변화하는 인터넷 사용 패턴을 통해 북한 지배 엘리트의 적응력과 혁신성을 엿볼 수 있습니다.

변화하는 인터넷 사용 패턴을 통해 북한 지배 엘리트의 적응력과 혁신성을 엿볼 수 있습니다.

_범위참고: 인식트 그룹은 다양한 도구를 사용하여 타사 데이터, IP 지리적 위치, BGP(국경 게이트웨이 프로토콜) 라우팅 테이블, 오픈 소스 인텔리전스(OSINT)를 분석하여 북한 고위 지도부의 인터넷 활동을 조사했습니다. 이 보고서를 위해 분석된 데이터는 2018년 3월 16일부터 2018년 8월 30일까지의 데이터입니다.

이 보고서는 기술, 금융, 국방, 암호화폐, 물류 분야의 정부 부처와 조직, 그리고 북한의 제재 우회, 불법 자금 조달, 국가가 후원하는 사이버 스파이 활동을 조사하는 기관에서 가장 큰 관심을 가질 것입니다.

Executive Summary

지난 1년 반 동안 레코디드 퓨처는 북한 최고 지도부의 행동에 대한 독특한 통찰력을 보여주는 일련의 연구 자료를 발표했습니다. 우리는 북한의 지배 엘리트들이 기술에 능숙하고, 구형 및 최첨단 컴퓨터, 휴대폰, 기기를 모두 사용하며, 인터넷을 제재 회피의 도구로 사용하고, 최근에는 서구 소셜 네트워크 서비스보다 중국 소셜 네트워크 서비스를 수용하는 방향으로 전환하고 있다는 사실을 발견했습니다.

이번 시리즈의 마지막 글에서는 인터넷 보안, 소셜 미디어 사용, 암호화폐의 지속적인 동향을 살펴보고, 북한이 인터넷을 이용해 김 정권의 수익을 창출하는 방식에 대한 더 깊은 통찰을 공개합니다. 특히, 지배 엘리트의 인터넷 사용 패턴의 변화는 북한의 최고위 지도층이 얼마나 적응력이 뛰어나고 혁신적인지 보여줍니다. 김정은 정권은 독특한 인터넷 사용 및 활용 모델을 개발했으며, 지도부는 새로운 서비스나 기술이 유용할 때는 빠르게 수용하고 그렇지 않을 때는 과감히 버립니다.

주요 판단

배경

2017년 4월 이후 진행된 우리 연구 결과에 따르면, 북한 최고 지도부 중 극히 일부만 글로벌 인터넷에 직접 접근할 수 있는 권한을 보유하고 있습니다. 북한의 인터넷 사용자 수에 대한 신뢰할 수 있는 통계는 없지만, 기자들은"매우적은 수"에서"북한 지도부의 핵심층"까지, 또는 " 단 몇십 가구"에 이르는 다양한 추산을 내놓고 있습니다. 정확한 숫자와는 무관하게, 북한 인터넷 사용자의 프로필은 명확합니다: 그들은 통치 계급의 신뢰받는 구성원이나 가족 구성원입니다.

북한 엘리트들이 글로벌 인터넷에 접속하는 방법은 크게 세 가지입니다. 첫 번째 방법은 할당된 .kp 도메인을 사용하는 것입니다. 범위인 175.45.176.0/22로, 국내 유일의 인터넷 액세스 가능 웹사이트를 호스팅합니다. 여기에는 co.kp, gov.kp, edu.kp 등 9개의 최상위 도메인과 다양한 북한 국영 미디어, 여행 및 교육 관련 사이트의 약 25개의 하위 도메인이 포함됩니다.

두 번째 방법은 중국 넷콤(China Netcom)에서 할당된 범위인 210.52.109.0/24를 통해 이루어집니다. "KPTC"는 한국우편통신공사(Korea Posts and Telecommunications Co.)의 약칭으로, 국가에서 운영하는 통신 회사입니다. 세 번째 방법은 러시아 위성 회사에서 제공한 할당된 범위 77.94.35.0/24를 통해 이루어집니다. 이 범위는 현재 레바논의 SatGate로 해결됩니다.

기록된 미래 타임라인

2018년 3월부터 8월까지 북한 IP와 관련된 사건의 타임라인.

