예멘 내전의 근본적인 차원: 인터넷 통제

범위 참고: 이 연구의 출처에는 Recorded Future 플랫폼, Recorded Future 멀웨어 폭발, 시민 연구소, 쇼단, 바이러스토탈, 센시스, 리버싱랩스 및 타사 메타데이터의 결과와 방법이 포함됩니다. Recorded Future 예멘의 현재 IP 환경을 정량화하는 데 도움을 준 Rapid7과 국가 노출 지수에 감사의 말씀을 전합니다. Recorded Future 에도 감사의 말씀을 전하고 싶습니다. 조 보안 그들의 제품을 사용하여 안드로이드 기기 악성 소프트웨어 샘플을 분석하기 위해.

Executive Summary

예멘 내전이 계속되고 있는 가운데, 현지 및 해외 플레이어들은 인터넷 통제 및 기타 사이버 수단을 통해 2차 전쟁을 벌이고 있습니다. 레코디드 퓨처의 인식트 그룹은 예멘 내전의 역학관계가 예멘인들의 인터넷 접근, 사용, 통제권을 둘러싼 투쟁을 통해 온라인에서 드러나고 있다고 평가합니다. 레코디드 퓨처는 예멘 내에서 검열 통제와 이러한 통제를 무력화하려는 트래픽, 그리고 스파이웨어 활동을 모두 확인했습니다. 이 보고서는 예멘의 인터넷 활동, 사용, 접속에 대한 기준선을 설정하기 위한 것입니다.

주요 판단

2014년 9월 예멘의 수도 사나를 점령한 후티 반군은 지난 3년 동안 인터넷 활동을 방해, 저하, 감시하는 데 사용했던 것과 동일한 액세스 제어 및 검열 도구를 사용하여 주요 ISP인 예멘넷을 감독해 왔습니다.
레코디드 퓨처는 사나 내 후티 반군이 예멘넷의 방대한 IP 인프라를 활용하여 코인하이브 채굴 서비스를 호스팅하여 수익을 창출하고 있다고 중간 정도의 확신을 가지고 평가하고 있습니다.
예멘넷에서 호스팅되는 공식 정부 사이트와 .ye 도메인 공간이 아덴의 하디 정부가 아닌 사나의 후티 정부를 반영하도록 변경된 가운데, 레코디드 퓨처는 예멘넷의 메인 네임 서버와 최근까지 500개 이상의 공식 .ye 도메인을 호스팅했던 여러 서버에서 일부 취약점을 발견했습니다. 도메인.
현재 사나 대신 아덴에 있는 하디 정부는 2018년 6월에 새로운 ISP인 아덴넷을 만들었습니다. 인터넷 가입과 모바일 가입이 계속 증가함에 따라 국내 인터넷의 새로운 회복력을 이끌어낼 수 있다고 생각합니다.
예멘의 인터넷 사용자 중 일부가 정부의 통제를 우회하기 위해 VPN, Tor 또는 DNS 재귀 기능이 있는 라우터를 사용하고 있습니다.
예멘에서 발생한 의심스러운 인터넷 관련 활동은 낮은 수준의 애드웨어와 스파이웨어를 시사하지만, 배후에 있는 공격자에 대한 정보는 결정적이지 않습니다.
미국, 러시아, 중국을 비롯한 주요 국제 국가들은 예멘 내 패권을 차지하기 위해 악성코드, 군사 활동, 정치적 영향력, 투자를 통해 사우디-이란 지역 분쟁에서 자국의 이익을 추구하고 있습니다.

예멘-인터넷-활동-1-2.png

이 분석의 그래픽 표현.

배경

예멘은 2015년부터 계속되고 있는 내전에 휘말려 있습니다. 이 분쟁은 종파적, 종교적, 정치적 분열에 의해 악화되고 있으며, 예멘은 아라비아 반도의 다른 지역과 비교해 상대적으로 다문화적 특성을 지니고 있습니다. 예멘인들은 여러 차례의 내전을 겪어왔으며, 이 중에는 1962년부터 1970년까지 북예멘에서 발생한 내전과 1990년 국가 통일 시도에 반대하며 1994년에 발생한 유혈 내전이 포함됩니다. 내부적 갈등에도 불구하고, 예멘의 전 대통령 알리 압둘라 살레는 국가를통치하는 것을 "뱀의 머리를 밟고 춤추는 것"과 같다고 묘사했습니다."

현재의 내전은 아랍의 봄에 의해 촉발된 일련의 유혈 시위로 인해 2011년 알리 압둘라 살레 대통령이 권력에서 물러나면서 시작되었습니다. 이 사건은 부통령 아브드라부 만수르 하디를 어려운 상황에 처하게 하며, 예멘에서 통합 정부를 구성하도록 임명되었습니다. 하디는 결국 국가를 통일하는 데 실패했으며, 국가가 대부분 통치되지 않은 상태로 남겨졌습니다. 통제력의 부재는 권력 공백을 초래했으며, 이는 반란 세력의 성장, 외국 세력의 지원을 받는 경쟁 정부들의 출현, 그리고 극단주의 문제의 악화를 허용했습니다.

자이디 시아파 후티는 주로 반란 세력으로 간주되며, 이란 정권으로부터 지원과 물자를 공급받고 있습니다. 이 파벌은 2017년 자신의 파벌을 배신하고 살해된 살레에게 이전에 충성했던 예멘 군인들로 구성되었습니다. 그 파벌은 사우디아라비아의 지원을 받는 압드라부 만수르 하디 정부와 전투를 벌이고 있으며, 이 정부는 현재 예멘의 정치적 통제권을 주장하고 있으며 국제적으로 인정받은 예멘 정부입니다. 이것은 종파 간 긴장을 고조시키고 있습니다. 하디 정부 지지자들은 대부분 수니파 무슬림이며, 반면 후티는 다수파 시아파입니다. 아랍에미리트는 예멘에서 2007년부터 분리 독립을 시도해 온 남부 운동의 분파인 제3의 남부 분리주의 단체를 후원하고 있습니다. 해당 단체는 1990년 북예멘과 남예멘이 분리되어 있던 상태에서 단일 국가로 통합된 시점의 국경을 재설정하기를 희망하고 있습니다. 남부 운동은 주로 시아파입니다. 이 그룹들은 예멘 내부의 다양한 인구 통계적 특성을 주로 대표합니다.

