North Korea’s Ruling Elite Are Not Isolated

북한 인터넷 활동에 대한 심층 분석을 통해 정보에 밝고 현대적이며 기술에 능통한 지배 엘리트가 있음을 알 수 있습니다.

Click here to download the complete analysis as a PDF.

Executive Summary

This is part two of our series on North Korea. In part one entitled “North Korea Is Not Crazy,” we revealed that North Korean cyber actors are not crazy or irrational: they just have a wider operational scope than most other intelligence services.

여기에서는 정보 파트너인 팀 심루를 통해 분석을 강화하고, 북한 지도부와 지배 엘리트들이 인터넷을 사용하는 방식과 이를 통해 그들의 계획과 의도에 대해 알 수 있는 독특한 통찰력을 보여주는 포괄적인 연구를 수행합니다.

Our analysis demonstrates that the limited number of North Korean leaders and ruling elite with access to the internet are actively engaged in Western and popular social media, regularly read international news, use many of the same services such as video streaming and online gaming, and above all, are not disconnected from the world at large or the impact North Korea’s actions have on the community of nations. Further, we have concluded that:

• 북한 엘리트와 지도부를 국제 사회로부터 고립시키려는 시도는 실패하고 있습니다. 사실 이들의 인터넷 활동은 여러 면에서 대부분의 서양인과 크게 다르지 않습니다.
• 검토한 데이터 세트는 북한의 일반적인 인터넷 활동이 기존의 가설과 달리 전략적 군사 행동에 대한 조기 경고를 제공하지 않을 수 있음을 시사합니다. 북한의 활동과 미사일 시험 사이에 상관관계가 있다면, 이는 지도층과 지배 엘리트의 인터넷 행동에 의해 전파되지 않습니다.
• 북한은 사이버 작전을 수행하기 위해 영토 자원을 사용하지 않으며 대부분의 북한 국가 지원 활동은 해외에서 이루어질 가능성이 높기 때문에 김 정권에 비대칭적인 압력을 가할 수 있는 기회를 제공합니다.

이 분석은 블로그 시리즈 1부와 함께 북한 비핵화의 길을 모색할 수 있는 다른 정권 압박 지점이 있을 수 있으며, 그 결과 다른 도구, 기술 및 파트너가 있을 수 있음을 보여줍니다.

배경

South Korean media assesses that there may be as many as 4 million mobile devices in North Korea. So while mobile devices are widespread in North Korea, the vast majority of North Koreans do not have access to the internet. Mobile devices (see image of a North Korea-made device below) sold to ordinary North Koreans are enabled with minimal 3G services, including voice, text messaging, and picture/video messaging, and are restricted to operating only on North Korea’s domestic provider network, Koryolink.

A small minority of users, such as university students, scientists, and select government officials, are allowed access to North Korea’s domestic, state-run intranet via common-use computers at universities and internet cafes. Slate described the domestic intranet this way:

The network, called Kwangmyong, currently connects libraries, universities, and government departments and is slowly making its way into homes of better-off citizens. It houses a number of domestic websites, an online learning system, and email. The sites themselves aren’t much to get excited about: They belong to the national news service, universities, government IT service centers, and a handful of other official organizations. There’s also apparently a cooking site with recipes for Korean dishes.

김일성 대학교의 컴퓨터 실습실. 출처: 소피 슈미트.

Among the select few with permission to use the country’s intranet are an even slimmer group of the most senior leaders and ruling elite who are granted access to the worldwide internet directly. While there are no reliable numbers of North Korean internet users, reporters estimate anywhere from “only a very small number” to “the inner circle of North Korean leadership” to “just a few dozen families.” Regardless of the exact number, the profile of a North Korean internet user is clear; trusted member or family member of the ruling class.

북한 엘리트들이 인터넷에 접속하는 방법은 크게 세 가지입니다.

First is via their allocated .kp range, 175.45.176.0/22, which also hosts the nation’s only internet-accessible websites. These include nine top-level domains (such as co.kp, gov.kp, and edu.kp) and approximately 25 subdomains for various North Korean state-run media, >travel, and education-related sites.

The second method is via a range assigned by China Netcom, 210.52.109.0/24. The netname “KPTC” is the abbreviation for Korea Posts and Telecommunications, Co, the state-run telecommunications company.

The third method is through an assigned range, 77.94.35.0/24, provided by a Russian satellite company, which currently resolves to SatGate in Lebanon.

편집자 주

Two important notes: One, from this point on when we refer to “North Korean internet activity” or “behavior,” we are referring to use of the internet (not the North Korean domestic intranet Kwangmyong) by the select few leaders and ruling elite that are permitted access. This data does not give us any insight into intranet activity or behavior by the larger group of privileged North Koreans permitted access to Kwangmyong or diplomatic and foreign establishments that are located in North Korea.

둘째, 2017년 4월 1일부터 7월 6일까지의 기간을 선택한 이유는 이 기간이 미사일 발사 및 시험 활동이 가장 활발한 기간 중 하나이며, 데이터의 깊이와 충실도가 가장 높은 기간이었기 때문입니다. 2017년 1월 1일로 거슬러 올라가는 데이터를 보유하고 있지만, 해당 데이터 세트(1월 1일~3월 31일)는 훨씬 덜 견고합니다.

분석

In the early hours of April 1, 2017, as many in the West were just waking up, checking email and social media, a small group of North Korean elites began the day in much the same manner. Some checked the news on Xinhua or the People’s Daily, others logged into their 163.com email accounts, while still others streamed Chinese-language videos on Youku and searched Baidu and Amazon.

Recorded Future’s analysis of this limited-duration data set has given us new insight into this isolated country and ruling regime. Our analysis demonstrates that the limited number of North Korean leaders and ruling elite with access to the internet are much more active and engaged in the world, popular culture, international news, and with contemporary services and technologies than many outside North Korea had previously thought. North Korean leaders are not disconnected from the world and the consequences of their actions.

이 데이터 소스가 절대적인 것은 아니지만, 2017년 4월부터 7월까지 북한의 인터넷 사용과 활동에 대한 상세한 정보를 제공하며, 그 결과 여러 가지 새로운 인사이트를 얻을 수 있었습니다.

The data reveals that North Korea’s leadership and ruling elite are plugged into modern internet society and are likely aware of the impact that their decisions regarding missile tests, suppression of their population, criminal activities, and more have on the international community. These decisions are not made in isolation nor are they ill-informed as many would believe.

서양 사용자의 사용 패턴을 반영한 사용 패턴

인터넷에 접속할 수 있는 사람의 극히 제한된 수, 인터넷에 접속할 수 있는 컴퓨터와 IP 공간의 상대적으로 적은 수, 언어적, 문화적, 사회적, 법적 장벽, 전 세계에 대한 적대감 등 여러 면에서 북한 엘리트와 지도층의 인터넷 활동은 대부분의 서구인들과 크게 다르지 않습니다.

예를 들어, 선진국 사용자들과 마찬가지로 북한 주민들도 온라인에서 소셜 미디어 계정을 확인하고, 웹 검색을 하고, 아마존과 알리바바를 검색하는 데 많은 시간을 보냅니다.

페이스북은 북한 주민들이 가장 널리 사용하는 소셜 네트워킹 사이트이지만, 2016년 4월에 트위터, 유튜브 등이 북한 검열 당국에 의해 차단되었다는 보도가 있었습니다.

2017년 4월 1일부터 7월 6일까지 8개 소셜 네트워킹, 쇼핑, 검색 사이트의 시간별 활동량(실제). 제공업체는 Facebook(최고)부터 Apple(최저)까지 인기도 순으로 나열됩니다.

또한, 이 기간 동안 북한 주민의 일일 사용 패턴도 뚜렷하게 나타났습니다. 평일에는 오전 9시부터 오후 8시 또는 9시까지가 가장 활동량이 많은 시간대이며, 월요일과 화요일이 지속적으로 가장 활동량이 많은 날입니다.

시간별 일일 인터넷 사용량(평균이 아님).

미사일 활동에 대한 조기 경보가 아닙니다.

많은 연구자와 학자들은 북한의 사이버 활동과 미사일 발사 또는 시험 사이에 연관성이 있을 수 있다는 가설을 세웠습니다. 특히 북한의 사이버 또는 인터넷 활동을 기반으로 미사일 실험을 예측하거나 예상할 수 있다는 것입니다. 이 데이터 세트를 사용하여 제한된 기간 동안 북한의 악성 사이버 활동 수준을 조사할 수는 없었지만, 북한의 인터넷 활동 전반과 미사일 시험 또는 발사 간에는 상관관계가 없는 것으로 보입니다.

2017년 4월 1일부터 7월 6일까지의 일일 실제 인터넷 활동. 빨간색 막대는 북한의 미사일 시험 또는 발사 날짜입니다.

현재의 데이터 세트는 미사일 실험에 대한 경고 장치로서 인터넷 활동의 유용성에 대한 장기적인 결론을 적용하기에는 너무 짧은 기간입니다. 그러나 우리의 분석에 따르면 북한의 활동과 미사일 시험 사이에 상관관계가 있다면, 이는 지도층과 지배 엘리트의 인터넷 행동에 의해 전파되지 않는 것으로 나타났습니다.

외국에서의 존재

2017년 4월부터 7월까지 북한 본토에서 악의적인 사이버 활동이 거의 없었다는 것은 대부분의 경우 북한은 사이버 작전을 수행하기 위해 영토 자원을 사용하지 않으며 대부분의 국가 지원 활동이 해외에서 이루어지고 있음을 나타냅니다. 이는 김 정권에 비대칭적인 압력을 가하고, 현재 북한의 사이버 작전 자유와 유연성을 제한하며, 북한 정권이 면책특권을 가지고 작전을 수행할 수 있는 정도를 줄이는 데 악용될 수 있는 중대한 작전상의 약점입니다.

This data and analysis demonstrate that there are significant physical and virtual North Korean presences in several nations around the world — nations where North Koreans are likely engaging in malicious cyber and criminal activities (as demonstrated in part one). These nations include India, Malaysia, New Zealand, Nepal, Kenya, Mozambique, and Indonesia.

분석 결과, 다음과 같은 사실을 확인할 수 있었습니다:

• It is clear that North Korea has a broad physical and virtual presence in India. Characterized by the Indian Ministry of External Affairs as a relationship of “friendship, cooperation, and understanding,” the data we analyzed supports the reports of increasingly close diplomatic and trade relationship between India and North Korea.
• 활동 패턴으로 볼 때 북한은 전국에 최소 7개 대학에 학생들을 보유하고 있으며 여러 연구 기관 및 정부 부처와 협력하고 있을 가능성이 있습니다.
• 이 기간 동안 관찰된 모든 활동의 거의 5분의 1이 인도와 관련이 있습니다.

North Korean embassy in India. (Source)

북한은 뉴질랜드, 말레이시아, 네팔, 케냐, 모잠비크, 인도네시아에도 대규모로 활발하게 진출해 있습니다. 저희 소식통은 이들 국가뿐만 아니라 많은 현지 자료, 언론 매체, 정부를 통해 다른 국가에서의 북한 활동에서는 볼 수 없는 평균 이상의 활동 수준을 드러냈습니다.

북한이 중국 선양에 악의적인 사이버 활동을 수행하는 중국인과 호텔을 공동 소유하는 등 중국에서 사이버 작전을 수행하기 위한 물리적 존재가 있다는 보고가 널리 퍼져 있습니다. 이 기간 동안 관찰된 모든 활동의 거의 10%가 중국과 관련이 있으며, 중국 통신사가 제공한 인터넷 액세스 포인트는 포함되지 않았습니다.

분석 결과, 중국의 활동 프로필이 위에서 파악한 7개국과 다른 것으로 나타났는데, 이는 북한 지도부 사용자들이 타오바오, 알리윈, 유쿠 등 중국 서비스를 많이 이용했기 때문에 데이터가 왜곡된 것으로 보입니다. 물론 중국 내 물리적 또는 가상 존재를 의미하지는 않는 중국 인터넷 서비스 사용을 고려한 결과, 중국 현지 리소스, 뉴스 매체 및 정부 부처에 대한 활동 패턴은 앞서 식별된 7개국과 유사했습니다.

우리가 발견한 뚜렷한 활동 패턴이 이미 알려진 사이버 작전 시설과 결합된 중국의 사례는 다른 7개국에 적용할 수 있는 모델을 제공합니다.

북한이 전 세계 여러 국가에 상당한 물리적, 가상적 존재감을 가지고 있다는 사실과 1부에서 살펴본 이전 연구 결과를 종합하면 북한이 제3국을 통해 사이버 작전을 수행하고 있을 가능성이 높습니다. 따라서 북한 영토 내에서의 활동이 아닌 이들 국가의 악의적인 사이버 활동이 미사일 발사 또는 시험과 관련이 있는지를 살펴볼 수 있는 대안이 될 수 있습니다.

열악한 보안이 새로운 인텔리전스로 이어집니다

이 기간 동안 북한 인터넷 활동 중 어떤 방식으로든 난독화되거나 보호된 것은 1% 미만입니다. 이 기준을 충족하는 활동 중에는 TLS/SSL을 잘못 구현하는 것부터 추적이 거의 불가능한 여러 가상 사설망(VPN)과 가상 사설 서버(VPS)의 체인을 활용하여 대량의 데이터를 전송하는 것까지 매우 다양했습니다.

잘못된 구현의 예로, 한 북한 사용자는 토르 (토르 라우터) 를 사용하여 자신의 활동을 난독화하는 데 어려움을 겪은 후 토렌트 파일 공유를 계속하고 3개월 이상 매일 같은 노드에서 토르 네트워크를 종료했습니다.

난독화 기술을 사용한 사용자 중에서는 다양한 VPN 및 VPS 서비스 및 제공업체를 사용했습니다. 북한 주민이 사용하는 거의 모든 VPN과 VPS는 개인 또는 정부 기관에서 관리하는 월정액 구독 서비스입니다.

이러한 서비스를 어떻게 구매하는지 명확하지 않으며 많은 서비스 제공업체가 잘 알려진 대형 서구 기업입니다. 여기에는 Sharktech, iWeb, Digital Ocean, Linode, Leaseweb USA, Telemax, Touch VPN 등이 포함됩니다.

수동적인 인터넷 모니터링이나 국내 검열 기관에서 브라우징을 난독화하거나 용이하게 하기 위해 많은 VPN과 VPS를 사용했습니다.

한 미국 VPN은 iPad에서 Gmail 계정을 확인하고, Google 클라우드에 액세스하고, Facebook 및 MSN 계정을 확인하고, 성인용 콘텐츠를 보는 데 사용되었습니다. 다른 VPN과 VPS는 Metasploit 실행, 비트코인을 사용한 구매, 트위터 확인, 비디오 게임, 비디오 스트리밍, Dropbox에 문서 게시, Amazon 검색에 사용되었습니다.

일반적으로 난독화가 잘 되어 있지 않은 이 데이터를 통해 북한 지도부와 엘리트층의 이해관계에 대해 이전에는 알지 못했던 통찰력을 얻을 수 있었습니다. 예를 들어, 많은 사용자가 해외에서 다른 사람과 통화하고 메시지를 주고받기 위해 VoIP 서비스를 이용하고, 여전히 AOL 계정을 보유하고 정기적으로 확인하며, 미용 및 건강 사이트를 자주 방문하고, 고가의 운동화를 온라인으로 구매하고, 많은 사용자가 산업용 하드웨어 및 기술 최적화 서비스를 조사하고, 아이폰, 아이패드, 블랙베리를 사용하여 커뮤니케이션을 하는 등 다양한 사용자층이 있습니다.

다른 사용자들은 매일 카스퍼스키, 맥아피, 키후360, 시만텍 등 사이버 보안 기업과 그들의 연구, DoSarrest , 샤크테크 등 디도스 방지 기업과 기술을 조사하는 데 시간을 보냈습니다. 한 사용자는 THURAYA 및 위성 통신 장비 사용에 대한 교육을 받았고 다른 사용자는 말레이시아, 미국, 캐나다의 여러 대학에서 물리학 및 공학과를 연구했습니다.

게임과 콘텐츠 스트리밍은 북한에서 전체 인터넷 활동의 65%를 차지했습니다. 대체로 사용자들은 주로 중국 동영상 호스팅 서비스인 Youku, iTunes, 다양한 BitTorrent 및 P2P 스트리밍 서비스에서 콘텐츠를 소비합니다. 게임의 경우, 북한 사용자들은 밸브에서 제공하는 게임과 월드 오브 탱크라는 대규모 멀티플레이어 온라인 게임을 선호하는 것으로 나타났습니다.

의심스러운 활동

이 기간 동안 북한의 활동 대부분은 악의적인 것이 아니었지만, 의심스러운 활동도 적지 않았지만 상당수 있었습니다. 한 가지 사례는 5월 17일에 북한 사용자들이 비트코인 채굴을 시작한 것입니다.

According to the Bitcoin wiki, bitcoin mining is “the process of adding transaction records to Bitcoin's public ledger of past transactions (or block chain).” Bitcoin mining is difficult because it is a computationally complex task and can require up to 90 percent of a machine’s power.

이 모든 에너지를 사용하여 거래 기록을 블록체인에 추가하면 각 채굴자는 거래를 전송한 사용자가 지불한 수수료뿐만 아니라 새로운 블록을 발견하면 25비트코인을 받을 수 있다는 이점이 있습니다.

Before that day, there had been virtually no activity to Bitcoin-related sites or nodes, or utilizing Bitcoin-specific ports or protocols. Beginning on May 17, that activity increased exponentially, from nothing to hundreds per day. The timing of this mining is important because it began very soon after the May WannaCry ransomware attacks, which the NSA has attributed to North Korea’s intelligence service, the Reconnaissance General Bureau (RGB), as an attempt to raise funds for the Kim regime.

이 시점(5월 17일)이면 정부 내 공격자들은 워너크라이 랜섬웨어 계정 3개에서 비트코인을 옮기는 것이 추적하기 쉽고 공격에 대한 부인력을 유지하려는 경우 바람직하지 않다는 것을 깨달았을 것입니다.

북한의 비트코인 채굴 작업을 누가 운영하고 있는지는 명확하지 않지만, 북한의 컴퓨터 수가 상대적으로 적고 IP 공간이 제한적이라는 점을 고려할 때 이러한 컴퓨팅 집약적인 활동이 국가 통제 밖에서 이루어지고 있을 가능성은 낮습니다.

또한 이 기간 동안 일부 북한 사용자들은 여러 외국 실험실과 연구소에서 연구 또는 네트워크 정찰을 수행한 것으로 나타났습니다.

In particular, activity targeting the Indian Space Research Organization’s National Remote Sensing Centre, the Indian National Metallurgical Laboratory, and the Philippines Department of Science and Technology Advanced Science and Technology Research Institutes raised flags of suspicion, but we could not confirm malicious behavior.

영향

북한에 대한 국제 정책과 관여 전략은 수십 년 동안 동일한 도구(제재, 국제적 고립 강화)에 의존하고 동일한 국가(중국, 러시아, 유엔 안보리 상임이사국 5개국)를 파트너로 참여시켰기 때문에 영향력을 발휘하는 데 어려움을 겪어왔습니다. 이 2부로 구성된 시리즈는 북한 정권에 대한 다른 압박 요인이 있을 수 있으며, 그 결과 탐색해야 할 다른 도구, 기술 및 파트너가 있음을 보여줍니다.

Team Cymru’s intelligence and Recorded Future’s analysis have revealed two separate realities.

First, in spite of the sanctions and massive international pressure, North Korea’s leaders are not isolated from the outside world. They are active and engaged participants in the contemporary internet society and economy; meaning that attempts to shut North Korean leadership off from the global economy have largely failed.

Second, new tools that do not focus on Pyongyang and territorial North Korea are needed to achieve a lasting negative impact on the current Kim regime. We have identified other nations with which the West could partner and alternate tools and techniques that could be utilized to apply asymmetric pressure on North Korea. Partnering with nations such as India, Malaysia, Indonesia, or others identified above, would enable the U.S. and other Western nations to circumvent uncooperative partners in China and Russia and exert pressure on the broad North Korean operational diaspora, which, because of the regime’s dependency, would likely impose larger real costs on leadership.

사이버 보안 전문가와 네트워크 방어자를 위한 이 2부작 시리즈에서는 북한의 악의적인 사이버 활동을 방어하는 것이 얼마나 복잡한 일인지 설명합니다. 금융 서비스 기업과 미군과 한국군의 사드 배치 및 한반도 내 작전을 지원하는 기업들은 한반도 내 네트워크와 운영에 대한 고조된 위협 환경에 대해 최고의 경계와 인식을 유지할 것을 지속적으로 권고합니다.

마찬가지로 에너지 및 미디어 기업, 특히 한국에 소재하거나 이러한 부문을 지원하는 기업은 디도스, 파괴적 멀웨어, 랜섬웨어 공격 등 북한의 광범위한 사이버 활동에 주의를 기울여야 합니다. 모든 분야의 조직은 랜섬웨어의 적응성을 지속적으로 인식하고 위협의 진화에 따라 사이버 보안 전략을 수정해야 합니다.