또한, 4월에 이미 확인한 바와 같이, 175.45.176.0/22 해당 범위는 중국 유니콤(AS4837)과 러시아의 트랜스텔레콤(AS20485)에 의해 모두 라우팅됩니다. 이 범위(175.45.176.0/24)의 네 개의 서브넷 중 175.45.177.0/24, 175.45.178.0/24 및 175.45.179.0/24), 우리는 계속해서 175.45.178.0/24 네트워크만 관찰했습니다. TransTelekom을 통해 경유되고 있으며, 나머지 세 개는 중국 유니콤에 의해 독점적으로 경유되고 있습니다.

참고: 이 시점부터 '북한의 인터넷 활동' 또는 '행동'은 북한 국내 인트라넷(광명)이 아닌 일부 지도자와 지배 엘리트에게만 접속이 허용된 글로벌 인터넷 사용을 의미합니다. 이 데이터는 광명이나 북한에 위치한 외교 및 외국 기관에 대한 접근이 허용된 특권층 북한인들의 인트라넷 활동이나 행동에 대한 통찰력을 제공하지 않습니다.

일관된 인터넷 사용량 - 2017년 4월 이후 패턴 변화

북한 지도자들의 뚜렷한 일일 인터넷 사용 패턴은 2017년 4월 이후 일관되게 유지되고 있습니다. 일반적으로 활동이 가장 많은 시간은 대략 오전 8시부터 오후 8시 또는 오후 9시까지입니다.

일일 인터넷 사용량

2018년 3월부터 8월까지의 시간별 일일 인터넷 사용량(평균이 아님).

하지만 시간이 지남에 따라 활동량이 가장 많은 시기가 바뀌고 있습니다. 2017년에는 토요일과 일요일이 꾸준히 가장 많은 활동을 보인 요일이었습니다. 특히 토요일 밤과 일요일 이른 아침에는 주로 온라인 게임이나 콘텐츠 스트리밍으로 인해 트래픽이 가장 많이 발생했습니다. 2018년 한 해 동안 패턴이 변화하여 전통적인 근무일(월요일부터 금요일까지)의 인터넷 사용량은 증가한 반면 주말 사용량은 감소했습니다. 토요일과 일요일에는 여전히 콘텐츠 스트리밍과 게임이 주를 이루지만, 전체 주간 인터넷 사용량에서 차지하는 비중은 작년에 비해 감소했습니다.

일일 인터넷 사용량

2018년 3월부터 8월까지 시간 및 일별 일일 인터넷 사용량(평균이 아님).

일일 인터넷 사용량

2018년 3월 이전부터의 시간별 일일 인터넷 사용량(평균이 아님).

이 변화의 원인은 아직 명확하지 않지만, 시간이 지나면서 이루어진 이 조정은 인터넷 사용이 북한 지도자들의 업무일과에서 더 큰 부분을 차지하게 되었음을 보여줍니다. 2018년 8월, 북한은 평양에 위치한 새로운 인터넷 통신국 본청의 외부 공사를 완료했습니다. 북한 기술에 따르면, 새로운 본사의 목적은 명확하지 않지만, 글로벌 인터넷 접근에 초점을 맞출 가능성이 있습니다.

새 건물이 평양과 더 큰 글로벌 인터넷 연결을 촉진하는 데 일부 역할을 할 것으로 보이지만 정확한 역할은보고되지 않았습니다. 아마도 북한이 웹에 보유한 소수의 사이트를 제공하는 서버를 보유하거나 북한과 전 세계로 흐르는 모든 트래픽을 모니터링하고 제어하는 게이트웨이 센터로 사용될 수 있습니다.

이러한 사용 패턴의 변화는 인터넷 통신국 본부 완공과 함께 북한 고위 지도층의 인터넷 사용이 전문화되고 있음을 의미할 수 있습니다. 이는 이러한 리더들이 인터넷을 오락을 위한 것이 아니라 업무의 일부로 더 많이 활용한다는 것을 의미합니다.

