>
연구(Insikt)

북한 지배 엘리트, 외국의 조사에 맞춰 인터넷 행동 변화

게시일: 2018년 4월 25일
작성자: Insikt Group

북한 인터넷 활동에 대한 심층 분석 결과, 북한은 서방 소셜 미디어를 포기하고 운영 보안 관행을 대폭 강화한 것으로 나타났습니다.

insikt-group-logo-updated-3-300x48.png

전체 분석 내용을 PDF로 다운로드하려면 여기를 클릭하세요.

범위 참고: 인사이트 그룹은 다양한 도구를 사용하여 타사 데이터, IP 지리적 위치, 국경 게이트웨이 프로토콜(BGP) 라우팅 테이블, 오픈 소스 정보(OSINT)를 분석하여 북한 최고위 지도부의 인터넷 활동을 조사했습니다. 이번 보고서는 2017년 7월 분석에 대한 후속 조치로, 2017년 12월 1일부터 2018년 3월 15일까지의 데이터를 분석했습니다.

Executive Summary

2017년 7월, 레코디드 퓨처는 북한의 가장 신뢰받는 지도자, 즉 북한의 "0.1%"의 인터넷 검색 행태에 대한 연구를 발표했습니다. 이 연구를 수행하면서 북한의 지배 엘리트들이 현대 인터넷 사회에 연결되어 있고, 기술에 능숙하며, 서구의 사용자들과 매우 유사한 인터넷 사용 패턴을 가지고 있다는 사실을 발견했습니다.

12월에 저희는 분석을 재검토하기로 결정했고, 북한 지배 엘리트의 인터넷 활용 방식에서 실질적인 변화를 발견했습니다. 특히, 북한 지도부는 최초 분석 이후 6개월 동안 서방의 소셜 미디어를 거의 완전히 포기하고 작전 보안 절차를 크게 강화했습니다.

이러한 극적인 행동 변화는 다음 중 하나 또는 여러 가지가 복합적으로 작용한 결과일 가능성이 높습니다: 1) 북한 주민들의 미디어 소비에 대한 외국의 연구와 관심 증가, 2) 2016년 4월부터 시행된 서구의 소셜 미디어 서비스에 대한 공식 금지 조치의 새로운 시행, 3) 북한 엘리트층의 작전 보안 강화.

주요 판단

  • 북한 엘리트들은 서구의 소셜 미디어와 서비스에서 거의 완전히 중국의 알리바바, 텐센트, 바이두로 옮겨갔습니다.
  • 6개월 동안 북한 엘리트층의 인터넷 난독화 서비스 사용률이 1,200% 증가했습니다. 여기에는 가상 사설망(VPN), 가상 사설 서버(VPS), 전송 계층 보안(TLS), 토르(Tor) 등의 서비스가 급격히 증가하는 것이 포함됩니다.
  • 휴리스틱1 분석 결과, 태국과 방글라데시 두 국가에서 북한인들이 불법 수익 창출 활동을 하며 거주하고 있을 가능성이 있는 것으로 확인되었습니다. 2017년 인도, 말레이시아, 뉴질랜드, 네팔, 케냐, 모잠비크, 인도네시아, 중국 등 8개국에 이어 이번에 추가된 국가입니다.
  • 북한은 계속해서 비트코인을 채굴했고, 1월 말에는 모네로도 채굴하기 시작했습니다.

배경

지난 7월에 자세히 설명했듯이, 북한의 고위 지도부 중 글로벌 인터넷에 직접 접속할 수 있는 사람은 극소수에 불과합니다. 북한 인터넷 사용자에 대한 신뢰할 만한 수치는 없지만, 기자들은 "극소수"에서 "북한 지도부의 이너서클", "수십 가정에 불과"하다고 추정합니다. 정확한 숫자와 상관없이 북한 인터넷 사용자의 프로필은 지배 계층의 신뢰받는 구성원 또는 가족이라는 점은 분명합니다.

