>
연구(Insikt)

북한의 지배 엘리트들은 고립되지 않았습니다.

게시일: 2017년 7월 25일
작성자: Insikt Group

insikt-group-logo-updated-3-300x48.png

북한 인터넷 활동에 대한 심층 분석을 통해 정보에 밝고 현대적이며 기술에 능통한 지배 엘리트가 있음을 알 수 있습니다.

전체 분석 내용을 PDF로 다운로드하려면 여기를 클릭하세요.

Executive Summary

북한에 대한 시리즈 2편입니다. 1부 '북한은 미치지 않았다'에서는 북한의 사이버 공격자들이 미치거나 비이성적이지 않으며, 단지 다른 정보기관보다 더 넓은 작전 범위를 가지고 있을 뿐이라는 사실을 밝혀냈습니다.

여기에서는 정보 파트너인 팀 심루를 통해 분석을 강화하고, 북한 지도부와 지배 엘리트들이 인터넷을 사용하는 방식과 이를 통해 그들의 계획과 의도에 대해 알 수 있는 독특한 통찰력을 보여주는 포괄적인 연구를 수행합니다.

우리의 분석에 따르면 인터넷에 접속할 수 있는 소수의 북한 지도자와 지배 엘리트들은 서구의 유명 소셜 미디어에 적극적으로 참여하고, 정기적으로 국제 뉴스를 읽고, 비디오 스트리밍과 온라인 게임과 같은 서비스를 많이 이용하며, 무엇보다도 세계 전체 또는 북한의 행동이 국가 공동체에 미치는 영향과 단절되지 않고 있습니다. 또한, 저희는 다음과 같은 결론을 내렸습니다:

  • 북한 엘리트와 지도부를 국제 사회로부터 고립시키려는 시도는 실패하고 있습니다. 사실 이들의 인터넷 활동은 여러 면에서 대부분의 서양인과 크게 다르지 않습니다.
  • 검토한 데이터 세트는 북한의 일반적인 인터넷 활동이 기존의 가설과 달리 전략적 군사 행동에 대한 조기 경고를 제공하지 않을 수 있음을 시사합니다. 북한의 활동과 미사일 시험 사이에 상관관계가 있다면, 이는 지도층과 지배 엘리트의 인터넷 행동에 의해 전파되지 않습니다.
  • 북한은 사이버 작전을 수행하기 위해 영토 자원을 사용하지 않으며 대부분의 북한 국가 지원 활동은 해외에서 이루어질 가능성이 높기 때문에 김 정권에 비대칭적인 압력을 가할 수 있는 기회를 제공합니다.

이 분석은 블로그 시리즈 1부와 함께 북한 비핵화의 길을 모색할 수 있는 다른 정권 압박 지점이 있을 수 있으며, 그 결과 다른 도구, 기술 및 파트너가 있을 수 있음을 보여줍니다.

배경

북한-북한-인터넷-활동-1.jpg

한국 언론은 북한에 400만 대에 달하는 모바일 디바이스가 있을 것으로 추정하고 있습니다. 따라서 북한에는 모바일 기기가 널리 보급되어 있지만 대다수의 북한 주민은 인터넷에 접속할 수 없습니다. 일반 북한 주민에게 판매되는 모바일 기기(아래 북한산 기기 이미지 참조)는 음성, 문자 메시지, 사진/영상 메시지 등 최소한의 3G 서비스만 지원되며, 북한 국내 통신사인 고려링크에서만 작동하도록 제한되어 있습니다.

대학생, 과학자, 일부 정부 관리 등 소수의 사용자만이 대학과 인터넷 카페의 공용 컴퓨터를 통해 북한의 국내 국영 인트라넷에 접속할 수 있습니다. Slate는 국내 인트라넷을 이렇게 설명했습니다:

광명이라는 이름의 이 네트워크는 현재 도서관, 대학, 정부 부처를 연결하고 있으며, 점차 더 잘 사는 시민들의 가정으로 확산되고 있습니다. 국내 웹사이트, 온라인 학습 시스템 및 이메일이 다수 포함되어 있습니다. 사이트 자체는 그다지 흥미롭지 않습니다: 국가 뉴스 서비스, 대학, 정부 IT 서비스 센터 및 기타 소수의 공식 기관에 속해 있습니다. 한국 요리 레시피를 제공하는 요리 사이트도 있다고 합니다.