운영 보안 행동 완화

지난 4월 분석에서 북한 인터넷 사용자들 사이에서 두 가지 극적인 행동 트렌드를 발견했습니다. 첫 번째는 가상 사설망(VPN), 가상 사설 서버(VPS), 전송 계층 보안(TLS), 토르(Tor) 등 운영 보안 기술의 사용이 눈에 띄게 증가했다는 점입니다. 4월에는 북한 지도자들의 이러한 서비스 사용이 1,200% 증가하여 주로 보호되지 않은 인터넷 활동을 하던 이전 행태에서 크게 벗어난 것을 확인했습니다.

그 이후로 운영 보안 조치의 급증은 완만해졌습니다. 2018년 초, 난독화된 브라우징은 북한 지도부의 전체 인터넷 활동 중 13%를 차지했습니다. 2018년 9월에는 그 비율이 5%를 조금 넘는 수준으로 감소했습니다. 이전에는 VPN 기술 사용이 난독화된 인터넷 활동의 63%를 차지했습니다. 이후 6개월 동안 북한 지도부의 VPN 사용은 난독화된 활동의 50% 수준으로 감소했습니다. HTTPS(포트 443을 통한) 또는 보안 브라우징의 사용은 운영상 보안 브라우징의 49%로 증가했습니다. 하지만 전체적으로는 VPN 사용 감소가 난독화 브라우징 감소의 대부분을 차지했습니다.

우리 데이터에서는 북한 지도자들의 VPN 사용 감소의 원인이 명확히 드러나지 않습니다. 한 편으로는 일부 VPN 프로토콜은 계산량이 많거나 신뢰성이 낮을 수 있으며, 대부분 구독이 필요 하고 정기적인 결제 요금이 부과되며, 많은 경우 기기 제한이 있거나 여전히 암호화폐 결제를 지원하지 않습니다. 반면, 대부분의 VPN 서비스 제공업체는 애플리케이션과 사용하기 쉬운 설정 안내서를 제공합니다. 또한 VPN의 가격은 크게 하락해 사용자들이 신뢰할 수 있는 VPN을 월 $3부터 이용할 수 있게 되었습니다.

가장 가능성이 높은 것은 북한 인터넷 사용자들이 외부의 자극이나 요구로 인해 처음에 더 강력한 인터넷 개인 정보 보호 방법을 채택했을 가능성이 높습니다. 올해 4월, 우리는 이러한 행동 변화가 북한의 인터넷 및 미디어 활동에 대한 국제적 관심 증가, 공식적인 금지 조치의 새로운 시행 또는 새로운 작전 보안 요구 사항의 결과일 가능성이 높다고 평가했습니다.

북한 사용자에 대한 요구 사항 또는 정책의 부과가 인터넷 보안의 급격한 증가에 이어 이번 조치가 내려진 가장 큰 원인으로 보입니다. 이 요구 사항으로 인해 북한 지도부 사용자들의 보안 조치가 급증했지만, 시간, 비용, 접근성 등의 비용이 이점을 능가하기 시작하면서 시간이 지남에 따라 서서히 줄어들었습니다.

2018년 초부터 중국 소셜 미디어 사용 지속

2018년 초, 우리는 북한 주민들이 서구의 소셜 미디어와 서비스에서 거의 완전히 벗어나 중국 소셜 미디어와 서비스로 이동하는 것을 목격했습니다. 이러한 변화는 2017년 말부터 2018년 초까지 6개월에 걸쳐 이루어졌습니다. 북한 지도부 사용자들은 페이스북, 인스타그램, 구글과 같은 서비스에서 갑자기 바이두, 알리바바, 텐센트와 같은 중국 기업이 운영하는 서비스로 전환했습니다.

2018년 3월 1일 이후 서구 소셜 미디어 및 서비스에서 이탈하는 현상이 지속되고 있습니다. 북한 지도자들은 서방이나 중국 등 다른 어떤 서비스보다 알리바바를 두 배 이상 많이 사용합니다. Alibaba에서의 활동에는 비디오 및 게임 스트리밍, 검색, 쇼핑이 포함됩니다.

제공자 시간별 활동

2018년 3월 1일부터 2018년 8월 28일까지 8개 소셜 네트워킹, 쇼핑, 검색 사이트의 시간별 활동량(실제). 제공업체는 인기도별로 Alibaba(최고)부터 Instagram(최저)까지 나열됩니다.

