>
연구(Insikt)

변화하는 인터넷 사용 패턴을 통해 북한 지배 엘리트의 적응력과 혁신성을 엿볼 수 있습니다.

게시일: 2018년 10월 25일
작성자: Insikt Group

Insikt Group

전체 분석 내용을 PDF로 다운로드하려면 여기를 클릭하세요.

_범위참고: 인식트 그룹은 다양한 도구를 사용하여 타사 데이터, IP 지리적 위치, BGP(국경 게이트웨이 프로토콜) 라우팅 테이블, 오픈 소스 인텔리전스(OSINT)를 분석하여 북한 고위 지도부의 인터넷 활동을 조사했습니다. 이 보고서를 위해 분석된 데이터는 2018년 3월 16일부터 2018년 8월 30일까지의 데이터입니다.

이 보고서는 기술, 금융, 국방, 암호화폐, 물류 분야의 정부 부처와 조직, 그리고 북한의 제재 우회, 불법 자금 조달, 국가가 후원하는 사이버 스파이 활동을 조사하는 기관에서 가장 큰 관심을 가질 것입니다.

Executive Summary

지난 1년 반 동안 레코디드 퓨처는 북한 최고 지도부의 행동에 대한 독특한 통찰력을 보여주는 일련의 연구 자료를 발표했습니다. 우리는 북한의 지배 엘리트들이 기술에 능숙하고, 구형 및 최첨단 컴퓨터, 휴대폰, 기기를 모두 사용하며, 인터넷을 제재 회피의 도구로 사용하고, 최근에는 서구 소셜 네트워크 서비스보다 중국 소셜 네트워크 서비스를 수용하는 방향으로 전환하고 있다는 사실을 발견했습니다.

이번 시리즈의 마지막 글에서는 인터넷 보안, 소셜 미디어 사용, 암호화폐의 지속적인 동향을 살펴보고, 북한이 인터넷을 이용해 김 정권의 수익을 창출하는 방식에 대한 더 깊은 통찰을 공개합니다. 특히, 지배 엘리트의 인터넷 사용 패턴의 변화는 북한의 최고위 지도층이 얼마나 적응력이 뛰어나고 혁신적인지 보여줍니다. 김정은 정권은 독특한 인터넷 사용 및 활용 모델을 개발했으며, 지도부는 새로운 서비스나 기술이 유용할 때는 빠르게 수용하고 그렇지 않을 때는 과감히 버립니다.

주요 판단

  • 생활 패턴과 콘텐츠의 변화는 인터넷이 북한 최고 지도층의 일상적인 전문 도구가 되고 있음을 나타냅니다. 고위 경영진이 인터넷에 더욱 익숙해지고 인터넷 사용을 전문화함에 따라 제재 집행과 컴퓨터 네트워크 방어에 있어 기존의 문제가 더욱 악화될 것입니다.
  • 북한의 고위 지도자들은 2017년 초에 비해 오늘날 훨씬 더 강화된 작전 보안을 보여주고 있습니다. 이러한 인식은 대형 도메인 호스팅 및 인터넷 인프라 제공업체의 글로벌 사용 증가와 함께 시간이 지남에 따라 북한 지배 엘리트의 일상적인 인터넷 활동에 대한 가시성에 부정적인 영향을 미쳤습니다.
  • 행동 휴리스틱을 사용하여 순수 육체 노동자가 아닌 서비스 또는 정보 경제에 종사하는 북한 노동자를 수용하고 있을 가능성이 높은 여러 국가를 파악했습니다. 이러한 국가에는 중국, 인도, 네팔, 방글라데시, 모잠비크, 케냐, 태국, 인도네시아가 포함됩니다.
  • 싱가포르에 있는 북한 조력자 네트워크가 운영하는 마린 체인이라는 자산 기반 암호화폐 사기를 발견했으며, 인터스텔라, 스텔라, 홀드(최근 스왑 후 후즈로 브랜드 변경)라는 사기 코인도 북한과 연관되었을 가능성이 있는 것으로 추정됩니다.
  • 2018년 초에 관찰된 서구 소셜 미디어 및 서비스로부터의 이탈은 LinkedIn을 제외하고는 지속되고 있습니다. 2018년 4월부터 북한 지도자들의 LinkedIn 사용량이 적지만 정기적이고 일관되게 증가하는 것을 관찰했습니다. 개별 LinkedIn 사용자의 신원을 확인할 수 없었습니다.

배경

2017년 4월부터 진행된 연구 결과에서 알 수 있듯이, 북한의 고위 지도부 중 글로벌 인터넷에 직접 접속할 수 있는 사람은 극소수에 불과합니다. 북한 인터넷 사용자에 대한 신뢰할 만한 수치는 없지만, 기자들은 "극소수"부터 "북한 지도부의 이너서클", "수십 가정에 불과"하다고 추정하고 있습니다. 정확한 숫자와 상관없이 북한 인터넷 사용자의 프로필은 분명합니다. 그들은 지배층의 신뢰받는 구성원 또는 가족이라는 것입니다.

