이 보고서는 레코디드 퓨처의 이전 보고서인 "예멘 내전의 근본적 차원: 인터넷 통제"의 후속 보고서입니다.이 보고서는 이전 보고서에 대한 업데이트와 함께 정부에 의한 인터넷 셧다운 및 접속 통제 추세를 살펴보기 위한 것입니다. 이 연구의출처는Recorded Future® 플랫폼, 시민 연구소, 쇼단, 바이러스토탈, 센시스, 그레이노이즈, 도메인툴즈, 리버싱랩스 및 타사 메타데이터의 결과와 방법을 포함합니다. 레코디드 퓨처는 인터넷 중단, 접속 제한, 검열에 대해 지속적으로 보고해 주신 Citizen Lab, AccessNow, NetBlocks, Oracle/Dyn, Freedom House에 감사의 말씀을 전합니다.

Executive Summary

2018년 12월 초에 평화 협상이 시도되었음에도 불구하고, 예멘의 분쟁은 계속해서 인명 피해를 입히고 있습니다. 세계보건기구(WHO)는 콜레라 대유행으로 인해 아라비아 국가가 전염병, 기아, 내전으로 인한 인도주의적 재난에 빠지자 해당 국가를 위기 상태로 선포했습니다. 알-후다이다 항구 도시에서 휴전이 아직 깨지지 않았으며, 이로 인해 굶주림의 위기에 처한 국가에 인도주의적 지원을 전달할 수 있는 길이 열릴 수 있습니다. 현재 세계식량은행이 해당 지역에서 보유하고 있는 곡물 창고는 현재 접근이 불가능하며, 철수 협상이 이루어지기 전에 부패할 수 있습니다.

지속적인 공습 활동, 예멘 내 각 파벌 간의 무장 충돌, 그리고 예멘의 인프라와 공공 보건 상태의 전반적인 악화로 인해, 예멘의 인터넷 인프라의 소규모 규모는 여전히 축소된 상태입니다. 사용률이 낮은 것으로 나타났음에도 불구하고, Recorded Future는 후티 세력이 통제하는 ISP인 YemenNet에서 네트워크 제어 장치의 배포가 증가하고 있음을 관찰했습니다. Recorded Future는 예멘의 최상위 도메인(TLD) 공간이나 예멘의 주요 인터넷 서비스 제공업체 중 어느 곳에서도 실질적인 변화를 관찰하지 못했습니다.

인터넷 접근 제어는 인터넷 장애, 정보 통제 제한, 기타 검열 방법 등이 전 세계적으로 증가함에 따라 점점 더 중요한 트렌드로 부상하고 있습니다. 예멘 내에서는 여러 세력이 인터넷 인프라의 통제권을 놓고 경쟁하며, 정보가 그들의 영토로 들어오고 나가는 것을 통제하기 위해 다양한 방법으로 교묘한 위협 수단을 활용하고 있습니다. 인터넷 사용의 차단 또는 제한은 인터넷 제한이나 블랙아웃 활동의 더 넓은 추세 속에서 일반적인 현상이 되었습니다. 인도, 베네수엘라, 방글라데시, 그리고 수단은 국민들의 인터넷 접근을 통제하기 위해 다양한 방법을 사용해 왔습니다.

위협 분석

전투와 인도주의적 재난 속에서 국제 사회의 주요 국가들은 여전히 이 끔찍한 상황을 긍정적인 뉴스로 활용하거나 예멘에서의 영향력을 유지하기 위해 노력하고 있습니다. 미국은 2019년 1월 6일 아라비아 반도의 알카에다 소속으로 알려진 인물에 대한 드론 공격이 2000년 아덴 만에서 발생한 알카에다의USS 콜 호 폭탄 테러에 대한 보복으로"정의가 실현되었다" 고 밝혔습니다. 사우디아라비아의 지원을 받은 미사일 공격이 후티 반군이 장악한 수도 사나를 대상으로 계속되고 있으며, 이는 "표적 군사 공격"이라고 주장되지만 민간인 희생자가 계속 발생하고 있습니다.

2019년 2월, CNN은 미국에서 제조된 무기 시스템이 사우디아라비아와 아랍에미리트에 판매된 후 알카에다 회원들과 후티 민병대에게유입되었다는 내용을 상세히 보도했습니다. 이 무기 시스템에는 장갑형 지뢰 저항형 습격 보호 차량(MRAP)도 포함되어 있습니다. 후티 반군은 미국 차량과 무기의 우발적인 지원을 받아 단순히 잘 조직된 민병대를 압도하고 더 강력한 세력으로 부상한 것뿐 아니라, 검열과 감시 능력도 더욱 강화되었습니다.