또한, 아라비아 반도 알카에다(AQAP)의 잔여 세력은 국가 중심부에서 광범위한 지역을 계속 점령하고 있습니다. AQAP는 알카에다의 가장 주요한 분파 중 하나로, 포트 후드, 리틀록, USS 콜, 디트로이트에서의 항공기 폭탄 테러 시도, 그리고 예멘에서의 감옥 탈출 사건 등을 저지른 것으로 알려져 있습니다. 해당 단체는 2011년 안사르 알-샤리아로 재브랜딩을 시도했으며, 이후 예멘에서 영토를 장악하는 데 집중하기 시작했습니다. 해당 단체는 최근 몇 년간 후티 세력의 시설을 표적으로 삼아 주로 민병대 및 테러 조직으로 활동해 왔습니다. 이슬람 국가(IS)도 유사한 제휴 모델을 시도했지만, 대부분 성공하지 못했습니다. 최근 예멘 내 이슬람 국가(IS) 관련 보도 내용은 알카에다 아라비아반도 지부(AQAP)와 IS 간의 소규모 전투를 중심으로 이루어지고 있습니다.

예멘은 지역 및 글로벌 강대국들이 자신의 힘을 투사하고 이익을 실현하려는 노력의 흥미로운 미니어처입니다. 예멘 내전은 이란과 사우디아라비아의 지역 헤게모니를 둘러싼 대리 전쟁의 중심에 위치해 있습니다. 후티 반군이 장악한 지역이 사우디아라비아의 '결정적 폭풍 작전' 공습 캠페인에 의해 표적으로 삼혀졌습니다. 유엔은 이 공습이 비전투원을 계속 살상하고 있다고 주장하고 있습니다. 미국 군 당국에 따르면, 이란의 군사 작전은 후티 반군이 바브 알-만데브 해협의 선박 항로를 차단할 수 있도록 하는 무기를 도입했습니다. 미국과 이란 사이의 긴장이 고조되는 가운데, 이란은 반도 너머 호르무즈 해협을 통제할 수 있는 능력을 보유하고 있으며, 미국이 지나치게 공격적이라고 판단할 경우 봉쇄 조치를 취하겠다고 위협해 왔습니다. Recorded Future는 2015년에 이미 예멘 내 이란과 사우디아라비아의 사이버 갈등을 보고한 바 있습니다. 당시 예멘 사이버 군대(Yemen Cyber Army)가 사우디아라비아 정부 기관을 공격하는 애국적 해킹 단체로 등장했습니다. 해당 단체는 이후 이란과 연관되어 왔습니다.

이 지역 분쟁은 아라비아 반도와 해당 지역의 해상 교통로에서 러시아와 미국의 상반된 이익과 맞물려 발생하고 있습니다. 미국은 또한 이 지역에서 이슬람국가(IS)와 알카에다의 존재를 제거하기 위한 적극적인 캠페인을 주도해 왔으며, IS에 대해 성공을 거두었지만 공습과 비용이 많이 드는 특수 작전 캠페인으로 인해 민간인 사망이 발생했습니다. 반면, 제임스타운 재단은 러시아가 예멘에 민간 군사 계약업체를 파견해 전쟁의 정치적 해결을 감독하기 위해 투입했다고 추측했습니다. 카네기 엔드owment는 러시아가 홍해에서 영향력을 확대하고 힘을 투사하는 것을 목표로 활동하고 있다고 믿습니다.

중국은 또한 한반도 안정성에 대한 관심을 높여왔으며, 2017년경부터 하디 정부와 사우디 아라비아의 지원을 받는 세력과 입장을 같이해 왔습니다. 중국과 사우디아라비아 정부는 기존에 국방 협력 관계를 유지해 왔으나, 예멘 내전 해결은 바브 알-만데브 해협과 주변 지역을 통과하는 중국 선박의 위험을 줄이는 데 도움이 될 것입니다. 이 해협은 중국의 일대일로(Belt and Road) 이니셔티브 — 중국 국가 권력을 투사하기 위해 설계된 대규모 인프라 프로젝트 시리즈 —가 사우디아라비아와 더 넓은 중동 지역으로 진출하는 핵심 교통로입니다.

인프라

예멘의 인터넷 인프라스트럭처는 해당 국가에서 활동하는 국제적 세력의 영향을 반영하고 있습니다. 지속적인 분쟁으로 인해 인터넷 공간의 할당이 지연되고 있으며, 시민들의 인터넷 접근 능력도 제한받고 있습니다. Rapid7의 국가 노출 지수(National Exposure Index) 에 따르면, 예멘의 ASN(자율 시스템 번호)은 135,168개의 IP 주소를 할당했지만, 실제로 할당된 주소는 17,934개에 불과해 사용률이 낮은 것으로 나타났습니다. DomainTools에 따르면, .ye 도메인은 총 1,152개만 등록되었습니다. 등록된 도메인 (.ye는 YemenNet에서 관리됩니다). 예멘 출신이라고 스스로 밝힌 사람들이 7,845개의 도메인을 등록했으며, 이 중 가장 인기 있는 도메인은 .com입니다. 가장 인기 있는 TLD 중 네 번째는 .ye입니다. 예멘은 인구 규모로 전 세계 50위를 차지하지만, 도메인 등록 건수로는 148위에 머물고 있습니다.