북한-북한-인터넷-활동-2.jpg

김일성 대학교의 컴퓨터 실습실. 출처: 소피 슈미트.

국가 인트라넷을 사용할 수 있는 권한을 가진 소수의 사람들 중에는 전 세계 인터넷에 직접 접속할 수 있는 권한을 가진 고위 지도자 및 지배 엘리트 그룹도 있습니다. 북한 인터넷 사용자에 대한 신뢰할 만한 수치는 없지만, 기자들은 "극소수"에서 "북한 지도부의 이너서클", "수십 가정에 불과"하다고 추정합니다. 정확한 숫자와 상관없이 북한 인터넷 사용자의 프로필은 지배 계층의 신뢰받는 구성원 또는 가족이라는 점은 분명합니다.

북한 엘리트들이 인터넷에 접속하는 방법은 크게 세 가지입니다.

첫 번째는 할당된 .kp 도메인을 통한 것입니다. 범위인 175.45.176.0/22로, 국내 유일의 인터넷 액세스 가능 웹사이트를 호스팅합니다. 여기에는 북한 국영 미디어, >여행 및 교육 관련 사이트를 위한 9개의 최상위 도메인(예: co.kp, gov.kp, edu.kp)과 약 25개의 하위 도메인이 포함됩니다.

북한-북한-인터넷-활동-3.png

두 번째 방법은 차이나 넷콤에서 할당된 범위인 210.52.109.0/24를 이용하는 것입니다. 'KPTC'라는 네임은 국영 통신 회사인 한국우정통신(주)의 약자입니다.

북한-북한-인터넷-활동-4.png

세 번째 방법은 러시아 위성 회사에서 제공하는 할당된 범위인 77.94.35.0/24를 이용하는 것으로, 현재 레바논의 SatGate로 확인됩니다.

북한-북한-인터넷-활동-5.png

편집자 주

두 가지 중요한 참고 사항이 있습니다: 첫째, 이 시점부터 '북한의 인터넷 활동' 또는 '행동'이라 함은 접근이 허용된 일부 지도자와 지배 엘리트의 인터넷 사용(북한 내부 인트라넷 광명성이 아님)을 의미합니다. 이 데이터는 광명이나 북한에 위치한 외교 및 외국 시설에 대한 접근이 허용된 특권층 북한인들의 인트라넷 활동이나 행동에 대한 통찰력을 제공하지 않습니다.

둘째, 2017년 4월 1일부터 7월 6일까지의 기간을 선택한 이유는 이 기간이 미사일 발사 및 시험 활동이 가장 활발한 기간 중 하나이며, 데이터의 깊이와 충실도가 가장 높은 기간이었기 때문입니다. 2017년 1월 1일로 거슬러 올라가는 데이터를 보유하고 있지만, 해당 데이터 세트(1월 1일~3월 31일)는 훨씬 덜 견고합니다.

분석

2017년 4월 1일 새벽, 서구의 많은 사람들이 막 눈을 뜨고 이메일과 소셜 미디어를 확인하고 있을 때, 소수의 북한 엘리트 집단은 거의 같은 방식으로 하루를 시작했습니다. 어떤 사람들은 신화나 인민일보에서 뉴스를 확인했고, 어떤 사람들은 163.com 이메일 계정에 로그인했으며, 또 다른 사람들은 Youku에서 중국어 동영상을 스트리밍하고 바이두와 아마존을 검색했습니다.

레코디드 퓨처는 이 제한된 기간의 데이터 세트를 분석하여 이 고립된 국가와 통치 체제에 대한 새로운 인사이트를 얻었습니다. 우리의 분석에 따르면 인터넷에 접근할 수 있는 소수의 북한 지도자와 지배 엘리트들은 북한 외부의 많은 사람들이 이전에 생각했던 것보다 훨씬 더 적극적으로 세계, 대중문화, 국제 뉴스, 최신 서비스와 기술에 참여하고 있습니다. 북한 지도자들은 세계와 그들의 행동의 결과로부터 단절되어 있지 않습니다.

이 데이터 소스가 절대적인 것은 아니지만, 2017년 4월부터 7월까지 북한의 인터넷 사용과 활동에 대한 상세한 정보를 제공하며, 그 결과 여러 가지 새로운 인사이트를 얻을 수 있었습니다.