북한 엘리트들이 글로벌 인터넷에 접속하는 방법은 크게 세 가지입니다. 첫 번째 방법은 할당된 .kp 도메인을 사용하는 것입니다. 범위인 175.45.176.0/22로, 국내 유일의 인터넷 액세스 가능 웹사이트를 호스팅합니다. 여기에는 co.kp, gov.kp, edu.kp 등 9개의 최상위 도메인과 다양한 북한 국영 미디어, 여행 및 교육 관련 사이트의 약 25개의 하위 도메인이 포함됩니다.

두 번째 방법은 차이나 넷콤에서 할당된 범위인 210.52.109.0/24를 이용하는 것입니다. 'KPTC'라는 네임은 국영 통신 회사인 한국우정통신공사의 약자입니다. 세 번째 방법은 러시아 위성 회사에서 제공하는 할당된 범위인 77.94.35.0/24를 이용하는 것으로, 현재 레바논의 SatGate로 확인됩니다.

기록된 미래 타임라인

2018년 3월부터 8월까지 북한 IP와 관련된 사건의 타임라인.

또한 지난 4월에 확인했듯이 175.45.176.0/22 범위는 차이나유니콤(AS4837)과 러시아 트랜스텔레콤(AS20485)에서 라우팅합니다. 이 범위의 네 서브넷(175.45.176.0/24, 175.45.177.0/24, 175.45.178.0/24 및 175.45.179.0/24), 175.45.178.0/24만 계속 관찰했습니다. 를 통해 라우팅되고 나머지 3개는 차이나유니콤이 독점적으로 라우팅합니다.

참고: 이 시점부터 '북한의 인터넷 활동' 또는 '행동'은 북한 국내 인트라넷(광명)이 아닌 일부 지도자와 지배 엘리트에게만 접속이 허용된 글로벌 인터넷 사용을 의미합니다. 이 데이터는 광명이나 북한에 위치한 외교 및 외국 기관에 대한 접근이 허용된 특권층 북한인들의 인트라넷 활동이나 행동에 대한 통찰력을 제공하지 않습니다.

일관된 인터넷 사용량 - 2017년 4월 이후 패턴 변화

북한 지도자들의 뚜렷한 일일 인터넷 사용 패턴은 2017년 4월 이후 일관되게 유지되고 있습니다. 일반적으로 활동이 가장 많은 시간은 대략 오전 8시부터 오후 8시 또는 오후 9시까지입니다.

일일 인터넷 사용량

2018년 3월부터 8월까지의 시간별 일일 인터넷 사용량(평균이 아님).

하지만 시간이 지남에 따라 활동량이 가장 많은 시기가 바뀌고 있습니다. 2017년에는 토요일과 일요일이 꾸준히 가장 많은 활동을 보인 요일이었습니다. 특히 토요일 밤과 일요일 이른 아침에는 주로 온라인 게임이나 콘텐츠 스트리밍으로 인해 트래픽이 가장 많이 발생했습니다. 2018년 한 해 동안 패턴이 변화하여 전통적인 근무일(월요일부터 금요일까지)의 인터넷 사용량은 증가한 반면 주말 사용량은 감소했습니다. 토요일과 일요일에는 여전히 콘텐츠 스트리밍과 게임이 주를 이루지만, 전체 주간 인터넷 사용량에서 차지하는 비중은 작년에 비해 감소했습니다.

일일 인터넷 사용량

2018년 3월부터 8월까지 시간 및 일별 일일 인터넷 사용량(평균이 아님).

일일 인터넷 사용량

2018년 3월 이전부터의 시간별 일일 인터넷 사용량(평균이 아님).

이러한 변화의 원인은 알 수 없지만, 시간이 지남에 따라 이러한 변화는 인터넷 사용이 북한 지도자들의 업무에서 더 큰 비중을 차지하게 되었음을 나타냅니다. 2018년 8월, 북한은 평양에 위치한 새로운 인터넷 통신국 본부의 외부 공사를 완료했습니다. 노스코리아테크에 따르면 새 본사의 목적은 명확하지 않지만, 글로벌 인터넷 접속에 초점을 맞추고 있는 것으로 보입니다.

새 건물이 평양과 더 큰 글로벌 인터넷 연결을 촉진하는 데 일부 역할을 할 것으로 보이지만 정확한 역할은보고되지 않았습니다. 아마도 북한이 웹에 보유한 소수의 사이트를 제공하는 서버를 보유하거나 북한과 전 세계로 흐르는 모든 트래픽을 모니터링하고 제어하는 게이트웨이 센터로 사용될 수 있습니다.

이러한 사용 패턴의 변화는 인터넷 통신국 본부 완공과 함께 북한 고위 지도층의 인터넷 사용이 전문화되고 있음을 의미할 수 있습니다. 이는 이러한 리더들이 인터넷을 오락을 위한 것이 아니라 업무의 일부로 더 많이 활용한다는 것을 의미합니다.

운영 보안 행동 완화

지난 4월 분석에서 북한 인터넷 사용자들 사이에서 두 가지 극적인 행동 트렌드를 발견했습니다. 첫 번째는 가상 사설망(VPN), 가상 사설 서버(VPS), 전송 계층 보안(TLS), 토르(Tor) 등 운영 보안 기술의 사용이 눈에 띄게 증가했다는 점입니다. 4월에는 북한 지도자들의 이러한 서비스 사용이 1,200% 증가하여 주로 보호되지 않은 인터넷 활동을 하던 이전 행태에서 크게 벗어난 것을 확인했습니다.

그 이후로 운영 보안 조치의 급증은 완만해졌습니다. 2018년 초, 난독화된 브라우징은 북한 지도부의 전체 인터넷 활동 중 13%를 차지했습니다. 2018년 9월에는 그 비율이 5%를 조금 넘는 수준으로 감소했습니다. 이전에는 VPN 기술 사용이 난독화된 인터넷 활동의 63%를 차지했습니다. 이후 6개월 동안 북한 지도부의 VPN 사용은 난독화된 활동의 50% 수준으로 감소했습니다. HTTPS(포트 443을 통한) 또는 보안 브라우징의 사용은 운영상 보안 브라우징의 49%로 증가했습니다. 하지만 전체적으로는 VPN 사용 감소가 난독화 브라우징 감소의 대부분을 차지했습니다.

북한 지도자들의 VPN 사용 감소에 대한 이유는 데이터에서 즉시 명확하게 드러나지 않습니다. 일부 VPN 프로토콜은 연산 집약적이거나 불안정할 수 있으며, 대부분 구독 및 정기 결제가 필요하고, 기기 제한이 있거나 여전히 암호화폐를 지원하지 않는 서비스도 많습니다. 반면, 대부분의 VPN 서비스 제공 업체는 애플리케이션과 쉬운 구성 지침을 제공하며, VPN 가격이 많이 하락하여 사용자는 한 달에 최소 3달러로 평판이 좋고 신뢰할 수 있는 VPN을 이용할 수 있습니다.

가장 가능성이 높은 것은 북한 인터넷 사용자들이 외부의 자극이나 요구로 인해 처음에 더 강력한 인터넷 개인 정보 보호 방법을 채택했을 가능성이 높습니다. 올해 4월, 우리는 이러한 행동 변화가 북한의 인터넷 및 미디어 활동에 대한 국제적 관심 증가, 공식적인 금지 조치의 새로운 시행 또는 새로운 작전 보안 요구 사항의 결과일 가능성이 높다고 평가했습니다.

북한 사용자에 대한 요구 사항 또는 정책의 부과가 인터넷 보안의 급격한 증가에 이어 이번 조치가 내려진 가장 큰 원인으로 보입니다. 이 요구 사항으로 인해 북한 지도부 사용자들의 보안 조치가 급증했지만, 시간, 비용, 접근성 등의 비용이 이점을 능가하기 시작하면서 시간이 지남에 따라 서서히 줄어들었습니다.

2018년 초부터 중국 소셜 미디어 사용 지속

2018년 초, 우리는 북한 주민들이 서구의 소셜 미디어와 서비스에서 거의 완전히 벗어나 중국 소셜 미디어와 서비스로 이동하는 것을 목격했습니다. 이러한 변화는 2017년 말부터 2018년 초까지 6개월에 걸쳐 이루어졌습니다. 북한 지도부 사용자들은 페이스북, 인스타그램, 구글과 같은 서비스에서 갑자기 바이두, 알리바바, 텐센트와 같은 중국 기업이 운영하는 서비스로 전환했습니다.

2018년 3월 1일 이후 서구 소셜 미디어 및 서비스에서 이탈하는 현상이 지속되고 있습니다. 북한 지도자들은 서방이나 중국 등 다른 어떤 서비스보다 알리바바를 두 배 이상 많이 사용합니다. Alibaba에서의 활동에는 비디오 및 게임 스트리밍, 검색, 쇼핑이 포함됩니다.

제공자 시간별 활동

2018년 3월 1일부터 2018년 8월 28일까지 8개 소셜 네트워킹, 쇼핑, 검색 사이트의 시간별 활동량(실제). 제공업체는 인기도별로 Alibaba(최고)부터 Instagram(최저)까지 나열됩니다.

대부분의 미국 서비스에서 북한 지도부의 사용량이 지속적으로 감소한 반면, 2018년 4월 이후 LinkedIn의 사용량은 증가한 것으로 나타났습니다. LinkedIn의 활동량은 2017년 7월에 페이스북이나 인스타그램에서 관찰된 수준보다 낮았습니다. 그러나 LinkedIn의 사용은 2018년 8월 이 데이터 세트가 종료될 때까지 정기적으로 지속되었습니다. 이 트래픽 수준은 2017년의 Facebook 사용자보다 현재 LinkedIn 사용자가 훨씬 적다는 것을 나타내지만, 서구의 소셜 네트워킹 서비스에서 지속적으로 이탈하는 움직임에 대한 흥미로운 반증을 보여줍니다.

암호화폐 악용 증가

이전 연구에서 저희는 북한 지도자들이 제한적이거나 상대적으로 작은 규모이긴 하지만 비트코인과 모네로를 모두 채굴하고 있다는 사실을 발견했습니다. 이 기간(2018년 3월부터 2018년 8월까지)의 트래픽 양과 피어와의 통신 속도는 두 코인 모두 작년과 동일했으며, 해시레이트나 빌드는 아직 확인할 수 없었습니다. 이러한 특정 채굴 노력은 아직 규모가 작고 소수의 컴퓨터로 제한되어 있을 가능성이 높다고 생각합니다.

그러나 2018년 3월부터 2018년 8월까지 이 기간 동안 극적으로 변화한 것은 북한이 암호화폐, 자산 기반 '알트코인', 암호화폐 생태계를 악용했다는 점입니다.

2018년 6월에 인터스텔라, 스텔라 또는 홀드 코인이라는 알트코인과 관련된 여러 노드에서 많은 수의 연결과 대량의 데이터 전송을 발견하기 시작했습니다. HOLD 코인은 "알트코인"으로 알려져 있으며, 모네로, 이더리움, 라이트코인처럼 널리 사용되고 있는 코인을 포함하여 비트코인 이외의 모든 암호화폐를 의미합니다. 1,000개가 넘는 알트코인이 있으며, 대부분 비트코인 프레임워크에서 변형된 형태입니다.

2018년 초, 홀드 코인은 스테이킹이라는 이자 및 초기 수익을 창출하는 과정을 거쳤습니다. 스테이킹은 사용자가 초기 코인을 채굴하지만 일정 기간 동안 거래가 허용되지 않는 것을 말합니다. 그런 다음 코인은 가치와 사용자 기반을 구축할 수 있으며, 코인 개발자는 특정 시점에 거래할 수 있는 지갑을 규제하여 코인의 가치를 제어할 수 있습니다. 신규 또는 잘 알려지지 않은 알트코인의 스테이킹에 참여하는 것은 개발자가 스테이킹 기간을 통제하고 코인 가치가 하락하면 많은 사용자가 투자금을 잃고 스테이킹한 코인을 거래할 수 없을 정도로 거래를 제한할 수 있기 때문에 위험할 수 있습니다.

2018년 한 해 동안 HOLD 코인은 여러 거래소에 상장 및 상장 폐지되었고, 2018년 8월에 스왑 및 리브랜딩을 거쳤으며(새 이름은 HUZU), 이 게시물을 작성하는 현재 HOLD 투자자들은 모두 떠났습니다. 북한 사용자가 인터스텔라, 스텔라 또는 홀드 알트코인에 관여했을 가능성은 낮은 것으로 평가합니다.

편집자 주: 보고 기간 말미에 HOLD에서 HUZU로 브랜드가 변경되었음을 명확히 하기 위해 위 문단을 수정했습니다.

저희가 높은 신뢰도를 가지고 평가하는 다른 블록체인 사기가 북한을 대신하여 수행된 것으로 보이는 사례를 최소 한 건 이상 발견했습니다. 마린 체인 플랫폼이라는 블록체인 애플리케이션이었습니다.

저희는 2018년 8월 몇몇 비트코인 포럼에서 암호화폐로서의 마린 체인에 대한 논의를 접하게 되었습니다. 마린 체인은 여러 사용자와 소유주를 위해 해양 선박의 토큰화를 가능하게 하는 자산 기반 암호화폐로 추정됩니다. 다른 포럼의 사용자들은 www[.]marine-chain[.]io를 지적했습니다. 는 다른 사이트인 www[.]shipowner[.]io의 거의 미러 이미지였습니다.

웹사이트 스크린샷

2018년 4월 마린체인[.]io와 선박 소유자[.]io의 스크린샷 포럼 참가자가 제공합니다.

도메인 등록 내역

marine-chain[.]io의 도메인 등록 내역.

Marine-chain[.]io는 등록 이후 4개의 다른 IP 주소에서 호스팅되었습니다. 2018년 4월 9일부터 2018년 5월 28일까지 마린체인[.]io는 104[.]25[.]81[.]109에 등록되었습니다. 이 기간 동안 이 IP 주소는 지금은 없어진 암호화폐 뉴스 사이트인 allcryptotalk[.]net을 호스팅하기도 했습니다, 2015년 6월 이후 새로운 콘텐츠를 게시하지 않는 사기성 바이너리 옵션 거래 업체인 Binary Tilt의 웹사이트를 차단했습니다. 이 회사는 캐나다 온타리오 주 정부에 의해 사기 업체로 선언되었으며, 수십 명의 사용자가 이 사이트에 수만에서 수십만 달러의 손실과 사기를 당했다는 후기를 올렸습니다.

마린 체인 웹사이트는 더 이상 해결되지 않고 마린 체인 플랫폼이라는 회사에서 운영합니다. 이 회사는 LinkedIn 페이지를 제외하고는 온라인에서 최소한의 존재감도 없었고, 고객 추천도 없었으며, 직원도 거의 없었습니다. 마린 체인 링크드인 페이지에는 2017년 5월부터 마린 체인 플랫폼의 CEO의 고문이자 '해양 산업 블록체인 전문가'라고 주장하는 토니 워커라는 인물이 있었습니다.

2018년 10월 1일, 링크드인에서 마린체인플랫폼을 검색하면 최효명이라는 또 다른 고문이 나옵니다. 최 씨는 자신을 한국의 암호화폐 투자자, ICO 자문위원, 엔젤 투자자로 소개했습니다. 또한 그는 InnoShore, LLC라는 다른 회사의 최고 운영 책임자(COO)로 겸직하고 있다고 자신을 소개했습니다.

LinkedIn 프로필

2018년 10월 1일자 최효명 님의 LinkedIn 프로필입니다.

LinkedIn 프로필

2018년 10월 15일자 최효명 님의 LinkedIn 프로필입니다. 이 스크린샷에서 최 씨는 마린 체인 플랫폼과 이노쇼어, LLC의 경험을 모두 삭제했습니다.

워커 씨와 최 씨는 모두 싱가포르 국립대학교를 다녔다고 주장하며 동일한 지지자를 다수 보유하고 있습니다. 최 씨는 (가짜로 추정되는) 페이스북 페이지에서 알 수 있듯이 아드리안 옹이라는 이름으로도 알려져 있습니다. 이 계정은 2018년 3월에 생성되었으며, 프로필 사진은 한국 학생들의 미국 및 영국 대학 진학을 돕는 한국 기업의 직원으로부터 도용되었습니다.

페이스북 페이지

최효명 또는 아드리안 옹의 페이스북 페이지(피해자의 프라이버시 보호를 위해 얼굴은 검게 처리됨).

최 씨(옹 씨)에게는 동남아시아에 거주하는 대규모 소셜 네트워크를 가진 친구가 두 명뿐이었습니다. 이 두 계정을 제외하고는 최 씨(또는 옹 씨)는 다른 온라인 활동은 없습니다.

저희가 추적할 수 있었던 또 다른 저명한 마린 체인 플랫폼 직원은 조나단 펑 카 컹이라는 CEO였습니다. 그의 링크드인 프로필에 따르면, Capt. Foong은 수십 년 동안 싱가포르의 해양 산업에서 활동해 왔습니다. 현재 링크드인 프로필에 마린 체인에서의 직책을 기재하고 있지는 않지만, 그는 지난 1년간 수많은 행사에서 연설하면서 마린 체인에서의 직책 또는 마린 체인[.]io의 설립자라는 점을 반복해서 언급했습니다.

포럼 스크린샷

2018년 4월에 해운 산업과 블록체인에 관해 참석한 포럼의 스크린샷으로, 자신의 직함이 marine-chain[.]io의 CEO로 표시되어 있습니다.

Capt. 펑이 일반적인 암호화폐 또는 블록체인 사기꾼과 다른 점은 적어도 2013년부터 북한의 제재 우회 노력을 지원한 싱가포르 기업들과 연결되었다는 점입니다. 북한 전문 정책 연구 웹사이트 38노스(38North.org )가 2015년에 발표한 연구에서, 캡틴. 펑은 싱가포르에서 "북한을 대신해 불법 활동을 조장하고 유엔 제재 대상과 거래하는" 기업에서 일하거나 자문을 제공한 것으로 두 차례 확인되었습니다.

회사 Capt. 펑은 북한 선박의 편의 깃발로 자주 사용되는 3개국의 국기 등록부를 조작하는 데 관여한 혐의를 받고 있습니다.

Capt. 펑은 북한이 국제 제재를 회피할 수 있도록 지원하는 전 세계 인에이블러 네트워크의 일원으로 활동하고 있습니다. 마린 체인 플랫폼과의 연결은 이 방대하고 불법적인 네트워크가 김 정권을 위한 자금 조달에 암호화폐나 블록체인 기술을 활용한 첫 사례입니다.

대체로 이러한 유형의 암호화폐 사기는 수년간 한국을 괴롭혀 왔으며 국제 사회가 이제 막 추적하기 시작한 탈북자들에 의해 설명되는 저급 금융 범죄의 전형에 해당합니다. 이는 수년 동안 암호화폐 업계에 깊숙이 자리 잡은 주체 그룹과 국제 제재의 영향에 대응하기 위해 새로운 자금 흐름을 혁신해야 하는 네트워크 모두에게 당연한 조치입니다.

외국에 있는 북한의 존재: 더 자세한 정보 공개

이전 연구에서 우리는 전 세계 국가에 존재하는 중요한 물리적 및 가상 북한의 존재를 식별하는 휴리스틱을 개발했습니다. 이 휴리스틱에는 이들 국가를 오가는 북한의 평균 이상의 인터넷 활동뿐만 아니라 뉴스 매체, 구 또는 시 정부, 지역 교육 기관 등과 같은 다양한 현지 리소스의 검색 및 사용도 포함되었습니다.

이 기술을 통해 인도, 중국, 네팔, 케냐, 모잠비크, 인도네시아, 태국, 방글라데시 등 탈북자가 실제로 거주하거나 거주하고 있는 8개국을 파악할 수 있었습니다. 최근 기간(2018년 3월~2018년 8월)에는 이 8개국과 관련된 북한의 인터넷 활동을 재조사하여 중국과 인도의 데이터에 대한 충실도를 높였습니다.

중국

알리바바, 바이두, 텐센트와 같은 중국 인터넷 서비스를 북한 지도자들이 광범위하게 이용하고 있기 때문에 중국 내 북한인들의 인터넷 활동을 파악하는 것은 매우 복잡합니다. 지금까지 레코디드 퓨처는 탈북자들이 거주할 수 있는 지역이나 현지 자원에 대한 인사이트가 거의 없었습니다.

지역 수준에서 휴리스틱 데이터의 하위 집합으로 베이징, 상하이, 선양 지역뿐만 아니라 난창, 우한, 광저우에서도 많은 양의 활동이 발생하는 것을 발견했습니다. 이 도시와 지역 중 일부는 중국에서 활동하는 탈북자들의 전통적인 북동부 지역으로 여겨지던 지역 밖입니다.

또한 이전에는 잘 알려지지 않았던 중국 학계의 탈북자 관련 단서도 추가로 발견했습니다. 다음은 현재 북한 학생, 교사 또는 파트너를 수용하고 있거나 과거에 수용한 적이 있는 중간 정도의 신뢰도를 가지고 평가한 중국 대학 목록입니다.

  • 상하이 교통 대학교
  • 장시 사범 대학교
  • 칭화대학교
  • 우한 상업 서비스 대학
  • 광시 사범 대학교
  • 푸단 대학교
  • 톈진 의과 대학

인도

이 기간 동안 인도와 관련된 북한 활동의 행동 패턴에는 변화가 없었지만, 몇 가지 추가 세부 사항을 파악할 수 있었습니다. 인도 활동의 대부분은 여러 경제특구 (SEZ), 특히 노이다 및 코친 SEZ와 관련이 있습니다.

지역 수준에서 휴리스틱 데이터의 하위 집합으로 델리, 방갈로르, 콜카타, 하이데라바드에서 많은 양의 활동이 발생하는 것을 발견했습니다. 인도 기상청과 국립 원격 감지 센터와 관련된 의심스러운 트래픽을 다시 관찰했지만 악의성을 확인할 수 없었습니다.

이들 국가 대부분에서 이 휴리스틱은 알려진 북한의 불법 자금 조달 또는 물류 네트워크와 밀접하게 일치했습니다. 비영리 기관 C4ADS가 북한의 불법 자금 조달 네트워크에 관해 실시한 조사가 대표적인 예입니다. 지난 8월, C4ADS는 북한의 해외 강제 노동을 국가별, 업종별로 분석한 보고서를 발표했는데, 여기에는 식당과 제품 등 다양한 분야가 포함되었습니다. 북한의 불법 자금 조달 네트워크와 인터넷 활동이 반복적으로 겹침에 따라 러시아가 행동 휴리스틱에 맞지 않는 이유를 재검토하게 되었습니다.

러시아

양적인 측면에서 볼 때 러시아와 관련된 활동은 중국이나 인도와 관련된 북한 인터넷 활동의 극히 일부에 불과했습니다(약 0.05 예를 들어 중국에서 발생한 볼륨의 비율). 서비스 측면에서 북한 주민들은 러시아 서비스를 매우 제한적으로 사용했으며, 메일.ru를 정기적으로 방문하고 가끔씩만 Yandex를 사용했습니다. 도시 수준에서는 주로 소치, 모스크바 지역, 블라디보스토크에서 소량의 활동이 이루어졌습니다.

이 기간(2018년 3월~2018년 8월) 동안 러시아에 거주하는 탈북자의 유형은 우리가 확인한 다른 많은 국가와 달랐을 가능성이 있습니다. 러시아에서 일하는 북한 노동자의 상당수는 육체 노동자로, '노예와 같은' 또는 '비인간적인' 환경에서 수용되어 일하는 경우가 많습니다. 이는 중국 등 다른 국가의 일부 북한 노동자들이 정보 경제 분야에서 일하며 글로벌 고객층을 대상으로 모바일 게임, 앱, 봇 및 기타 IT 제품을 개발하는 것과는 대조적입니다. 중국에도 많은 수의 육체 노동자가 있는 것은 분명하지만, 러시아에는 숙련된 북한 노동자가 더 적을 수 있습니다. 이러한 유형의 정보 경제 작업은 착취적인 육체 노동과는 다른 인터넷 지문을 생성하며, 물리적 존재와 인터넷 활동 사이의 불일치를 명확히 할 수 있습니다.

따라서 행동 휴리스틱을 통해 파악한 국가들은 서비스 또는 정보 경제 분야에서 북한 노동자를 고용하고 있을 가능성이 높다고 평가합니다. 이러한 근로자들은 여전히 수입의 상당 부분을 고국으로 송금하지만, 일상 업무에 인터넷 접속이 필요하거나 고객을 대면하기 때문에 덜 억압적인 환경에서 생활할 가능성이 높습니다.

전망

지난 1년 반 동안 북한에 대한 연구를 통해 북한 최고위층의 디지털 생활을 들여다볼 수 있는 독보적인 창구를 마련했습니다. 우리는 '최대 압박' 캠페인 기간, 미사일 발사 및 시험 활동이 가장 많았던 시기, 사상 최초의 미국과 북한 지도자 간 정상회담 등 미-북 관계의 독특한 시기에 있었던 지도부의 활동을 추적하고 분석했습니다.

이 연구 시리즈의 핵심은 북한의 고위 지도층이 얼마나 적응력이 뛰어나고 혁신적인지를 보여주는 것입니다. 새로운 서비스나 기술이 유용할 때는 빠르게 수용하고, 그렇지 않을 때는 과감히 버립니다. 김 정권은 인터넷을 이용하고 악용하는 독특한 모델을 개발했는데, 이는 마치 범죄 조직처럼 운영되는 국가입니다.

특히 김정은 정권은 암호화폐, 다양한 은행 간 송금 시스템, '긱 경제'의 다원화된 특성, 온라인 게임 등을 활용(및 악용)하여 인터넷을 수익 창출과 제재 우회를 위한 강력한 도구로 육성해 왔습니다. 그들은 수십 년 된 밀수 네트워크와 부패한 외교관, 대사관, 영사관 시스템과 결합했습니다.

북한의 성공을 가능하게 하고 국제 규제 기관과 집행 기관을 혼란스럽게 하는 것은 바로 이러한 물리적인 것과 가상의 결합입니다. 북한이 인터넷을 통해 얻는 가치에 정확한 달러 수치를 부여하는 것은 불가능할지 모르지만, 그 중요성을 과소평가할 수는 없습니다.

국제적으로 각국은 이제 막 북한 인터넷 활동의 글로벌화된 특성과 위협에 대처하기 시작했습니다. 특히 미국은 박진혁이라는 북한 운영자 한 명에 대해 형사 고소를 제기했으며, 다른 많은 운영자들도 연루되어 있습니다. 이는 훌륭한 첫걸음이며, 인터넷 운영을 공개하고, 비전통적 외교 파트너에 대한 지원, 그리고 인터넷을 통한 북한의 제재 회피를 약화시키기 위한 보다 유연하고 역동적인 메커니즘에 대한 추가 조치가 뒤따라야 합니다.

이번 보고서는 북한 지도부의 인터넷 활동에 대한 마지막 정기 보고서이기도 합니다. 북한 지도부의 인터넷 보안 및 익명화 서비스 사용과 도메인 프라이버시 및 대규모 호스팅 서비스의 확산이라는 두 가지 추세로 인해 통찰력이 제한되었기 때문입니다.

첫째, 북한 지배 엘리트층이 인터넷 보안 절차를 축소했지만 북한 주민과 전체 인터넷 사용자 모두의 전반적인 추세는 상승하고 있습니다. 이는 시간이 지날수록 북한의 인터넷 검색을 추적하고 새로운 인사이트를 발견하는 것이 더 어려워질 것이라는 의미입니다.

둘째, 대형 기술 기업들은 DNS부터 콘텐츠 전송, 클라우드 서비스 등에 이르기까지 점점 더 다양한 서비스를 고객에게 제공하고 있습니다. 네트워크 관점에서 볼 때 일반적인 DigitalOcean, Cloudflare 또는 GoDaddy 등록 뒤에 있는 최종 콘텐츠를 식별하는 것은 매우 어렵습니다. 포트와 프로토콜조차도 많은 양의 데이터만 제공하며, 종종 디지털오션 박스에서 종료되는 IP는 아무것도 드러내지 않습니다.

앞으로도 북한의 IP 범위를 모니터링하고 중요한 발견이나 이벤트에 대해서는 임시로 보고할 것입니다.

네트워크 방어 권장 사항

레코디드 퓨처는 조직이 네트워크에서 북한의 잠재적 활동을 식별할 때 다음과 같은 조치를 취할 것을 권장합니다:

  • 침입 탐지 시스템(IDS)과 침입 방지 시스템(IPS)에서 경고하도록 구성하고, 검토 후 다음과 같은 주요 북한 IP 범위의 불법 연결 시도를 차단하는 것을 고려하세요:

  • 175.45.176.0/22

  • 210.52.109.0/24

  • 77.94.35.0/24

  • 보다 구체적으로, 북한의 암호화폐 채굴 활동을 탐지하고 방지하려면 침입 탐지 시스템(IDS) 및 침입 방지 시스템(IPS)을 구성하여 다음과 같은 주요 북한 IP 범위에서 TCP 포트를 통해 네트워크에 연결하는 불법 연결 시도를 경고하고 검토 후 차단하는 것을 고려하세요:

  • 10130 및 10131 홀드 코인용

  • 비트코인용 8332 및 8333

  • 모네로용 18080 및 18081

  • 라이트코인의 경우 9332 및 9333

참고: 앞서 언급한 포트는 해당 암호화폐에 대해 구성된 기본 포트입니다. 암호화폐 채굴 소프트웨어가 기본 포트를 재정의하도록 수정되었을 가능성이 높습니다. 또한 기업 구성에 따라 다른 서비스도 나열된 포트에서 작동하도록 구성될 수 있으므로 나열된 포트의 네트워크 트래픽에 대한 IDS 및/또는 IPS 알림이 오탐을 생성할 수 있습니다.

  • 네트워크 DNS 트래픽을 분석하여 HOLD 코인 암호화폐 채굴과 관련된 의심스러운 트래픽(예: "stellarhold"라는 용어가 포함된 도메인)을 탐지하고 차단합니다.
  • 네트워크 내에서 암호화폐 채굴 소프트웨어가 다운로드되어 운영될 가능성에 대응하기 위해 기업 전체에 소프트웨어 화이트리스트 프로그램을 구현하는 것을 고려하세요.
  • 많은 암호화폐 채굴자들이 인터넷 릴레이 채팅(IRC)을 사용하여 조율합니다. IRC가 기업에 필요한 애플리케이션이 아니라면, IDS 및 IPS를 통해 기본 IRC TCP 포트 6667을 차단하여 IRC를 사용한 암호화폐 채굴 활동을 완화하는 것이 좋습니다.
  • 조직의 VPN 서비스 및 프로토콜을 파악하고 비표준 VPN 트래픽을 차단하거나 면밀히 조사하세요.

또한 다음과 같은 일반적인 정보 보안 모범 사례 가이드라인을 따를 것을 권장합니다:

  • 모든 소프트웨어와 애플리케이션, 특히 운영 체제, 바이러스 백신 소프트웨어, 핵심 시스템 유틸리티를 최신 상태로 유지하세요.
  • 이메일 서신을 필터링하고 첨부 파일에 멀웨어가 있는지 면밀히 조사하세요.
  • 시스템을 정기적으로 백업하고 네트워크를 통해 데이터에 액세스할 수 없도록 가급적 오프라인, 즉 외부에 백업을 저장하세요.
  • 면밀한 사고 대응 및 커뮤니케이션 계획을 세우세요.
  • 회사에 민감한 데이터의 엄격한 구분을 준수하세요. 특히 직원 계정이나 디바이스에 액세스할 수 있는 사람이 피싱을 통해 디바이스나 계정을 탈취하는 등 어떤 데이터에 액세스할 수 있는지 살펴보세요.
  • 역할 기반 액세스, 회사 전체의 데이터 액세스 제한, 민감한 데이터에 대한 액세스 제한을 강력히 고려하세요.
  • 호스트 기반 제어 사용: 공격을 차단하는 가장 좋은 방어 및 경고 신호 중 하나는 클라이언트 기반 호스트 로깅 및 침입 탐지 기능을 수행하는 것입니다.
  • 네트워크 IDS, 넷플로우 수집, 호스트 로깅, 웹 프록시와 같은 기본적인 사고 대응 및 탐지 배포와 제어를 구현하고 탐지 소스에 대한 인적 모니터링도 함께 수행하세요.
  • 파트너 또는 공급망 보안 표준을 숙지하세요. 에코시스템 파트너를 위한 보안 표준을 모니터링하고 시행하는 것은 모든 조직의 보안 태세에서 중요한 부분입니다.

관련