지난 4년간 예멘에서 영토가 여러 차례 주인을 바꾸면서 인터넷 자원 통제권도 함께 변동되었습니다. 후티 반군이 수도 사나를 점령하면서, 그들은 예멘의 주요 인터넷 서비스 제공업체인 예멘넷(YemenNet)의 통제권도 장악했습니다. 예멘넷은 서비스 중단이 자주 발생하며, 과거에는 사이버 공격과 물리적 공격으로 인해 서비스가 중단된 적이 있습니다.

해저 케이블

예멘에는 3개의 착륙 지점에서 서비스를 제공하는 4개의 해저 케이블이 있습니다. 아래 그림에서 볼 수 있듯이, FALCON 해저 케이블은 알-가이다와 알-후다이다에 착륙 지점을 보유하고 있으며, SEA-ME-WE 5도 알-후다이다에 착륙 지점을 보유하고 있습니다. 반면 AAE-1과 아덴-지부티는 아덴에 착륙 지점을 보유하고 있습니다.

후티의 통제 하에 있는 TeleYemen(따라서 예멘넷)은 트래픽 라우팅을 위해 해저 케이블을 사용하며, 사우디 텔레콤이 제공하는 광섬유 연결을 통한 라우팅을 피할 가능성이 높습니다. 현재 예멘넷은 아덴에 착륙 지점이 있는 아시아 아프리카 유럽-1(AAE-1) 해저 케이블의 파트너인 릴라이언스 글로벌컴, 코젠트 커뮤니케이션즈, 오만텔, PCCW 글로벌과 협력하고 있습니다. 반면 아덴넷은 주로 사우디 텔레콤이 제공하는 육상 광섬유 케이블을 사용합니다.

예멘의 세 개 잠수함 착륙 지점 중 두 곳이 현재 하디 정부 통제 하에 있습니다. 세 번째 지역인 알-후다이다는 현재 후티 반군에 의해 통제되고 있지만, 아래 그림에서 볼 수 있듯이 하디 정부가 적극적으로 공격 대상으로 삼고 있는 지역입니다. 알-후다이다 항구는 기아와 콜레라 유행으로 고통받고 있는 국가에 식량과 의료 물자를 공급하는 데 필수적인 역할을 하고 있습니다. 하디 정부군이 항구를 장악할 경우, 그들은 외부 세계와 예멘넷 구독자 간의 인터넷 접속을 차단할 수 있습니다. 현재 예멘을 강타하고 있는 인도주의적 위기만큼 심각하지는 않지만, 인터넷 접근 부족은 해당 국가 내에서 일어나고 있는 상황을 이해하는 데 더 큰 어려움을 초래할 것입니다.

액세스 및 검열

2015년, 시민 연구소(Citizen Lab)는 예멘 정부가 예멘의 유일한 국가 인터넷 서비스 제공업체(ISP)이자 .ye 도메인 공간을 통제하는 예멘넷(YemenNet) 을 통해 예멘 국민을 대상으로 콘텐츠 검열을 실시하고 있다고 보고했습니다. 예멘넷(YemenNet)에서 사용되는 대부분의 지적 재산권(IP) 및 도메인 공간은 두 개의 캐싱 서버를 통해 필터링됩니다. 이 서버의 주소는 cache0.yemen.net[.]ye입니다. 그리고 cache1.yemen.net[.]ye. 이것은 콘텐츠 모니터링 또는 트래픽 차단이 가능하게 할 수 있습니다. Recorded Future는 Shodan을 통해 해당 노력의 흔적을 발견했으며, 웹 콘텐츠 필터링 도구인 NetSweeper 장치가 IP 주소 82.114.160.98에 설치되어 있었습니다. 해당 IP는 자체 서명된 SSL 인증서를 사용했지만, Recorded Future는 해당 IP 주소로 들어오거나 나가는 트래픽을 식별할 수 없었습니다. Shodan 또는 Censys를 통해 이와 유사한 검열 또는 접근 제어 장치가 발견되지 않았습니다.

예멘-인터넷-활동-2-2.png

인터넷 액세스 및 지역 제어의 지리적 세분화. 출처: 알 자지라, 로이터, 세계 에너지 지도, 크리티컬 위협(2018년 11월)에서 작성.

2014년 9월 예멘의 수도 사나를 장악한 후티 반군은 예멘넷, 텔레예멘을 비롯해 도시 내 모든 통신업체를 통제하게 되었습니다. 2018년 6월, 그들은 또한 주요 이동통신사인 MTN 예멘을 장악했습니다. 따라서, 후티 반군은 이제 인터넷 활동을 방해하거나 감시하기 위해 이전에 사용되었던 동일한 접근 제어 및 검열 도구에 접근할 수 있게 되었습니다. 이 도구는 운영자가 사용하는 장비의 물리적 안전에 따라 온라인 또는 오프라인 상태로 전환될 수 있습니다. 후티 반군은 알 아라비아의 보도에 따르면, 이들을 이용해 WhatsApp, Facebook, Twitter, Telegram에 대한 접근을 차단했으며, 후티 반군의 병력 이동을 보도한 도메인들도 차단했습니다. 그들은 이러한 제어 기능을 사용하여 그렇게 했을 가능성이 높습니다.

예멘-인터넷-활동-3-2.png

예멘의 인터넷 활동과 눈에 띄는 공습 작전의 타임라인.

후티 반군은 또한 자신들이 통제하는 인터넷 서비스 제공업체(ISP)를 통해 인터넷 접속을 완전히 차단하기 위한 조치를 취했습니다. 2017년 12월 7일, 후티 반군이 장악한 통신 및 정보기술부가 인터넷을 30분 동안 차단했습니다. 이전에는 후티 반군이 아덴 항구 도시의 인터넷 접속을 차단했습니다. 여러 보고서에 따르면 후티 반군은 예멘넷(YemenNet)의 광케이블 선로 80% 이상을 절단했으며, 전국적인 정보 통제를 위해 더욱 잔혹한 방법을 동원했습니다.