대부분의 미국 서비스에서 북한 지도부의 사용량이 지속적으로 감소한 반면, 2018년 4월 이후 LinkedIn의 사용량은 증가한 것으로 나타났습니다. LinkedIn의 활동량은 2017년 7월에 페이스북이나 인스타그램에서 관찰된 수준보다 낮았습니다. 그러나 LinkedIn의 사용은 2018년 8월 이 데이터 세트가 종료될 때까지 정기적으로 지속되었습니다. 이 트래픽 수준은 2017년의 Facebook 사용자보다 현재 LinkedIn 사용자가 훨씬 적다는 것을 나타내지만, 서구의 소셜 네트워킹 서비스에서 지속적으로 이탈하는 움직임에 대한 흥미로운 반증을 보여줍니다.

암호화폐 악용 증가

이전 연구에서 저희는 북한 지도자들이 제한적이거나 상대적으로 작은 규모이긴 하지만 비트코인과 모네로를 모두 채굴하고 있다는 사실을 발견했습니다. 이 기간(2018년 3월부터 2018년 8월까지)의 트래픽 양과 피어와의 통신 속도는 두 코인 모두 작년과 동일했으며, 해시레이트나 빌드는 아직 확인할 수 없었습니다. 이러한 특정 채굴 노력은 아직 규모가 작고 소수의 컴퓨터로 제한되어 있을 가능성이 높다고 생각합니다.

그러나 2018년 3월부터 2018년 8월까지 이 기간 동안 극적으로 변화한 것은 북한이 암호화폐, 자산 기반 '알트코인', 암호화폐 생태계를 악용했다는 점입니다.

2018년 6월, 우리는 Interstellar, Stellar 또는 HOLD 코인으로 알려진 알트코인과 연관된 여러 노드에서 다수의 연결과 대규모 데이터 전송을 발견하기 시작했습니다. HOLD 코인은 "알트코인"으로 알려져 있으며, 이는 비트코인을 제외한 모든 암호화폐를 지칭하는 용어로, 모네로, 이더리움, 라이트코인 등 일부 잘 알려진 널리 사용되는 코인들도 포함됩니다. 알트코인은 1,000개가 넘으며, 대부분은 비트코인 프레임워크의 변형입니다.

2018년 초, 홀드 코인은 스테이킹이라는 이자 및 초기 수익을 창출하는 과정을 거쳤습니다. 스테이킹은 사용자가 초기 코인을 채굴하지만 일정 기간 동안 거래가 허용되지 않는 것을 말합니다. 그런 다음 코인은 가치와 사용자 기반을 구축할 수 있으며, 코인 개발자는 특정 시점에 거래할 수 있는 지갑을 규제하여 코인의 가치를 제어할 수 있습니다. 신규 또는 잘 알려지지 않은 알트코인의 스테이킹에 참여하는 것은 개발자가 스테이킹 기간을 통제하고 코인 가치가 하락하면 많은 사용자가 투자금을 잃고 스테이킹한 코인을 거래할 수 없을 정도로 거래를 제한할 수 있기 때문에 위험할 수 있습니다.

2018년 동안 HOLD 코인은 여러 거래소에 상장 및 상장 폐지되었으며, 2018년 8월에 스왑 및 리브랜딩을 진행했습니다(새로운 이름은 HUZU입니다). 이 문서 작성 시점 현재, HOLD 투자자들은 방치된 상태입니다. 우리는 낮은 신뢰도로 북한 사용자가 Interstellar, Stellar 또는 HOLD 알트코인과 관련이 있었다고 평가합니다.

편집자 주: 보고 기간 말미에 HOLD에서 HUZU로 브랜드가 변경되었음을 명확히 하기 위해 위 문단을 수정했습니다.

저희가 높은 신뢰도를 가지고 평가하는 다른 블록체인 사기가 북한을 대신하여 수행된 것으로 보이는 사례를 최소 한 건 이상 발견했습니다. 마린 체인 플랫폼이라는 블록체인 애플리케이션이었습니다.

2018년 8월, 비트코인 포럼 몇 곳에서 마린 체인(Marine Chain)이 암호화폐로 논의되는 것을 발견했습니다. 마린 체인(Marine Chain)은 자산 담보형 암호화폐로, 다수의 사용자 및 소유주들이 해상 선박을 토큰화할 수 있도록 지원하는 플랫폼으로 알려졌습니다. 다른 포럼의 사용자들은 www[.]marine-chain[.]io www[.]shipowner[.]io 사이트와 거의 동일한 복사본이었습니다.