이 데이터는 북한의 지도부와 지배 엘리트들이 현대 인터넷 사회에 연결되어 있으며 미사일 실험, 주민 억압, 범죄 활동 등에 관한 자신들의 결정이 국제 사회에 미치는 영향을 알고 있을 가능성이 높다는 것을 보여줍니다. 이러한 결정은 많은 사람들이 생각하는 것처럼 단독으로 내려지는 것도 아니고 잘못된 정보에 근거한 것도 아닙니다.

서양 사용자의 사용 패턴을 반영한 사용 패턴

인터넷에 접속할 수 있는 사람의 극히 제한된 수, 인터넷에 접속할 수 있는 컴퓨터와 IP 공간의 상대적으로 적은 수, 언어적, 문화적, 사회적, 법적 장벽, 전 세계에 대한 적대감 등 여러 면에서 북한 엘리트와 지도층의 인터넷 활동은 대부분의 서구인들과 크게 다르지 않습니다.

예를 들어, 선진국 사용자들과 마찬가지로 북한 주민들도 온라인에서 소셜 미디어 계정을 확인하고, 웹 검색을 하고, 아마존과 알리바바를 검색하는 데 많은 시간을 보냅니다.

페이스북은 북한 주민들이 가장 널리 사용하는 소셜 네트워킹 사이트이지만, 2016년 4월에 트위터, 유튜브 등이 북한 검열 당국에 의해 차단되었다는 보도가 있었습니다.

북한-북한-인터넷-활동-6.png 2017년 4월 1일부터 7월 6일까지 8개 소셜 네트워킹, 쇼핑, 검색 사이트의 시간별 활동량(실제). 제공업체는 Facebook(최고)부터 Apple(최저)까지 인기도 순으로 나열됩니다.

또한, 이 기간 동안 북한 주민의 일일 사용 패턴도 뚜렷하게 나타났습니다. 평일에는 오전 9시부터 오후 8시 또는 9시까지가 가장 활동량이 많은 시간대이며, 월요일과 화요일이 지속적으로 가장 활동량이 많은 날입니다.

북한-북한-인터넷-활동-7.png 시간별 일일 인터넷 사용량(평균이 아님).

미사일 활동에 대한 조기 경보가 아닙니다.

많은 연구자와 학자들은 북한의 사이버 활동과 미사일 발사 또는 시험 사이에 연관성이 있을 수 있다는 가설을 세웠습니다. 특히 북한의 사이버 또는 인터넷 활동을 기반으로 미사일 실험을 예측하거나 예상할 수 있다는 것입니다. 이 데이터 세트를 사용하여 제한된 기간 동안 북한의 악성 사이버 활동 수준을 조사할 수는 없었지만, 북한의 인터넷 활동 전반과 미사일 시험 또는 발사 간에는 상관관계가 없는 것으로 보입니다.

인도 주재 북한 대사관

2017년 4월 1일부터 7월 6일까지의 일일 실제 인터넷 활동. 빨간색 막대는 북한의 미사일 시험 또는 발사 날짜입니다.

현재의 데이터 세트는 미사일 실험에 대한 경고 장치로서 인터넷 활동의 유용성에 대한 장기적인 결론을 적용하기에는 너무 짧은 기간입니다. 그러나 우리의 분석에 따르면 북한의 활동과 미사일 시험 사이에 상관관계가 있다면, 이는 지도층과 지배 엘리트의 인터넷 행동에 의해 전파되지 않는 것으로 나타났습니다.

외국에서의 존재

2017년 4월부터 7월까지 북한 본토에서 악의적인 사이버 활동이 거의 없었다는 것은 대부분의 경우 북한은 사이버 작전을 수행하기 위해 영토 자원을 사용하지 않으며 대부분의 국가 지원 활동이 해외에서 이루어지고 있음을 나타냅니다. 이는 김 정권에 비대칭적인 압력을 가하고, 현재 북한의 사이버 작전 자유와 유연성을 제한하며, 북한 정권이 면책특권을 가지고 작전을 수행할 수 있는 정도를 줄이는 데 악용될 수 있는 중대한 작전상의 약점입니다.