북한 엘리트들이 글로벌 인터넷에 접속하는 방법은 크게 세 가지입니다. 인터넷에 연결된 모든 네트워크와 마찬가지로 이러한 범위의 악성 활동에 대한 보고가 간혹 있습니다. 그러나 북한의 악성 사이버 작전의 대부분은 해외에서 수행될 가능성이 높습니다(자세한 내용은 아래의 '외국에서의 존재' 섹션에서 확인할 수 있습니다).

첫 번째 방법은 할당된 .kp 도메인을 사용하는 것입니다. 범위인 175.45.176.0/22로, 국내 유일의 인터넷 액세스 가능 웹사이트를 호스팅합니다. 여기에는 co.kp, gov.kp, edu.kp 등 9개의 최상위 도메인과 다양한 북한 국영 미디어, 여행 및 교육 관련 사이트의 약 25개의 하위 도메인이 포함됩니다.

북한-북한-인터넷-행동-1.png

175.45.176.0/22와 관련된 이벤트 타임라인 범위는 2017년 7월부터 2018년 4월까지입니다.

두 번째 방법은 차이나 넷콤에서 할당된 범위인 210.52.109.0/24를 이용하는 것입니다. 'KPTC'라는 네임은 국영 통신 회사인 한국우정통신공사의 약자입니다.

북한-북한-인터넷-행동-2.png

210.52.109.0/24와 관련된 이벤트 타임라인 범위는 2017년 7월부터 2018년 4월까지입니다.

세 번째 방법은 러시아 위성 회사에서 제공하는 할당된 범위인 77.94.35.0/24를 이용하는 것으로, 현재 레바논의 SatGate로 확인됩니다.

북한-북한-인터넷-행동-3.png

77.94.35.0/24와 관련된 이벤트 타임라인은 2017년 7월부터 2018년 4월까지입니다.

편집자 주

이 시점부터 '북한의 인터넷 활동' 또는 '행동'은 일부 지도자와 지배 엘리트에게만 접근이 허용된 북한 내부 인트라넷인 광명이 아닌 글로벌 인터넷 사용을 지칭합니다. 이 데이터는 광명이나 북한에 위치한 외교 및 외국 기관에 대한 접근이 허용된 특권층 북한인들의 인트라넷 활동이나 행동에 대한 통찰력을 제공하지 않습니다.

또한, 2017년 12월 1일부터 2018년 3월 15일까지를 기간으로 선정한 이유는 2018년 2월 한국에서 열리는 동계올림픽을 앞두고 남북 간 대화가 활발해지는 과도기적 시기였기 때문입니다.

분석

전 세계 인터넷 사용자들과 마찬가지로 북한 엘리트층의 인터넷 활동은 주로 인터넷 동영상, 온라인 게임, 웹 브라우징으로 구성됩니다. Cisco의 분석에 따르면 2017년 전 세계 인터넷 트래픽의 77%가 인터넷 비디오와 온라인 게임으로 구성된 것으로 나타났습니다. 북한 사용자의 활동 중 70%는 인터넷 비디오 또는 온라인 게임, 17%는 웹 브라우징, 이메일 확인, 데이터 다운로드, 13%는 가상 사설망(VPN) 또는 기타 난독화 처리된 데이터로 구성되었습니다.

소셜 미디어 소비의 변화

북한 지도부는 12월부터 3월까지 소셜 미디어, 쇼핑, 검색 사이트에서 지난 여름과 거의 같은 시간을 보냈습니다. 하지만 이들이 활용하는 서비스는 크게 달라졌습니다.

북한-북한-인터넷-행동-4.png

2017년 12월 1일부터 2018년 3월 15일까지(실제) 8개의 소셜 네트워킹, 쇼핑, 검색 사이트의 시간별 활동량입니다. 제공업체는 인기도별로 Alibaba(최고)부터 Instagram(최저)까지 나열됩니다.

지난 7월, 저희의 데이터에 따르면 북한 지도부는 특히 페이스북, 구글, 인스타그램 등 서구의 소셜 미디어를 많이 사용하는 것으로 나타났습니다. 실제로 Facebook은 중국어 서비스보다 일일 실제 사용량이 두 배 이상 많은 가장 인기 있는 서비스였습니다.