웹사이트 스크린샷

2018년 4월 marine-chain[.]io 및 shipowner[.]io의 스크린샷 포럼 참가자들에 의해 제공되었습니다.

도메인 등록 내역

marine-chain[.]io의 도메인 등록 내역.

Marine-chain[.]io는 등록 이후로 4개의 서로 다른 IP 주소에서 호스팅되어 왔습니다. 2018년 4월 9일부터 2018년 5월 28일까지 marine-chain[.]io는 104[.]25[.]81[.]109에 등록되었습니다. 이 기간 동안 이 IP 주소는 폐쇄된 암호화폐 뉴스 사이트인 allcryptotalk[.]net을 호스팅하기도 했습니다. 2015년 6월 이후 새로운 콘텐츠를 게시하지 않은 웹사이트와 사기성 이진 옵션 거래 회사인 Binary Tilt의 웹사이트입니다. 이 회사는 캐나다 온타리오 주 정부에 의해 사기 업체로 지정되었으며, 이 사이트에 수십 명의 사용자가 수만 달러에서 수십만 달러에 달하는 손실과 사기 사례를 증언하는 게시물을 올렸습니다.

Marine Chain 웹사이트는 더 이상 접속되지 않지만, 과거에 Marine Chain Platform이라는 회사에서 운영되었습니다. 링크드인 페이지 외에는 온라인 존재감이 거의 없었으며, 고객 후기나 직원 수도 매우 적었습니다. 마린 체인(Marine Chain)의 링크드인 페이지에는 2017년 5월부터 마린 체인 플랫폼(Marine Chain Platform)의 CEO 자문역으로 활동하며 자신을 '해운 산업 블록체인 전문가'라고 주장하는 토니 워커(Tony Walker)라는 인물과 밀접하게 연관되어 있었습니다.

2018년 10월 1일, LinkedIn에서 'Marine Chain Platform'을 검색했을 때 또 다른 자문위원으로 최효명(HyoMyong Choi)이라는 이름이 나타났습니다. 최 씨는 자신을 한국에서 암호화폐 투자자, ICO 자문가, 엔젤 투자자로 등록했습니다. 그는 또한 다른 회사인 InnoShore, LLC의 최고운영책임자(COO)로 동시에 재직 중이라고 기재했습니다.

LinkedIn 프로필

2018년 10월 1일자 최효명 님의 LinkedIn 프로필입니다.

LinkedIn 프로필

2018년 10월 15일자 최효명 님의 LinkedIn 프로필입니다. 이 스크린샷에서 최 씨는 마린 체인 플랫폼과 이노쇼어, LLC의 경험을 모두 삭제했습니다.

워커 씨와 최 씨는 모두 싱가포르 국립대학교를 다녔다고 주장하며 동일한 지지자를 다수 보유하고 있습니다. 최 씨는 (가짜로 추정되는) 페이스북 페이지에서 알 수 있듯이 아드리안 옹이라는 이름으로도 알려져 있습니다. 이 계정은 2018년 3월에 생성되었으며, 프로필 사진은 한국 학생들의 미국 및 영국 대학 진학을 돕는 한국 기업의 직원으로부터 도용되었습니다.

페이스북 페이지

최효명 또는 아드리안 옹의 페이스북 페이지(피해자의 프라이버시 보호를 위해 얼굴은 검게 처리됨).

최 씨(옹 씨)에게는 동남아시아에 거주하는 대규모 소셜 네트워크를 가진 친구가 두 명뿐이었습니다. 이 두 계정을 제외하고는 최 씨(또는 옹 씨)는 다른 온라인 활동은 없습니다.

우리가 추적할 수 있었던 다른 주요 마린 체인 플랫폼 직원은 CEO인 존athan Foong Kah Keong 대위였습니다. 그의 LinkedIn 프로필에 따르면, 캡틴 푼은 싱가포르 해운 산업에서 수십 년간 활발히 활동해 왔습니다. 현재 그는 링크드인 프로필에 Marine Chain에서의 직위를 기재하지 않고 있지만, 지난 1년간 다양한 행사에서 강연했으며, Marine Chain에서의 직위나 marine-chain[.]io의 창립자라는 직함을 반복적으로 언급해 왔습니다.