이 데이터와 분석은 전 세계 여러 국가, 즉 북한인들이 악의적인 사이버 및 범죄 활동에 관여할 가능성이 있는 국가( 1부에서 설명한 대로)에 북한이 물리적, 가상적으로 상당수 존재하고 있음을 보여줍니다. 이러한 국가에는 인도, 말레이시아, 뉴질랜드, 네팔, 케냐, 모잠비크, 인도네시아가 포함됩니다.

분석 결과, 다음과 같은 사실을 확인할 수 있었습니다:

  • 북한이 인도에서 물리적, 가상적으로 광범위한 입지를 확보하고 있는 것은 분명합니다. 인도 외무부가 "우호, 협력, 이해"의 관계로 규정하고 있는 인도와 북한의 관계를 분석한 데이터는 인도와 북한 간의 외교 및 무역 관계가 점점 더 긴밀해지고 있다는 보도를 뒷받침합니다.
  • 활동 패턴으로 볼 때 북한은 전국에 최소 7개 대학에 학생들을 보유하고 있으며 여러 연구 기관 및 정부 부처와 협력하고 있을 가능성이 있습니다.
  • 이 기간 동안 관찰된 모든 활동의 거의 5분의 1이 인도와 관련이 있습니다.

북한-북한-인터넷-활동-9.jpg

인도 주재 북한 대사관. (출처)

북한은 뉴질랜드, 말레이시아, 네팔, 케냐, 모잠비크, 인도네시아에도 대규모로 활발하게 진출해 있습니다. 저희 소식통은 이들 국가뿐만 아니라 많은 현지 자료, 언론 매체, 정부를 통해 다른 국가에서의 북한 활동에서는 볼 수 없는 평균 이상의 활동 수준을 드러냈습니다.

북한이 중국 선양에 악의적인 사이버 활동을 수행하는 중국인과 호텔을 공동 소유하는 등 중국에서 사이버 작전을 수행하기 위한 물리적 존재가 있다는 보고가 널리 퍼져 있습니다. 이 기간 동안 관찰된 모든 활동의 거의 10%가 중국과 관련이 있으며, 중국 통신사가 제공한 인터넷 액세스 포인트는 포함되지 않았습니다.

분석 결과, 중국의 활동 프로필이 위에서 파악한 7개국과 다른 것으로 나타났는데, 이는 북한 지도부 사용자들이 타오바오, 알리윈, 유쿠 등 중국 서비스를 많이 이용했기 때문에 데이터가 왜곡된 것으로 보입니다. 물론 중국 내 물리적 또는 가상 존재를 의미하지는 않는 중국 인터넷 서비스 사용을 고려한 결과, 중국 현지 리소스, 뉴스 매체 및 정부 부처에 대한 활동 패턴은 앞서 식별된 7개국과 유사했습니다.

우리가 발견한 뚜렷한 활동 패턴이 이미 알려진 사이버 작전 시설과 결합된 중국의 사례는 다른 7개국에 적용할 수 있는 모델을 제공합니다.

북한이 전 세계 여러 국가에 상당한 물리적, 가상적 존재감을 가지고 있다는 사실과 1부에서 살펴본 이전 연구 결과를 종합하면 북한이 제3국을 통해 사이버 작전을 수행하고 있을 가능성이 높습니다. 따라서 북한 영토 내에서의 활동이 아닌 이들 국가의 악의적인 사이버 활동이 미사일 발사 또는 시험과 관련이 있는지를 살펴볼 수 있는 대안이 될 수 있습니다.

열악한 보안이 새로운 인텔리전스로 이어집니다

이 기간 동안 북한 인터넷 활동 중 어떤 방식으로든 난독화되거나 보호된 것은 1% 미만입니다. 이 기준을 충족하는 활동 중에는 TLS/SSL을 잘못 구현하는 것부터 추적이 거의 불가능한 여러 가상 사설망(VPN)과 가상 사설 서버(VPS)의 체인을 활용하여 대량의 데이터를 전송하는 것까지 매우 다양했습니다.

잘못된 구현의 예로, 한 북한 사용자는 토르 (토르 라우터) 를 사용하여 자신의 활동을 난독화하는 데 어려움을 겪은 후 토렌트 파일 공유를 계속하고 3개월 이상 매일 같은 노드에서 토르 네트워크를 종료했습니다.

난독화 기술을 사용한 사용자 중에서는 다양한 VPN 및 VPS 서비스 및 제공업체를 사용했습니다. 북한 주민이 사용하는 거의 모든 VPN과 VPS는 개인 또는 정부 기관에서 관리하는 월정액 구독 서비스입니다.

이러한 서비스를 어떻게 구매하는지 명확하지 않으며 많은 서비스 제공업체가 잘 알려진 대형 서구 기업입니다. 여기에는 Sharktech, iWeb, Digital Ocean, Linode, Leaseweb USA, Telemax, Touch VPN 등이 포함됩니다.

수동적인 인터넷 모니터링이나 국내 검열 기관에서 브라우징을 난독화하거나 용이하게 하기 위해 많은 VPN과 VPS를 사용했습니다.

한 미국 VPN은 iPad에서 Gmail 계정을 확인하고, Google 클라우드에 액세스하고, Facebook 및 MSN 계정을 확인하고, 성인용 콘텐츠를 보는 데 사용되었습니다. 다른 VPN과 VPS는 Metasploit 실행, 비트코인을 사용한 구매, 트위터 확인, 비디오 게임, 비디오 스트리밍, Dropbox에 문서 게시, Amazon 검색에 사용되었습니다.

일반적으로 난독화가 잘 되어 있지 않은 이 데이터를 통해 북한 지도부와 엘리트층의 이해관계에 대해 이전에는 알지 못했던 통찰력을 얻을 수 있었습니다. 예를 들어, 많은 사용자가 해외에서 다른 사람과 통화하고 메시지를 주고받기 위해 VoIP 서비스를 이용하고, 여전히 AOL 계정을 보유하고 정기적으로 확인하며, 미용 및 건강 사이트를 자주 방문하고, 고가의 운동화를 온라인으로 구매하고, 많은 사용자가 산업용 하드웨어 및 기술 최적화 서비스를 조사하고, 아이폰, 아이패드, 블랙베리를 사용하여 커뮤니케이션을 하는 등 다양한 사용자층이 있습니다.

다른 사용자들은 매일 카스퍼스키, 맥아피, 키후360, 시만텍 등 사이버 보안 기업과 그들의 연구, DoSarrest , 샤크테크 등 디도스 방지 기업과 기술을 조사하는 데 시간을 보냈습니다. 한 사용자는 THURAYA 및 위성 통신 장비 사용에 대한 교육을 받았고 다른 사용자는 말레이시아, 미국, 캐나다의 여러 대학에서 물리학 및 공학과를 연구했습니다.

게임과 콘텐츠 스트리밍은 북한에서 전체 인터넷 활동의 65%를 차지했습니다. 대체로 사용자들은 주로 중국 동영상 호스팅 서비스인 Youku, iTunes, 다양한 BitTorrent 및 P2P 스트리밍 서비스에서 콘텐츠를 소비합니다. 게임의 경우, 북한 사용자들은 밸브에서 제공하는 게임과 월드 오브 탱크라는 대규모 멀티플레이어 온라인 게임을 선호하는 것으로 나타났습니다.

의심스러운 활동

이 기간 동안 북한의 활동 대부분은 악의적인 것이 아니었지만, 의심스러운 활동도 적지 않았지만 상당수 있었습니다. 한 가지 사례는 5월 17일에 북한 사용자들이 비트코인 채굴을 시작한 것입니다.

비트코인 위키에 따르면 비트코인 채굴은 "비트코인의 과거 거래 공개 원장(또는 블록체인)에 거래 기록을 추가하는 과정"입니다. 비트코인 채굴은 계산적으로 복잡한 작업이며 컴퓨터 성능의 최대 90%가 필요할 수 있기 때문에 어렵습니다.

이 모든 에너지를 사용하여 거래 기록을 블록체인에 추가하면 각 채굴자는 거래를 전송한 사용자가 지불한 수수료뿐만 아니라 새로운 블록을 발견하면 25비트코인을 받을 수 있다는 이점이 있습니다.

그날 이전에는 비트코인 관련 사이트나 노드, 비트코인 전용 포트나 프로토콜을 활용하는 활동이 거의 없었습니다. 5월 17일부터 이러한 활동은 기하급수적으로 증가하여 하루에 아무것도 없던 것이 수백 건으로 늘어났습니다. 이 채굴의 시기가 중요한 이유는 지난 5월 워너크라이 랜섬웨어 공격이 발생한 직후에 시작되었고, NSA는 북한 정보기관인 정찰총국(RGB)이 김 정권을 위한 자금 조달을 시도한 것으로 보고 있기 때문입니다.

이 시점(5월 17일)이면 정부 내 공격자들은 워너크라이 랜섬웨어 계정 3개에서 비트코인을 옮기는 것이 추적하기 쉽고 공격에 대한 부인력을 유지하려는 경우 바람직하지 않다는 것을 깨달았을 것입니다.

북한의 비트코인 채굴 작업을 누가 운영하고 있는지는 명확하지 않지만, 북한의 컴퓨터 수가 상대적으로 적고 IP 공간이 제한적이라는 점을 고려할 때 이러한 컴퓨팅 집약적인 활동이 국가 통제 밖에서 이루어지고 있을 가능성은 낮습니다.

또한 이 기간 동안 일부 북한 사용자들은 여러 외국 실험실과 연구소에서 연구 또는 네트워크 정찰을 수행한 것으로 나타났습니다.

특히 인도 우주 연구기구의 국립 원격 감지 센터, 인도 국립 야금 연구소, 필리핀 과학기술부 첨단 과학기술 연구기관을 대상으로 한 활동이 의심스러운 정황을 포착했지만 악의적인 행위는 확인되지 않았습니다.

영향

북한에 대한 국제 정책과 관여 전략은 수십 년 동안 동일한 도구(제재, 국제적 고립 강화)에 의존하고 동일한 국가(중국, 러시아, 유엔 안보리 상임이사국 5개국)를 파트너로 참여시켰기 때문에 영향력을 발휘하는 데 어려움을 겪어왔습니다. 이 2부로 구성된 시리즈는 북한 정권에 대한 다른 압박 요인이 있을 수 있으며, 그 결과 탐색해야 할 다른 도구, 기술 및 파트너가 있음을 보여줍니다.

팀 심루의 첩보와 레코디드 퓨처의 분석을 통해 두 가지 현실이 밝혀졌습니다.

첫째, 제재와 엄청난 국제적 압박에도 불구하고 북한 지도자들은 외부 세계로부터 고립되어 있지 않습니다. 이들은 현대 인터넷 사회와 경제에 적극적으로 참여하고 있으며, 이는 북한 지도부를 글로벌 경제로부터 차단하려는 시도가 대체로 실패했음을 의미합니다.

둘째, 현 김 정권에 지속적인 부정적 영향을 미치기 위해서는 평양과 북한 영토에 초점을 맞추지 않는 새로운 도구가 필요합니다. 우리는 서방과 협력할 수 있는 다른 국가들과 북한에 비대칭적 압박을 가하는 데 활용할 수 있는 대체 도구와 기법을 파악했습니다. 인도, 말레이시아, 인도네시아 또는 위에서 언급한 다른 국가들과 협력하면 미국과 다른 서방 국가들은 중국과 러시아의 비협조적인 파트너를 우회하고 광범위한 북한 작전 디아스포라에 압력을 가할 수 있으며, 이는 정권의 의존성으로 인해 북한 지도부에 더 큰 실질 비용을 부과할 가능성이 높습니다.

사이버 보안 전문가와 네트워크 방어자를 위한 이 2부작 시리즈에서는 북한의 악의적인 사이버 활동을 방어하는 것이 얼마나 복잡한 일인지 설명합니다. 금융 서비스 기업과 미군과 한국군의 사드 배치 및 한반도 내 작전을 지원하는 기업들은 한반도 내 네트워크와 운영에 대한 고조된 위협 환경에 대해 최고의 경계와 인식을 유지할 것을 지속적으로 권고합니다.

마찬가지로 에너지 및 미디어 기업, 특히 한국에 소재하거나 이러한 부문을 지원하는 기업은 디도스, 파괴적 멀웨어, 랜섬웨어 공격 등 북한의 광범위한 사이버 활동에 주의를 기울여야 합니다. 모든 분야의 조직은 랜섬웨어의 적응성을 지속적으로 인식하고 위협의 진화에 따라 사이버 보안 전략을 수정해야 합니다.

관련