2017년 12월부터 2018년 3월까지의 소셜 미디어 활동에서 가장 눈에 띄는 점은 페이스북과 인스타그램의 활동이 거의 없고 중국 서비스 사용이 크게 증가했다는 점입니다. 페이스북과 인스타그램 활동은 너무 낮아서 위 차트에 표시되지 않습니다.

6개월이라는 짧은 기간 동안 북한 엘리트들은 서구의 소셜 미디어와 서비스에서 알리바바, 텐센트, 바이두로 거의 완전히 옮겨갔습니다. 상위 8위 안에 든 나머지 서구권 서비스들은 주로 소셜 네트워킹이 아닌 콘텐츠 스트리밍에 활용되었습니다.

이러한 행동 변화는 북한 주민들의 미디어 소비에 대한 외국의 연구와 관심 증가, 2016년 4월부터 시행된 서구의 소셜 미디어 서비스에 대한 공식적인 금지 조치, 북한 엘리트들의 작전 보안 강화 등의 결과일 수 있습니다.

생활 패턴

이 기간 동안 북한 지도자들은 2017년 여름과 유사한 뚜렷한 일일 사용 패턴을 보였습니다. 일반적으로 활동이 가장 많은 시간대는 오전 9시부터 오후 8시 또는 오후 9시까지이며, 토요일과 일요일이 지속적으로 가장 많은 활동을 보이는 요일입니다. 토요일 늦은 밤과 일요일 이른 아침에 활동이 가장 많았던 것은 주로 콘텐츠 스트리밍이나 온라인 게임으로, 북한 엘리트층에게 주말에 여가 시간이 허용되었음을 시사합니다.

북한-북한-인터넷-행동-5.png

시간별 일일 인터넷 사용량(평균이 아님).

영리 기업으로서의 게임

2012년경부터 기자, 학자, 연구자들이 실시한 일련의 탈북자 인터뷰를 통해 외부 세계는 북한의 사이버 작전 목표와 인력을 엿볼 수 있었습니다. 탈북자들은 주로 해외 시설에 거주하는 운영자와 프로그래머로 구성된 북한 공작 조직이 김 정권을 위한 수익 창출이라는 중요한 목표를 가지고 있다는 그림을 그려왔습니다.

북한 주민을 해외로 보내 사이버 작전을 수행하는 이 운영 모델은 해커들이 북한 정권을 위해 돈을 버는 수단과 우리가 분석한 북한 엘리트 웹 트래픽을 비교할 때 특히 관련이 있습니다. 탈북자들은 비디오 및 온라인 게임과 사용자들을 대상으로 한 위조 및 사기가 김 정권의 수익 창출에 얼마나 중요한 역할을 하고 있는지 자세히 설명했습니다. 중국의 주택에서 수십 명의 다른 북한 해커들과 함께 일했던 한 탈북자는 이들이 연간 10만 달러에 가까운 돈을 벌어야 했고, 그 중 80%가 김 정권에 송금되었다고 말했습니다. 이 요건을 충족하기 위해 이들은 위조 비디오 게임, 무기, 포인트, 장비와 같은 디지털 아이템을 훔쳐 재판매하는 봇, 게임 소프트웨어의 새로운 취약점을 발견하여 판매하는 봇을 만들었습니다.

아래 목록은 2017년 7월 이후 북한 엘리트층의 온라인 게임 사용 현황을 보여주는 것으로, 연구자들은 해외 북한 해커들이 정권의 수익을 창출하기 위해 어떤 게임을 악용하고 있는지 파악할 수 있는 단서를 얻을 수 있습니다. 이러한 유형의 수익 창출이 북한 영토에서 얼마나 이루어지고 있는지는 명확하지 않습니다. 하지만 해외 사업자들은 이미 익숙한 플랫폼과 서비스를 대상으로 봇이나 게임 핵을 개발하는 경우가 많았습니다.