포럼 스크린샷

2018년 4월에 해운 산업과 블록체인에 관해 참석한 포럼의 스크린샷으로, 자신의 직함이 marine-chain[.]io의 CEO로 표시되어 있습니다.

캡틴이 특별한 이유는 무엇인가요? Foong이 일반적인 암호화폐나 블록체인 사기꾼과 차별화되는 점은 그가 2013년부터 적어도 그 시점부터 북한 제재 회피 노력에 도움을 준 싱가포르 기업들과 연결되어 있다는 점입니다. 2015년 북한 전문 정책 연구 웹사이트 38North.org에서 발표한 연구에 따르면, 대위 푹은 싱가포르에 본사를 두고 있는 기업들에서 근무하거나 자문을 제공한 것으로 두 차례 확인되었으며, 이 기업들은 "북한을 대신해 불법 활동을 지원했으며 유엔 제재 대상 기관과 거래를 한" 것으로 알려져 있습니다.

캡틴. 푼은 세 국가의 국가기 등록 시스템을 조작한 혐의로 연루된 것으로 밝혀졌습니다. 이 국가기 등록 시스템은 북한 선박의 편리한 기국으로 자주 사용되었습니다.

Capt. 펑은 북한이 국제 제재를 회피할 수 있도록 지원하는 전 세계 인에이블러 네트워크의 일원으로 활동하고 있습니다. 마린 체인 플랫폼과의 연결은 이 방대하고 불법적인 네트워크가 김 정권을 위한 자금 조달에 암호화폐나 블록체인 기술을 활용한 첫 사례입니다.

일반적으로 이러한 유형의 암호화폐 사기 사건은 탈북자들이 묘사한 저수준 금융 범죄의 패턴에 부합하며, 이는 수년간 한국을 괴롭혀온 문제로, 국제 사회가 이제야 추적하기 시작한 단계에 있습니다. 암호화폐 세계에 수년간 깊이 뿌리내린 배우 그룹과 국제 제재의 영향을 완화하기 위해 새로운 자금 조달 방식을 혁신해야 하는 네트워크 모두에게 이는 자연스러운 단계입니다.

외국에 있는 북한의 존재: 더 자세한 정보 공개

이전 연구에서 우리는 전 세계 국가에 존재하는 중요한 물리적 및 가상 북한의 존재를 식별하는 휴리스틱을 개발했습니다. 이 휴리스틱에는 이들 국가를 오가는 북한의 평균 이상의 인터넷 활동뿐만 아니라 뉴스 매체, 구 또는 시 정부, 지역 교육 기관 등과 같은 다양한 현지 리소스의 검색 및 사용도 포함되었습니다.

이 기술을 통해 인도, 중국, 네팔, 케냐, 모잠비크, 인도네시아, 태국, 방글라데시 등 탈북자가 실제로 거주하거나 거주하고 있는 8개국을 파악할 수 있었습니다. 최근 기간(2018년 3월~2018년 8월)에는 이 8개국과 관련된 북한의 인터넷 활동을 재조사하여 중국과 인도의 데이터에 대한 충실도를 높였습니다.

중국

알리바바, 바이두, 텐센트와 같은 중국 인터넷 서비스를 북한 지도자들이 광범위하게 이용하고 있기 때문에 중국 내 북한인들의 인터넷 활동을 파악하는 것은 매우 복잡합니다. 지금까지 레코디드 퓨처는 탈북자들이 거주할 수 있는 지역이나 현지 자원에 대한 인사이트가 거의 없었습니다.

지역 수준에서, 그리고 우리 헤우리스틱 데이터의 일부로, 베이징, 상하이, 선양 지역에서 높은 활동량을 발견했으며, 또한 난창, 우한, 광저우에서도 활동이 관찰되었습니다. 이 중 일부 도시와 지역은 중국에서 활동하는 북한 주민들의 전통적인 동북부 활동 범위 밖으로 여겨져 왔습니다.