예멘-인터넷-활동-4-2.png

주요 인터넷 서비스 제공업체의 IP 보유.

수도에서 강제 추방당한 하디 정부는 아덴에 본부를 설치했습니다. 새로운 기지에는 인터넷 접속이 필요했으며, 후티가 통제하는 YemenNet에 비밀 정보나 자금을 제공하거나 후티 정부가 반복적으로 접속을 차단하는 상황에 의존하는 대신, 하디 정권은 2018년 6월에 새로운 백본 제공업체인 AdenNet을 설립했습니다. 새로운 인터넷 서비스 제공업체(ISP)는 아랍에미리트(UAE)의 자금 지원을 받아 설립되었으며, 사우디 텔레콤(AS39386)의 단일 네트워크 연결을 사용하며, 중국 기술 기업 화웨이의 라우터를 사용하여 구축되었습니다. 화웨이는 중국 정부와 군대와 매우 밀접한 관계를 맺고 있는 기업으로, 간첩 활동 우려로 인해 미국과 호주에서 정부 기관의 사용이 금지되었습니다.

아덴넷의 인프라 대부분은 예멘 외곽에 위치해 있습니다. 아덴넷 웹사이트 www.adennet4g[.]net 는 2018년 6월 20일에 GoDaddy를 통해 등록되었으며, AdenNet 메일 서버(mail.adennet4g.net)와 마찬가지로 Bluehost에서 호스팅됩니다. 두 호스트의 IP 주소는 162.241.226.169로 동일하며, Recorded Future 조사에 따르면 886개의 다른 도메인이 이 주소를 공유하고 있습니다. 셀프 서비스 포털 ssp.adennet4g[.]net과 같은 고객 서비스 기능, 할당된 AdenNet IP 공간을 사용하세요.

.net 아덴넷과 외부 인프라를 위한 gTLD는 후티 정권이 후티가 통제하는 자원을 사용하는 것을 꺼리는 것을 반영할 수 있습니다. 이는 특히 전쟁 지역 한가운데서 새로운 인터넷 인프라를 구축하는 데 따르는 어려움을 나타내는 것일 수도 있습니다. 이전 보도에 따르면 하디 대통령이 .ye 도메인에 대한 통제권을 되찾으려고 시도하고 있다고 합니다. ccTLD와 AS30873 및 AS12486 ASN을 사용할 수 있습니다. ICANN, IANA 및 RIPE의 문서를 검토한 결과, 이 보고서를 작성하는 현재 공식적인 절차가 시작되지 않은 것으로 나타났습니다. 또한, 내전 중에 이러한 자원에 대한 통제권이 인터넷 정부 기관에 의해 이전될 가능성은 매우 낮습니다.

인터넷 활동 기준 설정

예멘 내전 중 발생한 공습과 식량 부족으로 인해 1,800만 명이 인도주의적 지원이 절실히 필요한 상황이며, 이는 식량 위기 상황을 초래했습니다. 그러나 전쟁 기간 동안 해당 국가의 인터넷 활동은 감소하지 않았습니다. CIA 세계 사실 책자에 따르면, 전쟁 전인 2014년 인구 중 인터넷 사용자는 19.1%에서 2016년 24.6%로 증가했습니다. 인터넷 월드 스탯(Internet World Stats)은 지난 2년간 인터넷 사용자 수가 거의 변동 없이 2018년 24.3% 수준을 유지해 왔다고 주장합니다. 또한, 여러 출처에 따르면 해당 국가의 내전 이전부터 휴대폰 보급률이 50%를 초과해 왔으며, 지난 4년간 약간의 변동은 있었지만 대체로 동일하거나 증가하는 추세를 보였습니다.

예멘 내에서 인터넷 서비스를 이용하는 다섯 가지 형태의 사용자가 있다는 증거가 있습니다. 후티 반군은 예멘넷과 .ye 도메인에 대한 통제권을 이용해 도메인 공간을 점령하고, 정부 웹사이트는 수도 사나에 있는 현 후티 정부를 반영합니다. 예를 들어, 예멘 외교부 웹사이트에는 현재 후티 반군이 주도하는 사역에 대한 최신 목록이 포함되어 있습니다. 또한, 아덴넷의 설립으로 하디 정부는 인터넷 서비스를 더 자주 사용할 가능성이 높습니다.

예멘-인터넷-활동-5-2.png

예멘의 후티 반군이 주도하는 외교부 웹사이트(mofa.gov[.]ye 도메인) 스크린샷.

대학들도 여전히 국내에서 인터넷에 접근할 수 있으며, 대학 학생들은 연구를 수행하고 서로 소통하며 웹을 탐색하기 위해 인터넷 서비스를 계속 사용하고 있습니다. 그러나 이는 대학들이 후티와 하디 주도 세력 양측의 공습과 폭격 공격의 표적이 되면서 점차 감소하는 트래픽의 원천이 되고 있습니다. 이로 인해 대학 등록 인원이 감소하고 있습니다. 또한, 해당 국가의 대학들이 점차 구금 시설로 전환되고 있으며, 이는 대학 인터넷 사용량 감소의 또 다른 원인일 가능성이 높습니다.

예멘의 가정 및 기업 사용자 중 비정상적으로 많은 수가 라우터에서 DNS 재귀를 활성화했습니다. 이로 인해 해당 라우터는 라우터 뒤에 연결된 사용자를 위해 캐싱 DNS 서버로 기능하게 됩니다. Shodan에 따르면, DNS 재귀가 활성화된 고객 단말 장비 (CPE) 라우터가 12,000대 이상 존재합니다. 이 조치는 후티 반군이 시행 중인 엄격한 검열을 우회하기 위해 이루어지고 있을 가능성이 있습니다. 앞서 언급된 바와 같이, 후티 반군은 웹 필터링과 DNS 필터링을 결합한 도구인 Netsweeper를 사용하여 부적절하다고 판단된 콘텐츠를 차단하고 있다고 보고되고 있습니다.