  • 0AD: 제국 어센던트
  • 에이스 오브 스페이드
  • 지진
  • 마라톤 3부작 게임
  • 무장 공격 1-3
  • 월드 오브 워크래프트
  • 큐브 2: 사우어브라텐
  • 디아블로 2
  • 리그 오브 레전드
  • 세컨드 라이프
  • Steam의 계정 및 게임

또한 북한 엘리트들은 닌텐도, 플레이스테이션 등 다양한 게임 콘솔이나 시스템, 그리고 스팀과 블리자드 같은 게임 저장소 및 계정 제공업체를 활용하고 있습니다.

외국에서의 존재

지난 7월 연구에서는 전 세계 국가에 존재하는 북한의 주요 물리적, 가상적 존재를 식별하는 휴리스틱을 개발했습니다. 이 휴리스틱에는 이들 국가를 오가는 북한의 평균 이상의 인터넷 활동뿐만 아니라 뉴스 매체, 구 또는 시 정부, 지역 교육 기관 등과 같은 다양한 현지 리소스의 검색 및 사용도 포함되었습니다.

이 기술을 통해 인도, 말레이시아, 뉴질랜드, 네팔, 케냐, 모잠비크, 인도네시아, 중국 등 탈북자가 실제로 거주하거나 소재한 8개국을 파악할 수 있었습니다. 이번 12월부터 3월까지의 데이터 세트에서는 분석 결론의 충실도를 높이기 위해 해당 8개 국가의 데이터를 재검토하고 패턴에 맞지 않는 국가의 사례를 포함시켰습니다.

북한-북한-인터넷-행동-6.png

2015년 북한의 주요 수출 대상국(자료 제공: MIT 경제 복잡성 관측소). 중국, 인도, 인도네시아, 태국, 방글라데시, 네팔('기타 아시아'의 일부), 모잠비크가 이 상위 수출 대상국 목록에 포함됩니다.

지난 여름에 확인된 8개국 중 말레이시아와 뉴질랜드만 더 이상 행동 휴리스틱에 맞지 않지만, 그 방식은 약간 다릅니다.

뉴질랜드의 경우 트래픽 양은 비교적 안정적으로 유지되었지만, 휴리스틱 후반부(로컬 리소스 등)의 활동은 더 이상 나타나지 않았고 대신 주로 북한의 비트토렌트, 비디오 스트리밍, 게임 서비스의 허브로 나타났습니다. 1월 초 3일 동안 뉴질랜드 방위군 IP가 북한 네트워크에 반복적으로 접속을 시도하는 사건이 발생했습니다. 이 활동은 반복적이고 시끄러웠지만 북한 인터넷 서비스에 장애를 일으킬 수준은 아니었습니다.

뉴질랜드는 2017년 8월 북한 학자들에 대한 비자 거부 조치와 유엔 및 미국 제재 체제에 대한 지지를 통해 일부 북한 공작 활동에 대응했을 가능성이 있습니다.

말레이시아의 경우 트래픽이 크게 감소했지만 말레이시아에 북한인이 있는 것은 분명합니다. 예를 들어, 쿠알라룸푸르에서 북한 공식 이메일 계정을 반복적으로 확인하고 있지만, 현지화된 북한 활동의 폭은 지난 여름보다 훨씬 좁아졌습니다.

말레이시아-북한 관계는 지난 여름부터 김정남 암살 사건 이후 크게 악화되었습니다. 말레이시아는 평양 주재 대사를 소환하고, 북한 초청 근로자, 기업 및 항공편에 제한을 가하고, 여행 금지 조치를 취했으며, 북한에 쿠알라룸푸르 주재 공관 규모를 축소하도록 요구할 수 있습니다.

인도, 네팔, 케냐, 모잠비크, 인도네시아, 중국 등 나머지 6개 국가 외에도 두 국가의 인터넷 활동이 이 행동 징후에 부합하는 것으로 나타났습니다: 태국과 방글라데시입니다. 우리는 이 8개국들이 자의든 타의든 탈북자들을 수용하고 있다고 평가합니다. 이러한 북한인들은 북한의 핵무기 및 사이버 작전 프로그램을 발전시킬 목적으로 국제 제재를 회피하거나 고급 교육을 받을 목적으로 불법적인 수익 창출 활동을 하고 있을 가능성이 높습니다.