또한 이전에는 잘 알려지지 않았던 중국 학계의 탈북자 관련 단서도 추가로 발견했습니다. 다음은 현재 북한 학생, 교사 또는 파트너를 수용하고 있거나 과거에 수용한 적이 있는 중간 정도의 신뢰도를 가지고 평가한 중국 대학 목록입니다.

인도

이 기간 동안 북한과 인도 간의 활동 패턴은 변하지 않았지만, 우리는 몇 가지 추가적인 세부 사항을 확인했습니다. 인도에서의 많은 활동은 여러 특별경제구역 (SEZ)과 관련이 있었으며, 특히 노이다와 코친 SEZ가 주요 대상이었습니다.

지역 수준에서 휴리스틱 데이터의 하위 집합으로 델리, 방갈로르, 콜카타, 하이데라바드에서 많은 양의 활동이 발생하는 것을 발견했습니다. 인도 기상청과 국립 원격 감지 센터와 관련된 의심스러운 트래픽을 다시 관찰했지만 악의성을 확인할 수 없었습니다.

이 국가들의 대부분에서 이 지표는 알려진 북한 불법 자금 조달 또는 물류 네트워크와 밀접하게 일치했습니다. 비영리 단체 C4ADS가 북한 불법 자금 네트워크에 대해 실시한 연구는 훌륭한 사례입니다. 8월, C4ADS는 국가별 및 산업별 분류를 통해 북한 해외 강제 노동을 분석한 보고서를 발표했습니다. 이 보고서는 식당과 제품 분야를 포함해 다양한 산업 분야의 강제 노동 실태를 상세히 다뤘습니다. 북한의 불법 자금 조달 네트워크와 인터넷 활동 간의 반복적인 중첩은 우리가 러시아가 우리의 행동 패턴 분석 모델에 부합하지 않는 이유를 재검토하게 만들었습니다.

러시아

양적인 측면에서 볼 때 러시아와 관련된 활동은 중국이나 인도와 관련된 북한 인터넷 활동의 극히 일부에 불과했습니다(약 0.05 예를 들어 중국에서 발생한 볼륨의 비율). 서비스 측면에서 북한 주민들은 러시아 서비스를 매우 제한적으로 사용했으며, 메일.ru를 정기적으로 방문하고 가끔씩만 Yandex를 사용했습니다. 도시 수준에서는 주로 소치, 모스크바 지역, 블라디보스토크에서 소량의 활동이 이루어졌습니다.

이 기간(2018년 3월부터 2018년 8월) 동안 러시아에 거주한 북한 주민의 유형이 우리가 식별한 다른 국가들의 경우와 달랐을 가능성이 있습니다. 러시아에 있는 북한 노동자 중 많은 수가 육체 노동자로, 종종 "노예 같은"또는 "비인도적인"조건에서 거주하고 일하고 있습니다. 이는 중국 등 다른 국가에서 일하는 일부 북한 노동자들과 대조됩니다. 이들은 정보 경제 분야의 노동자로, 글로벌 고객을 대상으로 모바일 게임, 앱, 봇 및 기타 IT 제품을 개발하고 있습니다. 중국에도 분명히 많은 수의 육체 노동자가 존재하지만, 러시아에는 기술 숙련된 북한 노동자가 더 적을 가능성이 있습니다. 이 유형의 정보 경제 활동은 착취적인 육체 노동과 다른 인터넷 지문을 생성하며, 물리적 존재와 인터넷 활동 간의 차이를 명확히 할 가능성이 있습니다.

따라서, 우리는 행동적 단서 분석을 통해 식별한 국가들이 서비스 또는 정보 산업 분야에서 북한 노동자를 고용할 가능성이 더 높다고 평가합니다. 이 근로자들은 여전히 소득의 상당 부분을 고향으로 송금하지만, 일상 업무를 위해 인터넷 접근이 필요하거나 고객을 직접 상대하는 업무를 수행하기 때문에, 상대적으로 억압적인 환경에서 살 가능성이 낮습니다.

전망

지난 1년 반 동안 우리 연구팀은 북한 최고 지도부의 디지털 생활에 대한 전례 없는 통찰을 제공해 왔습니다. 우리는 미국과 북한 관계의 독특한 시기에 리더십 활동을 추적하고 분석했습니다. 이는'최대 압박'캠페인의 기간, 미사일 발사 및 시험 활동이 가장 활발했던 시기, 그리고 미국과 북한 지도자 간의 첫 번째 정상회담이 열린 시기를 포함합니다.