Recorded Future는 Shodan 검색을 통해 예멘넷(YemenNet)에 두 개의 추가 Netsweeper 장치가 두 개의 IP 주소(82.114.160.93 및 82.114.160.94)에 배포된 것을 확인했습니다. 82.114.160.98에 식별된 장치는 이 분석 시점에도 여전히 작동 중이었습니다. 후티 반군이 통제하는 네트워크에서 검열 장치가 다시 등장한 것은 예멘 내전에서의 일시적인 안정 신호일 수 있습니다. 운영자들이 이제 이러한 장치를 가동할 시간과 안전을 확보했을 가능성이 있기 때문입니다. 후티 세력은 이전에 WhatsApp 그룹을 해킹했으며, 현지 연락처에 따르면 해당 단체는 여전히 개인 채팅에 접근할 수 있는 것으로 알려졌습니다. 이는 개인의 모바일 기기 해킹이나 개인을 유인해 데이터를 제공하도록 유도하는 방법을 통해 이루어진 것으로 추정됩니다.

Recorded Future는 Netsweeper 설치로 인한 예멘에서의 트래픽 검열이 진행 중임을 확인하지 못했습니다. 이는 예멘 내 트래픽 양이 적다는 점과 예멘넷(YemenNet) 내 모니터링 능력 및 가시성 부족이 결합된 결과로 추정됩니다. Rapid7의 국가 노출 지수(National Exposure Index) 에 따르면, 예멘의 ASN(자율 시스템 번호)은 135,168개의 IP 주소를 할당했지만, 실제로 할당된 주소는 17,934개에 불과해 낮은 사용률을 보여주고 있습니다.

Recorded Future는 해당 국가에서 AdenNet의 광범위한 채택이 아직 관찰되지 않았으며, 이는 ISP를 도입한 하디 정부가 여전히 주로 사우디아라비아에 머물고 있으며 아덴에 있지 않다는 사실과 관련이 있을 수 있습니다. 예멘의 일반적인 인터넷 사용률은 낮은 것으로 나타났습니다. GreyNoise 데이터에 따르면 해당 국가에서 관측된 총 호스트 수는 538개로, 예멘의 규모와 IP 할당량을 고려할 때 매우 낮은 수치입니다. 비교적으로, Shodan은 해당 국가에서 총 44,451대의 장치를 탐지했지만, 이들이 사용 중이라는 데이터는 없습니다.

DomainTools 데이터에 따르면 현재 .ye 도메인 이름은 1,184개입니다. 도메인(예멘의 최상위 도메인) — 도메인 구매 건수가 32건 증가했습니다. Recorded Future는 이러한 도메인 등록 중 어느 것도 관찰하지 않았습니다. TLD는 여전히 후티 반군과 예멘넷의 관할 하에 있습니다. 이 TLD의 통제권을 통해 후티 반군은 외부 인터넷에 대해 예멘의 합법적인 관리자로 자신을 내세울 수 있습니다.

전 세계적으로 새롭게 부상하는 인터넷 중단 활동

해저 케이블의 절단 및 예멘의 인터넷 통제를 위한 기타 노력은 진공 상태에서 이루어진 것이 아니라, 전 세계적으로 우려스러운 추세로 발전해 왔으며, 특히 아프리카에서 두드러지게 나타나고 있습니다. 인터넷 장애, 정보 통제 및 기타 검열 방법이 전 세계적으로 증가하고 있다고 여러 감시 단체와 비영리 단체들이 보고하고 있습니다. 최근 보도에 따르면, HTTP 트래픽 검열, VPN 차단, 이모지 검열이 다양한 국가에서 발생하고 있습니다. 특히 주목할 점은 베네수엘라, 인도, 방글라데시, 수단이 국민들의 인터넷 접근을 조작하기 위해 다양한 방법을 사용해 왔다는 점입니다.

2019년 인터넷 중단 타임라인. (출처: 레코딩된 미래)

이 국가들은 다국적 기업들에게 여러 가지 이유로 관심을 끌고 있습니다. 베네수엘라는 국제 석유 시장에서 주요 플레이어로 활동하고 있으며, 해당 국가의 정치적 상황은 계속해서 국제 사회의 해당 국가 접근을 불안정하게 만들고 있습니다. 방글라데시는 소매업체들에게 특히 흥미로운 국가입니다. 왜냐하면 의류 공급망의 상당 부분이 해당 국가에 위치해 있기 때문입니다. 마지막으로, 수단 — 그리고 인터넷 보급률이 낮은 다른 아프리카 국가들 —은 인터넷을 다양한 방식으로 차단하는 데 더 기울어져 왔으며, 이는 잠재적인 인권 침해 사례를 보여주는 흥미로운 사례를 고객들에게 제공하고 있습니다.

베네수엘라

베네수엘라는 초인플레이션과 식량 및 의약품 부족으로 인한 정치적 불만이 고조된 상황에서, 권력 장악 시도, 전기 공급 불안정, 인터넷 차단 등으로 인해 상황이 더욱 악화되고 있습니다. 적대적 세력들이 베네수엘라의 권력과 통제권을 놓고 경쟁해 왔으며, 일부 단체들은 국내 인터넷 및 정보 접근을 통제하려는 시도를 벌여 왔습니다. 이 조치에는 베네수엘라 내에서의 소규모 ·표적형 DNS 조작, 전국적인 스트리밍 서비스 차단, 그리고 인터넷 접속의 완전한 차단이 포함되었습니다.

2019년 1월부터 베네수엘라에서 지역별 정전과 전국적인 인터넷 장애가 보고되고 있습니다. NetBlocks는 또한 분쟁 중인 대통령직과 진행 중인 경제 위기와 관련해 국내에서 소셜 미디어 및 정보 웹사이트의 접속 차단 상황을 보고했습니다. NetBlocks는 2019년 1월 27일 임시 대통령 연설 중 유튜브, 페리스코프 및 기타 스트리밍 플랫폼의 서비스 중단을 추가로 확인했습니다.

2019년 2월, 카스퍼스키 랩은 베네수엘라 내에서 DNS 조작의 증거를 발견했습니다. 공격자들은 합법적인 자원봉사 웹사이트의 DNS 기록을 베네수엘라에 위치한 잠재적으로 악성 IP 주소로 변경했으며, 해당 IP 주소는 악성 도메인도 호스팅하고 있었습니다. 이 공격은 베네수엘라 내의 사용자를 악성 인프라로 유도했으며, 나머지 전 세계 사용자는 예상된 인프라로 라우팅되었습니다. 이 활동은 Motherboard의 조사 결과에 따르면,임시 대통령 후안 과이도를 지지하는 베네수엘라 시민들을 표적으로 삼아 피싱 공격을 수행하기 위해 사용된 것으로 추정됩니다.

방글라데시

2019년 1월 2일, 방글라데시는 전국적인 총선을 앞두고 국내 모든 모바일 데이터 서비스에 대한 전국적인 속도 제한 조치를 명령했습니다. 방글라데시는 국가 인터넷 연결의 93%가 모바일폰에서 이루어지고 있다는 방글라데시 통신청(Bangladesh Telecommunication Regulatory Commission)의 발표에 따라 모바일 데이터 접근을 제한하기로 결정했습니다. Recorded Future는 이러한 노력들이 해당 국가 내부의 사회적 불안을 진정시키기 위한 시도일 가능성이 높으며, 이는 해당 국가가 직면한 수많은 인권 침해 혐의에 대한 정보의 확산을 방지하기 위한 목적이라고 판단합니다.

이번 폐쇄 조치는 중국 내 통신을 제한하고 중국 내 잔학 행위의 증거가 외부로 확산되는 것을 방지하려는 두 가지 목적이 있는 것으로 보입니다. 이는 레코디드 퓨처가 예멘에서 관찰한 활동과 유사한 것으로 보이는데, 후티 세력은 인터넷 인프라와 예멘 TLD 공간을 통제하면서 외부 세계에 예멘을 후티 국가로 인식시키려고 시도했습니다. 레코디드 퓨처는 방글라데시 정부가 예멘에서와 비슷한 방식으로 국가 내부 문제에 대한 외부의 이야기를 통제하려고 시도하고 있다고 의심하고 있습니다.

인도

2018년 인도에서는 인터넷 장애 및 서비스 중단 사건이 134건 보고되며 전 세계에서 가장 많은 사건을 기록했습니다. 인도에서는 인터넷이 자주 중단되기 때문에, 이를 추적하기 위한 서비스가 개설되었습니다. 국내의 통신 연결 부족은 통신사들의 문제나 인프라 부족 때문이 아니라, 고정선 및 무선 통신사들에게 접속 권한을 철회하도록 하는 정부 명령이 불규칙적이고 때로는 설명되지 않은 채로 내려졌기 때문입니다. 해당 사건들은 "정부가 한 지역 또는 여러 지역에서 일정 기간 동안 인터넷 접속을 전면 차단하는 조치"로 설명되고 있습니다. 활동의 규칙성이 우려스럽습니다. 또한 인터넷 접속이 제한되거나 차단되는 규모도 문제입니다.

정전 사태의 대부분은 이동통신사를 대상으로 발생했으며, 이는 국가의 북서부 지역, 즉 지역적 경쟁국인 파키스탄과 접경한 펀자브와 카슈미르 지역에서 발생했습니다. 대부분의 폐쇄 조치는 무장 세력의 활동 보고에 대응해 이루어졌으며, 추가 활동에 대한 잠재적 소문을 진압하기 위한 목적도 포함됩니다. Freedom House의 2018년 인도 인터넷 자유 보고서 따르면, 인터넷 속도가 자주 2G 속도로 저하되거나 완전히 차단됩니다. 보고서는 정부 관계자들이 인터넷 및 이동통신 서비스 제공업체에 접속 제한 또는 차단 조치를 명령할 때 자주 "예방 조치"를 언급한다고 밝혔습니다. Recorded Future는 파키스탄과 인도 간의 긴장이 고조됨에 따라 국경 지역에서의 인터넷 차단이 단기적으로 범위와 규모가 확대될 것으로 예상합니다.

인도 정부의 인터넷 통제는 범위, 빈도, 방법론 측면에서 다른 국가들과 차이가 있습니다. 인도은 민주주의 국가로, 소수 민족 지역에서의 인터넷 접근을 테러 방지 및 무장 세력 활동 억제를 위해 제한하고 있습니다. 일반적으로 인터넷 검열과 접근 통제는 독재 정권이나 개발도상국과 연관되어 있지만, 인도는 민주주의 국가이며 세계 6위의 국내총생산(GDP) 가치를 유지하고 있습니다. GDP는 상대적 경제 규모를 측정하는 지표입니다. 몬클레어 주립대학교의 연구진은 2017년 국경 지역에서 발생한 59건의 인터넷 차단으로 인해 인도 경제에 약 5억 달러의 GDP 손실이 발생했다고 추산했습니다.

프리덤 하우스는 또한 전 세계적 추세를 다룬 연간 보고서를 발표했으며, 이 보고서에서는 전 세계 여러 국가들이 중국산 통신 인프라를 구매하고 있는 점을 지적했으며, 인도도 그 중 하나였습니다. 예멘은 특히 중국 통신업체 화웨이로부터 대규모 장비를 구매했습니다. 이 인프라와 함께 Netsweeper 콘텐츠 필터링 장치가 배포되었습니다. Shodan을 사용하여 Recorded Future는 해당 국가에서 8개의 Netsweeper 인스턴스를 식별했으며, 그 중 5개의 장치가 Huawei SSL 인증서로 서명된 것으로 확인되었습니다. Recorded Future는 Netsweeper 장치를 통해 인도에서 진행 중인 트래픽 검열을 확인하지 못했습니다.

수단

디지털 권리 비영리 단체인 AccessNow와 Netblocks는 2018년 12월 수단 전역에서 트위터, 페이스북, 인스타그램, 왓츠앱에 대한 접속이 전면 중단되었다고 보고했습니다. 해당 애플리케이션의 차단 조치는 해당 국가에서 70%의 인플레이션과 곡물 및 석유 가격 급등으로 인한 시위 속에서 이루어졌습니다. 수단의 정권은 전국적인 시위에 대해 강경하게 대응하며, 최루 가스와 실탄을 사용한 진압 경찰을 동원해 시민들을 진압해 수십 명의 시위대가 사망했습니다. 전국적으로 인터넷 접속이 제한되어, 앞서 언급된 애플리케이션에 대한 접근이 차단되었습니다. 이는 "소문 유포"를 방지하기 위한 조치입니다.

이 검열은 여러 인터넷 서비스 제공업체(ISP)가 협력해 소셜 미디어 및 통신 애플리케이션에 대한 접근을 차단하기 위한 조직적인 노력을 보여주었습니다. 수단 통신업체 Zain-SDN, Sudatel, 및 Kanartel이 정전으로 인해 영향을 받았으며, 국제 통신업체 MTN도 영향을 받았으나, MTN은 WhatsApp을 차단하지 않았다고 보고되었습니다. 이는 정권이 인터넷 서비스 제공업체를 압박해 효과적인 언론 차단 조치를 시행하도록 유도하고 있음을 시사합니다. 아노니머스 회원들은 수단 주민들에게 모바일 기기에서 TOR 또는 VPN을 사용해 차단 조치를 우회하도록 장려했지만, 이 방법이 인터넷 서비스 제공업체(ISP)의 차단 조치를 효과적으로 회피했는지 여부는 확인되지 않았습니다.

스테이트크래프트와 분쟁에서 인터넷 통제 방법

최근의 검열 조치와 인터넷 차단 사례는 인터넷 접근 통제 체제의 다양한 방법과 반정부 단체들이 정보 접근을 통제해야 하는 상황을 반영하고 있습니다. 더 직접적인 방법은 일반적으로 대규모 인터넷 차단으로 이어지며, 예멘에서 후티 세력이 인터넷 케이블을 절단한 사례나 올해 방글라데시와 짐바브웨에서 사용된 더 잔인한 차단 조치들이 그 예시입니다. 이러한 조치들은 시민들에게 완전한 인터넷 차단 상태를 강요했습니다.

전국적인 검열은 라우팅 단계에서도 가능하지만, 항상 쉽게 구현되지는 않습니다. 러시아는 암호화 메시징 앱 텔레그램을 프로토콜 수준에서 차단하려는 시도를 실패로 끝냈으며, 결국 구글과 아마존에 속한 전체 서브넷을 차단했습니다. 이 조치로 인해 해당 국가의 인터넷에 광범위한 부정적 영향이 발생했습니다. 터키는 2014년에 구글 DNS와 오픈DNS에 대한 강압적인 DNS 해킹을 통해 해당 국가의 트위터 및 기타 소셜 미디어 플랫폼 사용을 제한했습니다. 이란은 BGP 하이재킹을 통해 미디어 트래픽을 싱크홀링하는 방법을 포함해 HTTP 호스트 기반 차단, 키워드 필터링, 프로토콜 기반 속도 제한 등 다양한 방법을 사용하여 콘텐츠 차단 조치를 시행했습니다.

콘텐츠 수준 검열은 IP 및 DNS 인프라에 대한 통제권이 강한 국가에서 사용될 수 있으며, 이는 예멘이 Netsweeper 장치를 사용한 사례에서 이미 언급된 바 있습니다. 시민 연구소(Citizen Lab)는 이전에 이러한 검열 장치에 대한 연구를 진행해 왔으며, 새로운 보고서에 따르면 중동 지역에서 콘텐츠 감시를 위해 심층 패킷 검사(deep packet inspection) 기술을 사용하는 국가들이 발견되었습니다.

전망

이 수준의 검열은 위에서 언급된 국가들에 한정되지 않습니다. 인터넷 통제는 국가들이 국가 정책의 일환으로 점점 더 많이 활용하는 도구로 자리 잡았습니다. 정부 검열은 새로운 현상이 아니지만, 외부 기관들이 이러한 사건을 점점 더 많이 보고하고 있습니다. 이러한 조치를 시행하는 국가들은 위험을 감수하게 됩니다 — 그들은 인구 통제권을 유지할 수 있지만, 이러한 조치들은 국내 경제에 해로운 영향을 미치고 기업 활동 기회를 억제할 가능성이 높습니다. 디지털 검열을 시행하는 국가들은 일반적으로 자체 기술 발전과 비즈니스 혁신을 지연시키는 경향이 있습니다.

이러한 인터넷 셧다운은 영향을 받는 지역 전체에 위험을 가중시킬 수 있습니다. 또한 검열과 셧다운은 사회적 비용을 넘어 경제 성장과 무역을 심각하게 저해할 수 있습니다. 온라인으로 운영하거나 셀룰러 서비스에 의존하는 많은 비즈니스는 큰 손실이 발생할 수 있으며 특정 주에서는 생산이 제한될 수 있습니다. 해당 국가에서 활동하는 기업은 운영 통제권을 상실하여 조작이 발생하거나 본사와의 연락이 두절되어 직원들이 사실상 발이 묶일 수 있습니다.