사이버 작전을 수행하는 북한의 전략적 동기에 대한 연구 1부에서는 북한의 미사일 및 핵 개발 프로그램 자금을 확보하기 위해 김 정권이 실행하고 있는 광범위한 해외 범죄 작전 중 일부를 자세히 설명했습니다.

북한의 불법 수익 창출 네트워크는 연구자, 기자, 학자들에 의해 광범위하게 연구되어 왔습니다. 이 연구와 그 밖의 여러 연구들은 북한이 해외 공관, 국영 식당 체인, 해외 거주 시민들을 어떻게 불법 수익 창출과 핵 및 사이버 작전 훈련을 촉진하는 데 이용하는지 자세히 설명합니다.

태국과 방글라데시는 북한 국영 식당, 범죄 활동과 연계된 외교 시설, 북한 투자를 허용하고 있습니다. 우리가 개발하고 적용한 디지털 서명은 이 두 국가를 이 목록에 포함시키는 데 있어 신뢰를 높이는 또 하나의 데이터 포인트일 뿐입니다.

볼륨은 높지만 시그니처 매치가 없음

북한 사거리에서 높은 활동량을 보였지만 휴리스틱의 두 번째, 즉 국지적 절반을 충족하지 못한 국가가 몇 군데 있습니다. 특히 상위 10개 국가 중 대다수는 북한 사용자들이 단순히 동영상 스트리밍, 콘텐츠 전송 또는 VPN/VPS 서비스를 이용하는 국가였습니다.

북한-북한-인터넷-행동-7.png

북한을 오가는 인터넷 활동이 가장 많은 상위 10개 국가(실제 수치).

흥미롭게도 알리바바의 비디오 스트리밍 및 콘텐츠 전송 네트워크는 미국 서버를 통해 북한에서 발생한 트래픽을 라우팅하는 것으로 보이며, 이는 미국에 기반을 둔 활동의 주요 동인이었습니다. 네덜란드와 독일의 경우, 두 국가의 인프라가 활동을 난독화하는 데 많이 활용되었으며, 주로 VPN 또는 VPS 서비스 및 토르 출구 노드를 통해 이루어졌습니다.

이는 지난 여름 북한 인터넷 활동의 1% 미만이 어떤 식으로든 가려지거나 은폐되었던 것과는 완전히 대조적인 결과입니다. 이러한 유럽 제공업체로의 이동의 동인은 명확하지 않지만, GDPR의 시행과 개인 인터넷 프라이버시에 대한 유럽의 관심에 따른 것으로 추정됩니다.

암호화폐 활동

북한이 적어도 2017년 5월부터 비트코인을 채굴했다는 최초 보도 이후, 암호화폐에 대한 북한의 관심과 활용은 폭발적으로 증가했습니다. 2017년 북한은 한국의 암호화폐 거래소에서 수많은 절도를 저질렀고, 5월 워너크라이 공격에 연루되었으며, 모네로 채굴을 시작했습니다.

이 새로운 데이터 세트에서는 북한 엘리트들의 암호화폐에 대한 관심이 확대되고 비트코인 채굴이 지속되고 있음을 확인할 수 있습니다. 데이터로 북한의 비트코인 활동의 전체 범위를 파악할 수는 없지만, 지난 1월 24일부터 3월 15일 데이터 세트가 종료될 때까지 5월에 관찰한 채굴 활동이 계속되고 있는 것을 확인했습니다. 트래픽 양과 피어와의 통신 속도는 지난 여름과 동일했지만, 해시 비율이나 빌드를 확인할 수 없었습니다. 이번 채굴 활동은 지난 여름의 활동과 비슷하게 소수의 머신에 국한된 소규모로 진행되었습니다.

또한 로컬 또는 원격으로 제어하고 다른 소프트웨어와 통합하거나 대규모 결제 시스템에서 사용할 수 있는 비트코인의 인터페이스를 사용하는 별도의 사용자도 확인했습니다. 이는 북한 사용자가 비트코인 거래를 하고 있다는 강력한 지표이지만, 어떤 코인을 구매했는지, 관련 지갑이 있는지, 사용자가 얼마나 많은 코인을 보유하고 있는지는 확인할 수 없습니다.

위에 설명한 비트코인 활동 외에도, 1월 29일부터 북한 네트워크에서 모네로 채굴이 관찰되었습니다. 이 활동은 3월 15일 데이터 세트가 종료될 때까지 계속되었습니다. 모네로 채굴은 특정 목표 값과 일치하는 해시를 발견해야 하는 동일한 "작업 증명" 방식을 사용한다는 점에서 비트코인 채굴과 유사합니다.

모네로는 진정한 익명성이라는 점에서 비트코인과 구별됩니다. 모든 거래는 블록체인 내에서 암호화되어 거래의 발신자 또는 수신자만 상대방을 확인할 수 있습니다. 모네로는 저용량 머신에서 채굴할 수 있도록 설계되었으며, 채굴 포트가 용량에 따라 확장되는 경향이 있다는 점에서도 다릅니다. 예를 들어, 많은 채굴자는 저사양 머신에는 포트 3333을 사용하고, 고급 대용량 머신에는 포트 7777을 사용합니다. 이 경우 포트 7777에서 채굴이 관찰되었으며, 이는 더 높은 용량의 머신이 채굴을 수행하고 있으며 해시율도 더 높다는 것을 시사합니다. 저희가 관찰한 포트 번호와 활동만으로는 해시 비율을 판단하기에 충분하지 않았으며, 채굴이 발생하고 있다는 것만 평가할 수 있었습니다.

난독화된 활동

지난 여름에는 1% 미만의 활동만이 난독화된 것과는 대조적으로, 이번 기간에는 리더십 인터넷 활동의 훨씬 더 높은 비율(거의 13%)이 어떤 식으로든 난독화되었습니다. 2017년 4월부터 7월까지 북한 전체 인터넷 활동의 1% 미만이 난독화되었습니다. 약 6개월에 걸쳐 북한 지도부는 웹 콘텐츠를 탐색, 검색, 검색하는 방식을 크게 변경했습니다.

북한-북한-인터넷-행동-8.png

북한 지도부의 난독화 서비스 사용 비율.

가장 널리 사용되는 난독화 서비스는 PPTP(지점 간 터널링 프로토콜 )였으며, 그다음으로 HTTPS(포트 443을 통한) 또는 보안 브라우징, IPSec VPN이 그 뒤를 이었습니다.

2017년 4월부터 7월까지 북한 지도부는 전체 인터넷 활동의 1% 미만을 난독화했으며, 여기에는 TLS 지원 브라우징, VPN 또는 VPS, 기타 터널링 프로토콜 사용, 심지어 토르(Tor) 사용도 포함되었습니다. 12월까지 북한 사용자들은 브라우징 행태를 근본적으로 바꾸어 난독화 서비스 사용을 12배나 증가시켰습니다.

북한 인터넷 활동의 70%가 인터넷 동영상이나 온라인 게임이라는 점을 감안하면 나머지 웹 트래픽의 상당 부분을 차지하는 13%는 지도부 활동에 대한 우리의 시야를 더욱 좁혀줍니다.

네트워크 분석

2017년 10월 1일, 연구원들은 러시아 통신 회사인 트랜스 텔레콤(AS 20485)이 북한의 주요 IP 범위인 175.45.176.0/22의 인터넷 라우팅 데이터베이스에 나타나기 시작한 것을 관찰했습니다. 2017년 10월 이전까지 북한의 주요 글로벌 인터넷 연결은 중국 통신사인 차이나유니콤(AS4837)이 제공했습니다.

10월 1일 다양한 시간에 175.45.176.0/22의 4개의 서브넷 중 3개가 다운되었습니다. (175.45.176.0/24, 175.45.177.0/24, 175.45.178.0/24 및 175.45.179.0/24) 연결이 안정화될 때까지 Trans Telecom에서 라우팅한 다음 175.45.178.0/24로만 라우팅했습니다. 서브넷은 트랜스 텔레콤 인프라를 통해 계속 전송되었고, 나머지 3개는 차이나 유니콤을 이용했습니다.

2017년 12월부터 2018년 3월 15일까지 175.45.178.0/24에 한해 서브넷은 트랜스 텔레콤을 통해 라우팅되었고, 나머지 3개는 차이나 유니콤 인프라를 경유했습니다. 트랜스 텔레콤 경로는 북한에 대체 인터넷 접속 지점을 제공했지만, 북한 전체 인터넷 활동의 3분의 1 정도만 활용되고 있는 것으로 보입니다.

북한-북한-인터넷-행동-9.png

175.45.176.0/24의 기본 범위 내에서 각 서브넷의 사용량을 총 트래픽의 백분율로 표시합니다.

176 서브넷은 북한에서 공개적으로 액세스할 수 있는 대부분의 웹사이트를 호스팅하기 때문에 가장 많은 활동을 생성합니다. 또한 이 서브넷은 웹사이트를 호스팅하고 발신 트래픽을 라우팅하는 여러 공유 서버와 프록시 및 로드 밸런서로 구성되어 있습니다. 예를 들어, 분석 결과 북한은 이 서브넷에서 최소 8개의 IP 주소를 통해 발신 트래픽을 분산하기 위해 F5 BIG-IP 로드 밸런서를 사용하고 있는 것으로 나타났습니다. 부하 분산 장치는 들어오고 나가는 인터넷 트래픽을 관리하고 특정 범위의 서버로 분산하여 동시 사용자를 위한 용량과 네트워크 안정성을 높입니다.

북한에서 호스팅하는 웹사이트에 접속해 본 경험이 있는 사람이라면, 이러한 사이트가 로딩 속도가 느리고 콘텐츠가 표시되기까지 여러 번 시도해야 하는 것으로 악명이 높기 때문에 의외로 들릴 수 있습니다. 분석 결과 이러한 로드 밸런싱은 주로 공유 서버에 사용되며, 이중화 시스템의 부족과 비디오 스트리밍 및 온라인 게임의 양으로 인한 제한된 대역폭에 대한 스트레스로 인해 성능이 저하된 것으로 보입니다.

즉, 각 IP 주소 뒤에 더 많은 물리적 컴퓨터가 있을 가능성이 있지만 정확히 몇 대가 있는지는 알 수 없습니다. 북한 IP 범위를 오가는 인터넷 활동의 양은 특히 국가 네트워크의 경우 매우 적습니다. 이렇게 적은 비율의 인구가 글로벌 인터넷에 접속하기 때문에 이러한 서브넷의 컴퓨터 수는 비슷한 인구(약 2,500만 명)를 가진 국가보다 중견 기업 규모에 더 가깝습니다.

210.52.109.0/24의 경우 범위로 설정하면 라우팅 테이블에서 액세스 포인트가 AS9929에 따라 차이나 넷콤에서 관리되고 있음을 확인할 수 있습니다. 또한 라우팅 데이터에 따르면 이 범위의 데이터는 최소 절반 이상이 Sprint에 할당된 자율 시스템 번호(AS 또는 ASN)인 AS1239를 통해 라우팅됩니다. 이 경로가 실제로 미국의 물리적 인프라를 통과하는 것인지 아니면 공동 AS 멤버십의 결과인지는 명확하지 않습니다.

2017년 10월, 한 바이러스 백신 회사의 보안 연구원이 이 175.45.176.0/22에 대한 조사를 실시했습니다. 범위에서 특정 IP 주소가 외국인 방문자에게 할당되어 인터넷 액세스를 위해 특별히 사용된다고 추측했습니다. 이는 175.45.178.0/24의 13개 IP 주소에서 발생하는 '웹 트래픽'을 확인한 결과입니다. 서브넷.

분석 결과, 북한 IP 주소의 '웹 트래픽'만으로는 외국인의 사용을 판단하기에 충분하지 않으며, 그렇지 않다면 이 /22 범위 전체가 외국인 방문자에게 할당된 것으로 평가될 수 있습니다. 확인된 13개의 IP 주소에서 인터넷 브라우징, 비디오 스트리밍, 온라인 게임, VPN 사용 및 기타 유형의 트래픽을 확인했습니다. 이 트래픽은 전체 관찰 트래픽의 0.5% 미만을 차지하며 통계적으로 유의미하지 않아 전체 분석에서 제외했습니다.

전망

지난 7월, 저희는 연구를 통해 북한의 지배 엘리트들이 실제로 현대 인터넷 사회와 얼마나 연결되어 있는지, 그리고 국제 제재가 북한을 외부 세계로부터 고립시키는 데 효과적이지 않다는 사실을 밝혀냈다고 주장했습니다. 또한, 우리는 김 정권에 지속적으로 부정적인 영향을 미치기 위해 새로운 도구와 관계가 필요하다고 말했습니다.

첫 보고서 이후 몇 달 동안 북한 엘리트층의 인터넷 활용 방식뿐만 아니라 김 정권에 대한 제재와 압박에 대한 국제사회의 참여가 다양해지는 등 실질적인 변화를 목격할 수 있었습니다. 반년도 채 되지 않아 북한 지도부는 익명성을 높이기 위해 그들이 사용하는 인터넷 서비스와 온라인에서의 행동을 근본적으로 변화시켰습니다. 이들은 제재를 회피하기 위한 수단으로 암호화폐를 추구하고 전 세계 금융 기관의 자금을 훔치려고 시도했습니다.

북한의 엘리트 인터넷 사용자들은 물리적 제재가 계속 강화되고 국제 연합이 김 정권에 대한 활동을 차단하면서 변화하는 디지털 환경에 적응하고 있습니다. 그러나 현 김 정권에 지속적인 부정적 영향을 미치기 위해서는 영토적 북한에 초점을 맞추지 않는 새로운 수단이 필요하다는 7월의 평가는 여전히 유효합니다. 유엔 북한 전문가 패널은 사이버를 이용한 군사 기밀 절도에만 초점을 맞추고 있으며, 미국의 제재는 아직 사이버 작전을 다루지 않고 있습니다.

지도부 검색부터 수익 창출, 전술적 사이버 작전까지 북한이 인터넷을 폭넓게 수용하고 있는 것을 보면 인터넷이 김 정권에 얼마나 필수적인 매체인지 알 수 있습니다. 이 불량 국가의 활동과 작전 범위를 제한하기 위한 국제적 노력에는 북한의 사이버 작전에 대한 제재 또는 징벌적 조치가 포함되어야 합니다.

사이버 보안 전문가와 네트워크 방어자들에게 이러한 지도부의 인터넷 행동 변화는 북한의 악의적인 사이버 활동을 방어하는 것이 얼마나 복잡한 일인지 계속 강조하고 있습니다. 금융 서비스 회사, 은행, 암호화폐 거래소, 사용자, 미군과 한국군의 사드 배치 및 한반도 내 작전을 지원하는 기업들은 네트워크에 대한 위협 환경에 대해 최고의 경계와 인식을 유지할 것을 지속적으로 권장합니다.

마찬가지로 에너지 및 미디어 기업, 특히 한국에 소재하거나 이러한 부문을 지원하는 기업은 디도스, 파괴적 멀웨어, 랜섬웨어 공격 등 북한의 광범위한 사이버 활동에 대해 경계해야 합니다. 모든 분야의 조직은 랜섬웨어의 적응성을 지속적으로 인식하고 위협의 진화에 따라 사이버 보안 전략을 수정해야 합니다.

1휴리스틱분석은 기초 데이터에 여러 기준을 적용하여 분석 결과를 도출하기 위해 체계적인 근사치를 활용하는 문제 해결 접근 방식을 말합니다. 이 사례는 외국에 거주하는 북한 국적자의 활동 환경에 대한 면밀한 지식과 대규모 데이터 세트에 대한 심층 분석의 결과입니다.

28은마법의 숫자가 아니라 해당 행동이 시그니처에 맞는 국가의 수일 뿐입니다.

관련