이에 비해 예멘과 인구 규모가 비슷한 모잠비크와 가나에서는 각각 약 670개와 1200개의 개방형 DNS 서버가 쇼단에서 운영되고 있다고 보고하고 있습니다.

예멘-인터넷-활동-6-2.png

타사 메타데이터에 따른 OpenVPN 엔드포인트에 대한 예멘 트래픽 목적지 분석.

마지막으로, 여러 출처에서 예멘 시민들이 예멘의 인터넷 차단 및 검열을 우회하기 위해 Tor 브라우저나 VPN을 사용했다는 보고가 나왔습니다. 이 사용자 그룹은 후티 반군(2017년 12월 7일 전국적으로 인터넷을 일시적으로 차단한 단체)이나 하디 정부( 다양한 소셜 미디어 플랫폼을 차단해 온 전력이 있는 정부)로부터 승인되지 않은 정보원을 접근할 가능성이 높습니다. Recorded Future는 2018년 10월 동안 예멘에서 VPN 및 Tor 사용의 증거를 발견했습니다. 다수의 AdenNet IP에서 소량의 트래픽이 예멘이 아닌 IP 주소로 접근을 시도했으며, 해당 IP 주소에는 9001 포트(Tor), 1194 포트(OpenVPN), 또는 110 포트(IPSEC VPN 터널링)가 열려 있었습니다.

예멘-인터넷-활동-7-2.png

타사 메타데이터에 따른 토르 엔드포인트로의 예멘 트래픽 목적지 분석.

하디 통제 예멘의 인터넷 사용량 정량화

아덴넷은 현재 후티 반군이 장악한 예멘넷보다 훨씬 작습니다. ISP에서 유입된 트래픽의 유형을 분석하기 위해 Recorded Future는 2018년 10월 1일부터 2018년 11월 6일까지 메타데이터 분석을 수행했습니다. Recorded Future는 AdenNet을 모니터링 대상으로 선정한 이유는 최근에 설립되었기 때문이며, 또한 Hadi 정부에 의해 통제되고 있기 때문입니다. 이 ISP의 분석은 Hadi 정부가 통제하는 예멘에서 발생하고 있는 상황을 이해하는 데 유용합니다. 2018년 6월 AdenNet이 설립된 이후 예멘 내 대부분의 주요 도시가 폭격으로 피해를 입었음에도 불구하고, YemenNet과 AdenNet은 두 ISP 간의 트래픽 및 공개적으로 알려진 YemenNet 호스트의 온라인 상태를 바탕으로 볼 때 큰 문제 없이 운영되고 있는 것으로 보입니다.

예멘-인터넷-활동-8-2.png

2018년 6월 이후 예멘에서 발생한 공습 또는 폭격의 미래 지도를 기록했습니다.

주요 포트 및 프로토콜: 웹 브라우징 및 VPN

예멘 인터넷을 분석하는 동안 관찰된 대부분의 활동은 다소 놀랍게도 HTTP 또는 HTTPS를 통한 웹 브라우징 활동이었습니다. 또한 산발적인 DNS, POP3, SMTP 및 IMAP 활동도 확인했습니다. VPN 애플리케이션 사용을 나타내는 ESP(Encapsulating Security Payload) 프로토콜을 사용하는 일부 IPSEC 터널링 활동이 관찰되었습니다. 이는 예멘 사용자들이 온라인에 접속하기 위해 두 정부의 인터넷 통제를 우회하려는 시도를 하고 있다는 증거일 수 있습니다. 다른 활동으로는 인터넷 관리 프로토콜인 TELNET, SSH, 인터넷에서 가장 오래된 프로토콜 중 하나인 네트워크 뉴스 전송 프로토콜(NNTP)을 사용하여 인터넷 유즈넷 뉴스 그룹 세계의 서버 간에 뉴스 기사를 전송할 수 있도록 하는 것이 있습니다. 마지막으로, 비트토렌트 및 온라인 게임 활동의 증거와 Jabber와 같은 XMPP 메시징 애플리케이션의 사용 가능성도 발견되었습니다.

관찰된 대부분의 트래픽이 웹 브라우징 활동이었기 때문에 Recorded Future 데이터 세트 내에서 AdenNet IP에서 발생한 대부분의 트래픽이 하이윈즈, 아마존, Akamai와 같은 대형 호스팅 사이트와 콘텐츠 배포 네트워크(CDN) 제공업체로 향하는 것은 놀라운 일이 아닙니다. 놀라운 점은 서양인과 중국인 소유 호스트의 분포입니다. 알리바바와 텐센트 호스팅 서비스는 서구의 호스팅 서비스만큼 자주 접속하지는 않지만 여전히 예멘 인터넷 트래픽의 상당 부분을 차지합니다.

의심스러운 인터넷 활동

인터넷 인프라 취약점

Recorded Future는 예멘의 인터넷 인프라 내에서 및 예멘에서 발원된 다수의 의심스러운 활동 사례를 발견했습니다. 첫째, 아덴넷은 예멘이 중국 기업에 국가 핵심 인터넷 인프라를 위탁한 첫 사례가 아닌 것으로 보입니다. Recorded Future의 Shodan 통합 결과, 예멘넷(YemenNet)의 주요 네임서버 중 하나인 ns1.yemen.net[.]ye의 IP 주소가 "tenda-backdoor" 모듈을 포함합니다. 이 모듈은 현재 Shodan에서 검색이 불가능하지만, tenda-backdoor 모듈은 중국 네트워크 제조업체 Tenda에서 제조한 라우터 모델에서 원격 명령 실행을 수행하기 위해 취약점 CVE-2017-16923을 활용하는 펌웨어 백도어를 가리킵니다.

이것이 공급업체의 의도적인 백도어인지, 아니면 우발적인 것인지 확실하지 않습니다. 예멘넷(YemenNet) 내 다른 인프라와 연결되어 있는 경우(이는 가능성이 높습니다), 국가 및 비국가 공격자 모두 이 백도어를 활용하여 ISP에 침투할 수 있습니다.

예멘-인터넷-활동-9-2.png

ns1.yemen.net[.]ye용 기록된 미래 쇼단 확장 프로그램의 스크린샷입니다.

또한 2018년 6월까지 500개 이상의 예멘 정부, 교육 및 기업 웹사이트를 호스팅한 후티가 제어하는 82.114.162.66 및 82.114.162.10 서버는 CVE-2003-1582, CVE-2009-2521, CVE-2008-1446과 같은 오래된 취약점으로 가득 차 있어 패치하지 않으면 공격자가 해당 시스템에 쉽게 접근할 수 있습니다. 많은 원래 웹사이트가 더 이상 이러한 서버에서 호스팅되지 않지만 이전 시스템 로그와 데이터가 남아 있을 가능성이 있습니다.

예멘-인터넷-활동-10-1.png

2018년 특정 날짜의 IP 82.114.162[.]66에 대한 패시브토탈 도메인 결과 스크린샷. Source: PassiveTotal.

명령 및 제어 서버

Recorded Future의 데이터 수집 결과, Shodan과 협력하여 예멘 지역에서 원격 액세스 트로이목마를 실행 중인 기본 명령 및 제어 서버 여러 대가 노출된 것으로 확인되었습니다. 이에는 Bozok, DarkComet 및 NetBus 트로이목마가 포함되었습니다.

멀웨어 샘플

레코디드 퓨처는 2015년부터 2017년까지 13개였던 예멘의 소프트웨어 샘플이 2018년에는 총 164개로 크게 증가했다고 밝혔습니다. 원인은 아직 명확하지 않습니다. 이는 아덴넷의 도입으로 더 많은 예멘 시민과 주민들이 인터넷에 지속적으로 접속할 수 있게 된 것이 원인일 수도 있지만, 위협 활동이 증가했기 때문일 수도 있습니다.

이 샘플 중 약 절반이 악성 샘플이었으며, 악성 샘플의 압도적인 다수는 안드로이드 애플리케이션이었습니다. Recorded Future는 2015년 이후 VirusTotal에 업로드된 84개의 안드로이드 샘플에서 조 시큐리티를 사용하여 AhMyth, DroidJack, Hiddad, Dianjin 등 널리 퍼진 멀웨어 군의 변종과 여러 가짜 알트코인 지갑, 가짜 Whatsapp 애플리케이션, 안티바이러스, 비디오 재생 및 VPN 애플리케이션으로 위장한 스파이웨어를 식별할 수 있었습니다. 또한 레코디드 퓨처는 조 시큐리티의 동적 분석과 레코디드 퓨처 멀웨어 탐지를 통해 안드로이드 샘플에서 얻은 애드웨어의 50%가 중국 및 서양 광고 사이트에 접속한 것으로 확인했습니다. 발견된 가짜 안티바이러스 스파이웨어 앱과 일부 AhMyth 샘플의 3분의 2가 중국 IP에 연결되어 있었습니다.

VirusTotal 데이터셋 내의 대부분의 응용 프로그램은 광고 소프트웨어를 배포하는 저급 가짜 응용 프로그램으로 보입니다. 그러나 데이터셋에 포함된 일부 스파이웨어는 중국산 상업용 패커인 JiaGuBao로 포장되어 있습니다. 또한, 중국 IP 주소로 접근하는 가짜 안티바이러스 스파이웨어는 안드로이드 스마트폰에서 과거 이메일, SMS 및 통화 기록, 브라우저 기록 등 개인 정보를 수집합니다. 이 앱은 접근성 서비스를 사용하여 다른 설치된 앱을 제어하며, Wi-Fi 설정 변경, 전화 화면이 꺼진 상태에서 서비스 실행, 사진 촬영, 다른 패키지 삭제 등의 기능을 수행할 수 있습니다. 중국이 예멘 내전의 결과에 대해 상업적 및 외교적 관점에서 모두 관심을 가지고 있다는 것은 의심의 여지가 없습니다. 그러나 중국 IP 주소로 연결되는 일부 악성 소프트웨어가 중국 감시 활동과 일치하는 특성을 보이지만, Recorded Future는 획득한 악성 소프트웨어가 중국 국가 주도의 간첩 활동 캠페인에서 유래했는지 여부를 확인하지 못했습니다. 또한, Recorded Future는 예멘에서 개인들이 사용 중인 중국산 모바일 앱 여러 개가 안드로이드 스마트폰의 광범위한 권한을 요구하는 것으로 확인했습니다. 이 애플리케이션들은 현재 중국 앱 스토어에서만 이용 가능하기 때문에, 이 앱들이 예멘 현지인들에 의해 사용되었을 가능성은 낮으며, 오히려 예멘에 주재 중인 중국 국적자들이 역량 강화 목적으로 사용했을 가능성이 높습니다. 중국 기업들은 과거 인프라 프로젝트를 건설할 때 화웨이 등을 포함해 중국 근로자들을 해외로 파견해 왔습니다. 중국 국민들은 예멘에 머무는 동안 자신들에게 맞춤형으로 제작된 애플리케이션을 다운로드할 가능성이 높습니다.

코인 채굴 활동

Recorded Future는 예멘 내 973대의 호스트에서 암호화폐 채굴 서비스인 Coinhive를 실행 중인 것을 발견했습니다. Coinhive는 JavaScript 기반의 Monero 채굴기로, 2017년 초에 출시되었습니다. 이는 후티 반군이 예멘넷을 장악한 지 2년 후입니다. 일반적으로 웹사이트에 내장되어 사용자의 CPU 또는 처리 능력을 활용해 웹사이트 소유자의 이익을 위해 암호화폐를 채굴합니다. 이것은 사용자의 브라우저를 자주 잠그고, 사용자가 해당 사이트를 탐색하는 동안 기기의 배터리를 소모시킬 수 있습니다. 모든 973개의 호스트는 예멘넷(YemenNet) ASN AS30873에 속한 MikroTik 라우터이며, 이 중 213개의 호스트는 동일한 도메인인 dynamic.yemennet[.]ye를 공유합니다.

2018년 10월, Avast는 공격자들이 널리 알려진 취약점( CVE-2018-14847) 을 악용해 Coinhive를 실행하기 위해 필요한 JavaScript 코드를 감염된 라우터에 주입하는 다수의 크립토재킹 캠페인을 분석한 보고서를 발표했습니다. Recorded Future는 Avast가 언급한 고유한 SSH 및 Telnet 포트를 사용하는 Monero 채굴자들을 발견했으며, Avast의 보고서에 이미 언급된 이전에 더 광범위하게 표적화된 캠페인과 연관된 라우터 중 약 427대가 해당 캠페이에 관여된 것으로 확인했습니다. 현재까지 나머지 546개의 라우터는 이전 캠페인과의 연결이 전혀 이루어지지 않은 상태입니다. 미확인 호스트의 3분의 1(189)은 후티 반군이 장악한 수도 사나에 위치해 있습니다. Coinhive 관리 계정에서 생성된 "유일한" 사이트 키가 여러 호스트에 재사용된 것으로 나타났으며, 이는 소수의 계정이 이러한 호스트의 대부분을 통제하고 있음을 시사합니다.

또한 감염된 라우터는 모두 예멘넷 네트워크의 일부이며, TeleYemen이 소유한 동일한 마이크로틱 라우터는 감염되지 않았습니다. 이 예멘넷 라우터를 감염시킨 주체가 누구인지, 텔레예멘 라우터는 왜 피해를 입지 않았는지는 확인하지 못했습니다. 그러나 사용 가능한 데이터에 따르면 세 가지 가능한 시나리오가 있습니다:

이전에 Avast 보고서에서 발견된 비예멘 호스트와 코인하이브 키가 부분적으로 겹치기 때문에 TeleYemen 호스트는 또 다른 범죄 코인하이브 캠페인의 일부일 수 있습니다.
공습이나 기타 재래식 전투 중에 후티 인터넷 서비스의 용량을 저하시키려는 세력은 코인하이브 익스플로잇을 사용하여 예멘넷의 컴퓨터 속도를 저하시켜 정부 통신과 민간 온라인 서비스를 제한하고 심지어 호스트를 오프라인으로 만들 수도 있습니다.
후티 정부가 주도하는 정부는 정권을 위한 대체 화폐를 생성하기 위해 자체 호스트를 사용하려고 시도하고 있을 수 있습니다. 기근과 경제 위기의 시기에 추가 수입원을 확보하면 기근이 가장 심각한 후티 지역에 원조를 제공하고 하디 주도 정부에 대항할 재래식 무기를 추가로 구매함으로써 후티가 국내적으로 정당화하려는 노력을 강화할 수 있습니다.

관련된 주체와 무관하게, 현재 진행 중인 코인 채굴 캠페인이 후티가 통제하는 인터넷 자원을 소모시키고 있다고 평가합니다. 모네로 채굴 알고리즘은 일반적인 컴퓨터가 맞춤형 채굴 칩(ASIC)을 갖춘 컴퓨터와 마찬가지로 쉽게 암호화폐를 생성할 수 있도록 특별히 설계되었습니다. 비트코인 채굴의 경우 정반대입니다. ASIC의 채굴 성능이 일반 PC를 무용지물로 만들기 때문입니다. Recorded Future는 이러한 노력으로 인해 생성된 Monero의 양을 확인할 수 없었습니다.

예상 사이버 타겟팅 프로필

레코디드 퓨처는 예멘 분쟁의 주요 교전국 각각에 대해 특정 타겟팅 프로필을 예상했습니다. 이 섹션에서는 예상되는 활동과 해당 당사자에게 영향을 미치는 데이터의 차이 또는 부족을 살펴봅니다.

후티 최고 정치 위원회

후티 반군이 예멘에서 광범위한 인터넷 자원을 통제하고 이란의 지원을 받고 있으며, 사실상 국가를 통제하고 있다는 사실은 사우디아라비아 정부를 계속해서 자극하고 있습니다. 이것은 그들이 사우디아라비아의 감시 대상이 될 가능성이 높다는 것을 의미합니다. Recorded Future는 이 감시 활동이 주로 예멘 전역에서 발생하는 소규모 전투의 후티 반군의 의도와 작전 계획을 파악하는 데 사용될 것으로 예상하며, 라우터, 전통적인 호스트, 안드로이드 모바일 기기를 표적으로 삼을 것으로 보고 있습니다. 시민 연구소(Citizen Lab) 는 사우디아라비아의 NSO 그룹의 페가수스(Pegasus) 스파이 도구를 iOS 기기를 표적으로 삼는 데 사용한 사실을 밝혀내며, 해당 국가가 악성 소프트웨어 개발을 외부 위탁하는 데 상대적으로 의도를 가지고 있음을 보여주었습니다.

룩아웃은 NSO 그룹의 안드로이드 기기용 스파이웨어인 Chrysaor가 통신에 Message Queue Telemetry Transport (MQTT)를 사용한다는 사실을 발견했습니다. 프로토콜은 SSL을 통해 트래픽이 암호화될 때 TCP/IP 포트 1883과 포트 8883을 사용합니다. 이 프로토콜은 일반적인 MeetMe 소셜 미디어 플랫폼에서도 사용되며, 항상 연결 상태를 유지하지 못하는 원격 지역에서의 연결에 널리 사용됩니다. 후티가 예멘넷을 통제하고 있음에도 불구하고, Recorded Future는 예멘넷이나 그 수집 데이터 중 어느 곳에서도 전통적인 Chrysaor 구성으로 감염 사례를 식별하지 못했습니다.

하디 정부

하디 정부는 사우디아라비아의 직접적인 지원을 받고 있으며, 이웃 국가에서 수니파와 사우디아라비아의 영향력을 강화하려는 목적으로 활동하고 있으며, 이란의 지원을 받는 후티 세력과 직접적인 전투를 벌이고 있습니다. Recorded Future는 하디 정부의 중국과의 협력으로 인해, 중국이 예멘의 활동을 감시할 가능성이 있다고 예상합니다. 이는 단순히 그들의 투자 상황을 모니터링하는 차원에서 이루어질 수 있습니다. 또한, Recorded Future는 CheckPoint가 이란의 반정부 시민과 잠재적 이슬람국가(IS) 지지자들을 대상으로 사용된 것으로 확인된 이란의 모바일 감시 악성 소프트웨어가 이러한 세력에 대해 배포될 것으로 예상합니다.

남부 분리주의자

남부 운동(Southern Movement)은 공식적으로 남부 과도 정부(Southern Transitional Council, STC)로 알려져 있으며, 주로 아랍에미리트(UAE)의 지원을 받고 있지만, 사우디 연합과 불안정한 동맹 관계를 유지해 왔으며, 이 동맹은 자주 시험대에 올랐고 깨지기도 했습니다. 2018년 10월, STC 군대는 아덴에서 반란을 일으키라고 촉구했으며, 이는 하디 정부의 도시 통제와 직접적으로 충돌했습니다. 이 활동은 유엔의 추가적인 평화 촉구로 이어졌으며, 이로 인해 해당 단체는 남예멘의 자치권을 목표로 하는 그들의 목표에 대해 더 많은 국제적 인정을 얻게 되었습니다. 아랍에미리트(UAE)와 사우디아라비아 정부의 협력과 일반적인 동맹 관계로 인해, Recorded Future는 사우디아라비아가 STC 부대를 표적으로 삼을 것으로 예상하지 않습니다. 同様に, STC는 후티와 직접적인 충돌 관계에 있지만, 인터넷 인프라의 지속적인 통제나 명확한 통신 범위 부족으로 인해, Recorded Future는 이란 악성 소프트웨어가 STC를 대상으로 한 특정 공격을 예상하지 않습니다.

아라비아 반도의 알카에다

예멘의 알카에다 계열 조직은 의외로 특이한 표적화 상황에 처해 있습니다. 카네기 엔드owment에 따르면, 해당 단체는 사우디 주도 연합의 강력한 지지를 받고 있으며, 후티 반군과의 전투라는 공통된 목표를 공유하고 있습니다. 사우디는 심지어 극단주의자들과 비공격 협정을 체결했습니다. 이는 미국이 사우디아라비아의 이익을 지지하는 것과 충돌합니다. 미국은 주로 예멘에서 AQAP 세력을 거의 독점적으로 표적으로 삼고 있기 때문입니다. 이란인들은 사우디와 동맹을 맺은 극단주의자들이 후티 세력을 표적으로 삼는 것을 반대할 가능성이 높습니다.

카스퍼스키는 2012년부터 2018년까지 예멘과 다른 국가의 개별 라우터를 표적으로 삼은 Slingshot 프레임워크를 발견했습니다. 슬링샷은 미국 군대가 이슬람 국가(IS)와 알카에다(Al-Qaeda) 구성원을 표적으로 삼기 위해 사용되었다고 전해지며, 이는 사이버 기술을 테러리스트 감시에 활용한 가장 널리 알려진 사례 중 하나입니다. Recorded Future는 이 활동 중 어떤 것도 식별할 수 없었습니다.

전망

예멘의 지속적인 공습 활동, 예멘 내 각 파벌 간의 무장 충돌, 그리고 예멘의 인프라와 공공 보건의 전반적인 악화에도 불구하고, 예멘의 인터넷 접근성은 탄력성을 보여줄 수 있습니다. 아덴넷(AdenNet)의 도입으로 예멘에 이중 백본 네트워크가 구축됨에 따라, 후티 반군이 사나를 점령하면서 인터넷 접속이 차단된 수천 명의 시민들에게 추가적인 네트워크 접속 포인트가 제공되었습니다. 그러나 YemenNet 내부의 취약점은 해당 인프라 내에서 간첩 활동이나 심지어 파괴적인 캠페인을 유발할 수 있으며, 이는 후티 반군이 통제하는 지역 내 인터넷 접속에 피해를 입힐 수 있습니다.

Recorded Future는 중간 수준의 신뢰도로 평가합니다. 국내에서 인플레이션이 더욱 심화됨에 따라, 사나에 본부를 두고 있는 후티 정부는 원조 및 군사 활동을 강화하기 위해 대체 통화 형태를 창출하려는 시도를 계속할 것으로 예상됩니다. 국내에서 악성 소프트웨어는 특히 인터넷에 대한 새로운 접근 방식이 등장함에 따라 지속적인 위협 요인으로 작용할 것입니다. 同様に, 일부 예멘 시민들은 과거 두 정부가 인터넷 접근을 통제하려는 의도를 이해하고 있어, 정부 인터넷 통제를 우회하는 행위를 계속할 가능성이 높습니다. 불행히도, 정보 접근이나 사이버 수단은 예멘이 기아의 위기와 콜레라 유행, 그리고 계속되는 내전의 잔혹함에서 벗어나도록 돕지 못할 것입니다.

¹https://www[.]github[.]com/BasuCert/WinboxPoC