이 연구 시리즈의 핵심은 북한의 고위 지도층이 얼마나 적응력이 뛰어나고 혁신적인지를 보여주는 것입니다. 새로운 서비스나 기술이 유용할 때는 빠르게 수용하고, 그렇지 않을 때는 과감히 버립니다. 김 정권은 인터넷을 이용하고 악용하는 독특한 모델을 개발했는데, 이는 마치 범죄 조직처럼 운영되는 국가입니다.

특히 김정은 정권은 암호화폐, 다양한 은행 간 송금 시스템, '긱 경제'의 다원화된 특성, 온라인 게임 등을 활용(및 악용)하여 인터넷을 수익 창출과 제재 우회를 위한 강력한 도구로 육성해 왔습니다. 그들은 수십 년 된 밀수 네트워크와 부패한 외교관, 대사관, 영사관 시스템과 결합했습니다.

북한의 성공을 가능하게 하고 국제 규제 기관과 집행 기관을 혼란스럽게 하는 것은 바로 이러한 물리적인 것과 가상의 결합입니다. 북한이 인터넷을 통해 얻는 가치에 정확한 달러 수치를 부여하는 것은 불가능할지 모르지만, 그 중요성을 과소평가할 수는 없습니다.

국제적으로, 각국은 북한 인터넷 활동의 글로벌화 특성 및 이에 따른 위협에 대응하기 시작했습니다. 특히 미국은 북한 운영자 박진혁에 대해 형사 고발을 제기했으며, 다른 많은 인물들도 연루되었다고 밝혔다. 이것은 훌륭한 첫 번째 단계이며, 인터넷 운영 공개, 비전통적 외교 파트너와의 협력 강화, 그리고 북한이 인터넷을 활용한 제재 회피를 약화시키기 위한 더 유연하고 동적인 메커니즘 도입 등 추가적인 조치를 동반해야 합니다.

이번 보고서는 북한 지도부의 인터넷 활동에 대한 마지막 정기 보고서이기도 합니다. 북한 지도부의 인터넷 보안 및 익명화 서비스 사용과 도메인 프라이버시 및 대규모 호스팅 서비스의 확산이라는 두 가지 추세로 인해 통찰력이 제한되었기 때문입니다.

첫째, 북한 지배 엘리트층이 인터넷 보안 절차를 축소했지만 북한 주민과 전체 인터넷 사용자 모두의 전반적인 추세는 상승하고 있습니다. 이는 시간이 지날수록 북한의 인터넷 검색을 추적하고 새로운 인사이트를 발견하는 것이 더 어려워질 것이라는 의미입니다.

둘째, 대형 기술 기업들은 DNS부터 콘텐츠 전송, 클라우드 서비스 등에 이르기까지 점점 더 다양한 서비스를 고객에게 제공하고 있습니다. 네트워크 관점에서 볼 때 일반적인 DigitalOcean, Cloudflare 또는 GoDaddy 등록 뒤에 있는 최종 콘텐츠를 식별하는 것은 매우 어렵습니다. 포트와 프로토콜조차도 많은 양의 데이터만 제공하며, 종종 디지털오션 박스에서 종료되는 IP는 아무것도 드러내지 않습니다.

앞으로도 북한의 IP 범위를 모니터링하고 중요한 발견이나 이벤트에 대해서는 임시로 보고할 것입니다.

네트워크 방어 권장 사항

레코디드 퓨처는 조직이 네트워크에서 북한의 잠재적 활동을 식별할 때 다음과 같은 조치를 취할 것을 권장합니다:

참고: 앞서 언급한 포트는 해당 암호화폐에 대해 구성된 기본 포트입니다. 암호화폐 채굴 소프트웨어가 기본 포트를 재정의하도록 수정되었을 가능성이 높습니다. 또한 기업 구성에 따라 다른 서비스도 나열된 포트에서 작동하도록 구성될 수 있으므로 나열된 포트의 네트워크 트래픽에 대한 IDS 및/또는 IPS 알림이 오탐을 생성할 수 있습니다.

또한 다음과 같은 일반적인 정보 보안 모범 사례 가이드라인을 따를 것을 권장합니다: