61분
18.34
598

4월 또는 5월 공격을 누가 실행했는지에 대한 정보는 없습니다. 다시 말하지만, 북한에 대한 디도스 공격은 드문 일이 아니며, 프로토콜과 공격 속도의 독특성 때문에 이 공격을 조사하기로 결정했습니다.

북한 보험 산업

우리는 북한이 2019년부터 보험 산업을 디지털화하고 국제화하기 시작했으며, 이는 아마도 외국인 투자를 늘리거나 김 정권을 위한 부정한 수익을 창출하기 위한 방법일 수 있다고 평가합니다.

NK News에 따르면, 북한에는 5개의 보험사가 있습니다:

  1. 1947년 설립된 대한손해보험(KNIC), 일반 보험
  2. 레인보우 중개, 2015 년 5 월 설립, 화재, 모터, 계약자, 기계 고장, 생명, 여행, 개인 사고, 관광객, 재보험
  3. 삼해상사, 2016년 10월 설립, 해상선체, 화물, 배상책임, 항공 전문 보험사
  4. 2016년 8월에 설립된 폴스타 보험 회사는 화재, 엔지니어링, 신용 및 농업 분야의 보험 및 재보험 서비스를 제공합니다.
  5. 2017년 10월에 설립된 퓨처 리 컴퍼니, 시설 및 조약 재보험사

2017년 8월, 유엔은 KNIC를 제재 대상 기관으로 지정했습니다. 이는 KNIC가 정찰총국(RGB)의 39호실과 연관되어 있으며, 북한 미사일 프로그램 자금 조달과 관련된 보험 사기 사건에 관여했기 때문입니다. 설립된 지 수년이 지났음에도 불구하고, 우리 데이터에 따르면 마지막 네 개의 보험사는 2018년 말과 2019년 초까지 글로벌 인터넷에 존재하지 않았습니다.

작년에 삼해, 폴스타, 퓨처 리는 모두 글로벌 인터넷 웹사이트와 메일 서버를 인수했습니다. 2019년 11월 현재 세 회사의 웹사이트는 모두 175.45.176.67에서 호스팅되고 있습니다. 퓨처 리는 2018년 12월 말 175.45.176.20에 메일 서버를 구축했는데, 이 메일 서버는 2001년 북한 최초의 인터넷 서비스 제공업체(ISP)가 된 중국 선양에 본사를 둔 인터넷 기업 실리뱅크의 메일 서버를 호스팅하는 서버이기도 합니다. 실리뱅크는 여전히 북한 고객을 위한 이메일 서비스를 제공하고 있으며, 레인보우 중개업체는 웹페이지에 실리뱅크 도메인을 이메일 연락처로 표시하고 있습니다.

북한-북한-인터넷-도구-6-1.jpg

2019년 7월 NK News가 촬영한 Rainbow Intermediaries 웹사이트의 스크린샷. 전 세계 4개 보험사의 인터넷 인프라가 지난 1년 이내에 구축되었습니다. 또한, 우리 데이터는 2019년 2월 이후 인도, 러시아, 이란의 사용자로부터 Future Re 메일 서버 및 Samhae, Polestar, Future Re 웹사이트로의 트래픽이 증가하고 있음을 보여줍니다. 독립된 기업체라고 보기 어려운 네 보험사의 디지털 흔적은 모두 동일한 인터넷 인프라에서 운영 및 관리되고 있으며, 이는 단일 국가 주도의 노력으로 추정됩니다.

2018년 12월, 폴스타의 김경훈 회장은 회사가 북한 전역에 11개 지점과 70개 지역 사무소를 설립했으며, "국제적으로 유명한 보험 회사들과 네트워크를 구축함으로써 국제 시장으로 서비스를 더욱 확장할 계획"이라고 밝혔습니다. 同様に, 삼해보험의 회장은 한국 언론에 해당 회사가 북한 내 주요 항구 도시, 어업 기지, 교통 기지 등에 지점과 대리점을 두고 있으며, 2018년 11월부터 어선 재보험 업무를 시작했다고 밝혔습니다.

그러나 북한 보험사들이 흥미로운 주제로 떠오르는 이유는 그들이 김 정권에 자금을 조달하는 데 역사적으로扮演한 역할과 외국 투자를 유치하는 데 필수적이라는 점 때문입니다. 2017년, 북한 외교관 출신 탈북자는 김 정권이 KNIC를 통해 보험 사기로 연간 수천만 달러를 벌어들이는 방법을 설명했습니다:

"북한에는 국영 보험사가 하나밖에 없기 때문에 사고를 조작해도 이를 검증할 방법이 없습니다. 국가 기반 시설에 대한 국제 보험이나 재보험에 가입한 후 (사고 혐의에 대한) 문서를 위조해 국가가 연간 수천만 달러를 벌어들이고 있습니다."

30년간, 주요 국영 보험사인 KNIC는 국제 재보험사들과 체결한 재보험 계약을 악용해 허위 보험금 청구서를 제출하고 김 정권에 수천만 달러를 부당하게 챙겨왔습니다. 《더 타임스》에 따르면, 2014년 KNIC의 글로벌 자산은 £787억 파운드, 즉 약 $13억 달러에 달했습니다.

북한의 보험 사기 사례를 검증하기는 어렵지만, 지난 10년간 발생한 몇 가지 사례는 이 사기의 규모를 추정할 수 있게 해줍니다. 2011년, 말레이시아와 북한 합작 건설 회사가 우간다 수도의 교외 지역에 213채의 콘도미니엄을 건설하는 $1800만 달러 규모의 계약을 수주했습니다. 다음 1년 동안 건설 회사는 과대평가된 보험 계약을 연속으로 구매했으며, 공사 시작 전 20% 를 선지급으로 받았습니다. 수년간의 협상, 소송, 그리고 사기 의혹 끝에 2018년, 북한 소유의 건설 회사와 우간다 주택 당국은 콘도미니엄을 완공하지 않고 수백만 달러의 보험금을 청구한 채 프로젝트에서 철수했습니다.

가장 유명한 사례 중 하나에서, KNIC는 2005년 평양에서 발생한 헬리콥터 추락 사고로 인해 긴급 구호 물품을 보관하던 창고가 파괴된 데 따른 손해배상 청구소를 제기했습니다. KNIC는 국제 보험사 컨소시엄을 통해 해당 화물을 약 $6000만 달러 상당으로 보험에 가입했습니다. 보험사들은 과대평가된 재산 피해와 의심스러운 서류 제출을 이유로 수년간 보상 지급을 거부했으나, 결국 KNIC와 약 $5700만 달러에 합의했습니다. 당시 북한은 서방 보험사들과 약 $150억 달러에 달하는 여러 건의 보상 청구권을 주장하고 있는 것으로 추정되었습니다.

일부 중국 투자자들에 따르면, 이 추가 보험사들은 북한 투자에 대한 신뢰를 높이는 효과도 있을 수 있습니다. 구체적으로, “새로운 보험 중개업체는 북한 경제 내 상업 서비스 분야에서 복잡성과 경쟁이 심화되고 있음을 보여주고 있습니다.”

북한 정권이 2019년 한 해 동안 나머지 4개 국영 보험사의 접근성을 높이는 데 집중한 것은 2017년 KNIC 제재 이후 보험 사기를 수익 창출 수단으로 활성화하고 잠재적인 대북 투자자들을 안심시키기 위한 시도로 보입니다.

전망

지난 2년 반 동안 우리 연구팀은 북한 최고 지도부의 디지털 생활에 대한 전례 없는 통찰을 제공해 왔습니다. 우리는 미국과 북한 관계의 독특한 시기에 걸쳐 리더십 활동을 추적하고 분석했습니다. 이 기간에는'최대 압박'캠페인 기간, 미사일 발사 및 시험 활동이 가장 활발했던 시기, 그리고 미국과 북한 지도자 간의 첫 번째 정상회담 시리즈가 포함됩니다.

이 연구 시리즈의 핵심은 북한의 고위 지도층이 얼마나 적응력이 뛰어나고 혁신적인지를 보여주는 것입니다. 새로운 서비스나 기술이 유용할 때는 빠르게 수용하고, 그렇지 않을 때는 과감히 버립니다. 김 정권은 인터넷을 이용하고 악용하는 독특한 모델을 개발했는데, 이는 마치 범죄 조직처럼 운영되는 국가입니다.

북한은 또한 다국적 기구와 서방의 제재를 회피하기 위해 새롭고 창의적이며 혁신적인 인터넷 기반 모델을 개발했습니다. 이 모델에는 은행 강도나 사기 같은 노골적인 범죄와 암호화폐 채굴, 프리랜서 IT 작업 같은 비범죄 활동을 통한 수익 창출이 모두 포함됩니다.

이 모델은 또한 북한 핵 및 탄도 미사일 프로그램 개발을 가능하게 하는 지식과 기술, 그리고 사이버 작전을 수행할 수 있는 능력을 획득하는 데 사용될 수 있는 수단을 제공합니다. 가장 기본적으로, 북한은 인터넷을 제재 회피 수단으로 활용하는 독특하지만 예외적이지 않은 모델을 개발했습니다. 이 모델은 독특하지만 재현 가능하며, 가장 우려스러운 점은 다른 재정적으로 고립된 국가들이 인터넷을 제재 회피에 활용하는 방법을 보여주는 사례가 될 수 있다는 점입니다.

우리는 다른 고립된 국가들이 수익을 창출하고 자국의 제재를 회피하기 위해 북한이 활용하는 것과 동일한 범죄 및 비범죄 기법을 사용하기 시작할 것이라고 믿습니다.

예를 들어, 2019년 동안 우리는 이란이 국제 결제 수단으로 암호화폐를 활용하고 미국 금융 제재를 회피하기 위한 수단으로 암호화폐를 추구하기 시작했다고 평가합니다. 1월 뉴욕 타임스 기사에 따르면, 유럽과 아시아의 기업 관계자들이 이란 기업에 대한 결제 수단으로 암호화폐 사용에 대해 "점차 협력적"이며 지지적인 태도를 보이고 있다고 합니다. 7월에는 이란 정부가 금으로 뒷받침되는 국내 암호화폐를 발표했으며, 8월에는 암호화폐 채굴을 산업으로 합법화했습니다.

네트워크 방어 권장 사항

레코디드 퓨처는 조직이 네트워크에서 북한의 잠재적 활동을 식별할 때 다음과 같은 조치를 취할 것을 권장합니다:

참고: 앞서 언급한 포트는 해당 암호화폐에 대해 구성된 기본 포트입니다. 암호화폐 채굴 소프트웨어가 기본 포트를 재정의하도록 수정되었을 가능성이 높습니다. 또한 기업 구성에 따라 다른 서비스도 나열된 포트에서 작동하도록 구성될 수 있으므로 나열된 포트의 네트워크 트래픽에 대한 IDS 및/또는 IPS 알림이 오탐을 생성할 수 있습니다.

또한 다음과 같은 일반적인 정보 보안 모범 사례 가이드라인을 따를 것을 권장합니다: