>
연구(Insikt)

북한이 불량 정권을 위한 도구로 인터넷을 혁명화한 방법

게시일: 2020년 2월 9일
작성자:  Insikt Group®

insikt-group-logo-updated-2.png

전체 분석 내용을 PDF로 다운로드하려면 여기를 클릭하세요.

이 연구를 위해 인식트 그룹은 다양한 도구를 사용하여 타사 데이터, IP 지리적 위치, BGP(국경 게이트웨이 프로토콜) 라우팅 테이블, 네트워크 트래픽 분석, 오픈 소스 정보(OSINT)를 분석하여 북한 고위 지도부의 인터넷 활동을 조사했습니다. 이 보고서를 위해 분석된 데이터는 2019년 1월 1일부터 2019년 11월 1일까지의 데이터입니다.

이 보고서는 기술, 금융, 국방, 암호화폐, 물류 분야의 정부 부처와 조직, 그리고 북한의 제재 우회, 불법 자금 조달, 국가가 후원하는 사이버 스파이 활동을 조사하는 기관에서 가장 관심을 가질 만한 자료입니다.

Executive Summary

지난 3년 동안 레코디드 퓨처는 북한 최고 지도층의 행동에 대한 독특한 통찰력을 보여주는 일련의 연구 자료를 발표했습니다. 2019년의 관찰과 연구 결과는 이러한 관찰을 확장하여 북한 지도자들의 인터넷 사용 방식에 대한 보다 광범위한 결론을 제시합니다. 2019년 데이터에 따르면 북한 정치 및 군사 엘리트들에게 인터넷은 단순한 취미나 여가 활동이 아니라 수익 창출, 금지된 기술과 지식에 대한 접근, 작전 조정을 위한 중요한 도구로 사용되고 있습니다.

또한, 북한이 다국적 기구와 서방이 부과한 국제 금융 통제 및 제재 체제를 우회하기 위한 인터넷 기반 모델을 개발했다고 평가합니다. 여기에는 인터넷을 수익 창출의 메커니즘으로 사용하는 것뿐만 아니라 북한의 핵 및 탄도 미사일 프로그램 개발과 사이버 작전 등 금지된 지식과 기술을 습득하는 도구로 사용하는 것도 포함됩니다. 이 모델은 인터넷을 이용한 은행 절도, 암호화폐와 블록체인 기술의 사용 및 악용, 낮은 수준의 정보 기술(IT) 작업 및 금융 범죄 등 세 가지 주요 전술을 사용하여 수익을 창출합니다.

가장 기본적으로 북한은 인터넷을 제재 우회 메커니즘으로 활용하는 모델을 개발했는데, 이는 독특하지만 예외적이지는 않습니다. 이 모델은 독특하지만 반복 가능하며, 무엇보다도 베네수엘라, 이란, 시리아 등 재정적으로 고립된 다른 국가들이 인터넷을 이용해 제재를 우회하는 방법에 대한 모범이 될 수 있다는 점에서 우려스럽습니다.

주요 판단

  • 2017년 이후 북한 네트워크를 오가는 활동량이 300% 증가한 것으로 나타났습니다. 이는 러시아로 라우팅되는 TransTelekom 인프라의 사용 증가, 이전에 해결되지 않았던 북한의 일부 IP 공간 사용, 트래픽 부하 증가를 지원하기 위한 새로운 메일 서버, FTP 서버, DNS 네임 서버의 가동 등 여러 요인에 기인하는 것으로 파악됩니다.
  • 지속적인 생활 패턴과 콘텐츠의 변화는 인터넷이 북한 최고 지도층의 전문적인 도구가 되었을 가능성이 높다는 것을 의미합니다. 인터넷 사용량이 가장 높았던 2017년에는 주말과 늦은 오후와 저녁에 가장 많았던 것과 달리, 이제는 평일 근무 시간대에 인터넷 사용량이 가장 높은 것으로 나타났습니다.
  • 300% 증가한 활동량, TransTelekom 인프라를 통해 /24 서브넷을 추가로 라우팅하여 대역폭과 용량이 증가한 점, 이전에 해결되지 않았던 일부 IP 공간의 최근 활용 등을 종합하면 인터넷은 더 이상 단순한 흥미나 여가 활동이 아니라 북한 지도자들에게 중요한 도구가 되었다고 평가할 수 있습니다.
  • 북한이 도메인 이름 서비스(DNS)를 악용하여 고유한 가상 사설망(VPN)을 만든 것으로 밝혀졌습니다. 이 VPN은 DNS 터널링이라는 기술을 사용하는데, 이는 DNS 프로세스가 도메인 확인이 아닌 폐쇄된 네트워크 내부에서 데이터를 전송하거나 터널링하는 데 사용되는 경우를 말합니다. 이 기법은 북한 사용자가 의심하지 않는 표적의 네트워크에서 데이터를 유출하거나 정부의 콘텐츠 통제를 우회하는 수단으로 사용될 수 있다고 평가합니다.
  • 2019년 한 해 동안 김 정권이 나머지 4개 국영 보험사의 접근성을 높이는 데 집중한 것은 2017년 KNIC 제재 이후 보험 사기를 수익 창출 수단으로 활성화하고 잠재적인 대북 투자자들을 안심시키기 위한 시도일 수 있다고 생각합니다.
  • 2019년 5월 이후 북한 IP 범위에서 모네로 채굴 활동이 최소 10배 이상 증가한 것으로 확인되었습니다. 모네로의 익명성과 낮은 처리 능력 요구사항이 북한 사용자들에게 비트코인보다 더 매력적일 수 있다고 생각합니다.

북한-북한-인터넷-도구-7-1.jpg

배경

2017년 4월부터 진행된 연구 결과에서 알 수 있듯이, 북한의 고위 지도부 중 글로벌 인터넷에 직접 접속할 수 있는 사람은 극소수에 불과합니다. 북한 인터넷 사용자에 대한 신뢰할 만한 수치는 없지만, 기자들은 "극소수"부터 "북한 지도부의 이너서클", "수십 가정에 불과"하다고 추정하고 있습니다. 정확한 숫자와 상관없이 북한 인터넷 사용자의 프로필은 분명합니다. 그들은 가족 또는 지배 계층의 신뢰받는 구성원입니다.

북한 엘리트들이 글로벌 인터넷에 접속하는 방법은 크게 세 가지입니다. 첫 번째 방법은 할당된 .kp 도메인을 사용하는 것입니다. 범위인 175.45.176.0/22로, 국내 유일의 글로벌 인터넷 액세스 가능 웹사이트를 호스팅하고 있습니다. 여기에는 co[.]kp, gov[.]kp, edu[.]kp 등 9개의 최상위 도메인과 다양한 북한 국영 미디어, 여행 및 교육 관련 사이트를 위한 약 25개의 하위 도메인이 포함됩니다.

두 번째 방법은 차이나 넷콤에서 할당된 범위인 210.52.109.0/24를 이용하는 것입니다. 'KPTC'는 국영 통신 회사인 한국우편통신공사의 약자입니다. 세 번째 방법은 러시아 위성 회사에서 제공하는 할당된 범위인 77.94.35.0/24를 이용하는 것으로, 현재 레바논의 SatGate로 확인됩니다.

여기서 '북한의 인터넷 활동' 또는 '행동'이라 함은 북한 내부 인트라넷(광명)이 아닌 일부 지도자와 지배 엘리트에게만 접근이 허용된 글로벌 인터넷 사용을 의미한다는 점을 유의하시기 바랍니다. 이 데이터는 광명이나 북한에 위치한 외교 및 외국 시설에 대한 접근이 허용된 대규모 북한인 그룹의 인트라넷 활동이나 행동에 대한 통찰력을 제공하지 않습니다.

분석

인터넷 사용의 정상화

2018년 10월 보고서에서 관찰했듯이, 2017년 초에 북한 지도자들의 행동을 연구하기 시작한 이후 인터넷 활동량이 증가했습니다. 지난 3년 가까운 기간 동안 북한 네트워크와 주고받는 활동량은 300% 가까이 증가했습니다. 이러한 인터넷 사용량 증가에는 몇 가지 이유가 있을 수 있습니다.

첫째, 북한은 글로벌 인터넷 접속을 위한 대역폭과 용량을 늘렸습니다. 2017년 10월, 북한은 가장 큰 IP 범위의 하위 집합 중 하나인 175.45.176.0/22의 인터넷 트래픽을 라우팅하는 새로운 파트너인 러시아의 TransTelekom(AS20485)을 확보했습니다. 그 이전에는 전체 175.45.176.0/22의 모든 트래픽이 범위는 차이나 유니콤(AS4837)에 의해 라우팅되었으며, 2019년 9월 초 현재 175.45.178.0/24 서브넷은 TransTelekom 인프라를 사용한 적이 없습니다.

그러나 2019년 9월 중순에 BGP 라우팅 테이블이 변경되어 175.45.177.0/24 서브넷이 차이나 유니콤에서 트랜스텔레콤으로 완전히 전환되었습니다. 허리케인 일렉트릭 및 기타 서비스에서 실행하는 추적 경로와 BGP 경로 쿼리 모두 175.45.177.0/24를 확인합니다. 서브넷은 이제 트랜스텔레콤 인프라를 통과합니다.

또한 서브넷 분석에 따르면 2018년 초에는 36%에 불과했던 북한 전체 인터넷 트래픽의 45%가 현재 TransTelekom 인프라를 통과하는 것으로 나타났습니다. 증가된 용량은 지난 한 해 동안 인터넷 트래픽 증가의 일부분을 설명하는 것으로 평가됩니다. 트랜스텔레콤과 차이나유니콤 인프라를 통해 별도의 서브넷을 라우팅하면 인터넷 통신의 지연 시간을 줄이고 북한 지도부 사용자의 속도와 접근성을 높일 수 있습니다.

둘째, 북한은 지난 6개월 동안 이전에 해결되지 않은 IP 공간 중 일부를 사용하기 시작했습니다. 6월 초, 북한 네트워크 관리자들은 kptc[.]kp에 대한 두 개의 DNS 네임서버의 IP 확인을 이전했습니다. 도메인. 이전에는 kptc[.]kp의 네임서버는 다음과 같았습니다. 175.45.176.15 및 175.45.176.16으로 해결되었습니다. 2019년 6월 초에 해당 네임서버는 175.45.177.15 및 175.45.177.16으로 이전되었습니다, 를 각각 입력합니다. 6월 초 이전에는 이 두 IP 주소가 전혀 해결되지 않았습니다. 그 이후로 이 두 IP는 SMTP (또는 메일) 및 FTP 서버로서의 역할을 추가로 맡게 되었습니다.

이러한 변화는 언뜻 사소해 보일 수 있지만, 북한 사용자들에게 제공되는 서비스가 확대된다는 점에서 의미가 있습니다. 우리는 kptc[.]kp[. 네임서버가 175.45.176.15 및 175.45.176.16에서 이전된 이유는 해당 IP 주소가 전통적으로 북한 인바운드 및 아웃바운드 인터넷 트래픽의 상당 부분을 처리해왔기 때문입니다. 지난 3년 가까이 평균적으로 175.45.176.15와 175.45.176.16은 전체 북한 인바운드 및 아웃바운드 트래픽의 30%를 처리했으며, 2018년 6월에 평가한 바에 따르면 두 컴퓨터의 부하가 상당하여 국내외 사용자 모두에게 페이지 로딩 지연 및 지연 문제를 일으켰을 가능성이 높습니다.

지난 6개월 동안 관찰된 네트워크 관리의 변화는 아마도 국내외 북한 사용자의 수요 증가에 따른 것으로 평가합니다. 예를 들어 인터넷에서 액세스할 수 있는 메일 서버를 설정한다는 것은 사람들이 해당 도메인의 사용자에게 이메일을 보낼 수 있고 사용자가 자신의 메일에 원격으로 액세스할 수 있기를 원한다는 것을 의미합니다. 우리는 지난 3년간 인터넷 활동이 300% 증가한 것을 통해 이러한 수요 증가를 관찰했으며, 이는 북한 엘리트층의 인터넷 사용이 정상화되고 전문화되고 있음을 반영하는 것으로 평가합니다.

생활 패턴 분석

지난 3년 동안 북한 지도자들의 일상적인 인터넷 사용 패턴의 변화도 모니터링해 왔습니다. 아래는 북한 지도부의 하루 중 시간대별 인터넷 사용 패턴을 보여주는 두 개의 차트입니다. 가장 최근 차트(2019년 1월부터 10월까지의 데이터로 작성)에서 주목할 만한 점은 일일 활동의 최고점과 최저점이 대부분 완화되었다는 점입니다.

북한-북한-인터넷-도구-1-1.png

2019년 1월부터 10월까지 시간별 일일 인터넷 사용량(평균이 아님).

북한-북한-인터넷 도구-2-1.png

2018년 3월부터 8월까지의 시간별 일일 인터넷 사용량(평균이 아님).

2019년 북한 지도자들은 2017년보다 근무 시간과 근무일에 평균적으로 인터넷을 더 많이 사용했습니다(아래 일별 활동 차트 참조).

북한-북한-인터넷-도구-3-1.png

2019년 1월부터 10월까지 요일별 일일 인터넷 사용량(평균이 아님).

북한-북한-인터넷-도구-4-1.png

2018년 3월부터 8월까지 일별 일일 인터넷 사용량(평균이 아님).

이러한 변화는 2018년에 처음 관찰되었으며, 위의 데이터는 이러한 변화 패턴이 비정상적인 것이 아님을 보여줍니다. 인터넷 사용량이 가장 높은 시간대는 평일 근무 시간으로, 주말과 늦은 오후와 저녁에 활동이 가장 많았던 2017년에 비해 큰 변화가 생겼습니다.

300% 증가한 활동량, TransTelekom 인프라를 통해 /24 서브넷을 추가로 라우팅하여 대역폭과 용량이 증가한 점, 이전에 해결되지 않았던 일부 IP 공간의 최근 활용 등을 종합하면 인터넷은 더 이상 단순한 흥미나 여가 활동이 아니라 북한 지도자들에게 중요한 도구가 되었다고 평가할 수 있습니다.

도구로서의 인터넷

위의 모든 조사 결과와 이전 연구 결과는 북한 지도자들의 인터넷 사용 방식에 대해 훨씬 더 광범위한 결론을 내리고 있습니다. 북한의 정치 및 군사 엘리트들에게 인터넷은 매우 중요한 도구가 되었습니다. 여기에는 인터넷을 수익 창출의 메커니즘으로 사용하는 것뿐만 아니라 북한의 핵 및 탄도 미사일 프로그램 개발과 사이버 작전 등 금지된 지식과 기술을 습득하는 도구로 사용하는 것도 포함됩니다.

또한, 북한이 다국적 기구와 서방이 부과한 국제 금융 통제 및 제재 체제를 우회하기 위한 인터넷 기반 모델을 개발했다고 평가합니다.

수익 창출

북한 모델은 인터넷 기반 수익 창출의 주요 원천으로 세 가지 주요 운영 기둥을 사용한다는 사실을 확인했습니다. 여기에는 다음이 포함됩니다:

  1. 은행 업무
  2. 암호화폐
  3. 낮은 수준의 정보 기술(IT) 업무 및 금융 범죄

뱅킹 운영

유엔 안보리 북한 전문가 패널에 따르면, 지난 4년 동안 최소 35개국의 금융 기관과 암호화폐 거래소가 북한의 사이버 작전으로 피해를 입었으며, 이로 인해 김 정권이 20억 달러에 달하는 수익을 창출했습니다. 금융 기관에 대한 공격은 국제은행간 금융 통신협회(SWIFT) 네트워크를 통해 이루어졌으며, 북한 공격자들은 SWIFT 터미널에 대한 초기 액세스 권한을 확보한 후 일련의 사기 거래를 실행했습니다. 이러한 거래는 피해 은행에서 북한 요원들이 곧바로 현금화할 수 있는 유령 계좌로 돈을 이체했습니다. 2018년 9월 법무부가 34세의 북한 운영자 박진혁을 기소하면서 공개한 정보에 따르면, 운영자들은 종종 북한 IP 공간을 사용하여 의도한 피해자의 웹사이트를 방문하고 직원에게 피싱 이메일을 보내며 네트워크 정찰을 수행했습니다.

알려진 북한 소행의 은행 운영에 대한 공개 및 비공개 정보를 모두 연구하면서 지난 4년간의 운영을 위한 일련의 일반적인 전술, 기법 및 절차(TTP)를 확인했습니다.

  • 우리는 이러한 은행 운영이 북한 주민들에 의해 잘 연구되고 자원이 확보된 것으로 평가합니다. 공격자들은 표적 네트워크 내부에서 9개월에서 18개월 동안 추가 정찰, 측면 이동, 권한 상승, 각 조직의 특정 SWIFT 인스턴스 연구, 보안 절차 무력화 등을 수행한 것으로 보입니다.
  • 북한 공격자들이 전략적 웹 침해(SWC)를 통해 중앙은행이나 은행 규제 기관의 웹사이트를 표적으로 삼았다는 새로운 데이터가 나오고 있다고 생각합니다. 이러한 웹 침해는 은행 자체에 대한 후속 침입 시도와 그에 따른 은행 간 이체 사기 시도를 가능하게 했을 수 있습니다.
  • 공개적으로 알려진 뱅킹 작업 중 초기 공격 벡터는 스피어피시 또는 SWC였습니다. 그러나 2018년 터키 은행을 대상으로 한 최소 한 건의 공격에서 북한 공격자들은 이전에 알려지지 않은 어도비 플래시 익스플로잇 (또는 제로데이)을 스피어피쉬를 통해 전달했습니다.
  • 저희는 파괴적인 멀웨어가 사기 거래로부터 침입 대응 노력을 감추거나 다른 곳으로 돌리기 위해 사용된 사례를 최소 두 건 이상 파악하고 있습니다.
  • 알려진 북한의 사기성 SWIFT 거래는 대상 국가에서 휴일이나 긴 주말에 실행되었습니다.

암호화폐

2017년 7월, 저희는 북한 지도부의 암호화폐에 대한 관심과 사용을 보여주는 최초의 보고서를 발표했습니다. 그 이후로 북한은 한국의 암호화폐 거래소에서 대규모 절도, 암호화폐 사기, 크립토재킹, 암호화폐 채굴에 연루되어 있습니다. 저희의 연구에 따르면 북한은 비트코인, 라이트코인, 모네로 등 최소 3개의 암호화폐에서 코인을 채굴, 도난 또는 생성했으며, 유엔이 북한의 암호화폐 '강탈'로 자금을 조달했다고 평가한 블록체인 기반 사기 사건에 최소 한 건 이상 연루된 것으로 나타났습니다.

2019년 11월 현재, 저희는 소규모 비트코인 채굴을 계속 관찰하고 있습니다. 지난 2년 동안 트래픽 양과 피어와의 통신 속도는 비교적 안정적으로 유지되었지만 해시 비율이나 빌드는 아직 확인할 수 없습니다. 이러한 채굴 노력은 아직 소규모이며 소수의 컴퓨터로 제한될 가능성이 높다고 생각합니다.

하지만 2019년 5월 이후 모네로 채굴 활동이 2018년 대비 10배 증가한 것으로 나타났습니다. 2018년 10월 북한의 모네로 채굴 활동은 트래픽 양과 피어와의 통신 속도 모두 위에서 언급한 비트코인 채굴과 비슷했습니다. 저희의 평가에 따르면, 2019년 11월 현재 모네로 채굴 활동이 최소 10배 이상 증가한 것으로 나타났습니다. 모든 활동이 하나의 IP 주소를 통해 프록시되기 때문에 해시 비율을 확인할 수 없으며, 그 배후에는 최소 여러 대의 알 수 없는 컴퓨터가 있는 것으로 추정됩니다.

모네로는 적어도 2017년 8월부터 북한 운영자들이 워너크라이 공격으로 얻은 비트코인 수익을 비트코인 믹서를 통해 세탁한 후 모네로로 전환하는 데 사용되었습니다. 모네로는 진정한 익명성이라는 점에서 비트코인과 구별됩니다. 모든 거래는 블록체인 내에서 암호화되어 거래의 발신자 또는 수신자만 상대방을 확인할 수 있습니다. 모네로는 비전문 기계로 채굴할 수 있도록 설계되었으며, 채굴 포트가 용량에 따라 확장되는 경향이 있다는 점에서도 다릅니다. 예를 들어, 많은 채굴자는 저사양 머신에는 포트 3333을 사용하고, 고급 대용량 머신에는 포트 7777을 사용합니다.

2018년과 마찬가지로 포트 7777에서 채굴이 증가했으며, 이는 더 높은 용량의 머신이 더 높은 해시 속도로 채굴을 수행하고 있음을 시사합니다. 저희가 관찰한 포트 번호와 활동만으로는 해시 비율을 판단하기에 충분하지 않았으며, 채굴이 발생하고 있다는 것만 평가할 수 있었습니다. 하지만 익명성과 비전문적인 기계로 채굴할 수 있다는 두 가지 요소로 인해 모네로가 북한 사용자들에게 비트코인보다 더 매력적일 수 있다고 생각합니다.

2019년 8월 유엔 전문가 패널 중간 보고서에 따르면, 한 회원국은 패널에 "조선민주주의인민공화국 군대의 전문 부대"도 암호화폐 채굴에 관여하고 있다고 밝혔습니다. 북한 IP 공간에서 관찰된 비트코인 또는 모네로 채굴 활동이 이 군부대에 의해 수행되고 있을 가능성이 있지만, 저희가 보유한 데이터 외에는 어떤 북한 단체가 관찰된 채굴을 담당하고 있는지 확인할 수 있는 통찰력이 없습니다.

북한 공격자들은 또한 피해자를 속여 악성 암호화폐 관련 소프트웨어를 설치하도록 설계된 여러 가지 은밀한 기법을 사용했습니다. 크립토재킹으로 알려진 이 공격은 모르는 사용자의 컴퓨터를 탈취해 암호화폐를 채굴하는 것으로, 주로 한국과 전 세계 사용자를 대상으로 발생했습니다. 크립토재킹을 통해 공격자는 피해 컴퓨터의 컴퓨팅 용량과 에너지를 활용할 수 있으므로 암호화폐 채굴의 기회 비용을 크게 줄일 수 있습니다.

2018년 말에 등장한 두 번째 기법은 "거래 애플리케이션"이라는 일반적인 암호화폐 도구의 악성 버전을 이용했습니다. 이 사례에서 북한 운영자는 여러 암호화폐를 거래할 수 있는 단일 지점을 제공하는 합법적이고 기능적인 애플리케이션을 개발했습니다. 이 애플리케이션은 설치 시 업데이트를 확인했고, 대신 잘 알려진 북한 원격 액세스 트로이 목마(RAT)인 FALLCHILL을 설치했습니다. 이 악성 거래 애플리케이션은 공격이 성공했는지는 확실하지 않지만 표적이 된 암호화폐 거래소의 네트워크에 쉽게 액세스할 수 있도록 했습니다.

블록체인 분석 회사 체인널리시스는 2019년 3월 싱가포르에 위치한 드래곤엑스(DragonEx )라는 거래소에서 비슷한 기술을 사용해 약 700만 달러의 암호화폐를 탈취한 사례를 문서화했습니다. 이 사례에서 북한 운영자는 Worldbit-bot이라는 기능을 갖춘 자동화된 암호화폐 거래 봇을 만들었으며, 이 봇에는 드래곤엑스 네트워크에 쉽게 접근할 수 있는 RAT가 포함되어 있어 결국 700만 달러 상당의 코인을 도난당했습니다.

우리는 암호화폐가 북한에게 독립적이고 느슨하게 규제되는 수익 창출의 원천이자 불법적으로 얻은 자금을 이동하고 사용하기 위한 수단으로서 가치 있는 도구라고 평가합니다. 유엔은 "암호화폐 공격을 통해 북한은 공격 수익금을 해외에서 더 쉽게 사용할 수 있다"며 "북한은 자금 추적 시도를 피하기 위해 수천 건의 거래를 시작하고 여러 국가를 경유하며 다른 코인으로 전환하는 등 많은 노력을 기울이고 있다"고 결론지었습니다.

낮은 수준의 IT 업무 및 금융 범죄

2012년경부터 기자, 학자, 연구자들이 실시한 일련의 탈북자 인터뷰를 통해 외부 세계는 북한의 사이버 작전 목표와 인력을 엿볼 수 있었습니다. 탈북자들은 주로 해외 시설에 거주하는 운영자와 프로그래머로 구성된 북한 작전 조직이 김 정권을 위한 수익 창출이라는 중요한 목표를 가지고 있다는 그림을 그려왔습니다.

탈북자들은 비디오 게임 위조와 사용자 사기가 김 정권의 수익 창출에 얼마나 중요한 역할을 하는지 자세히 설명했습니다. 수십 명의 다른 북한 해커들과 함께 중국의 집에서 일했던 한 탈북자는 이들이 연간 10만 달러에 가까운 돈을 벌어야 했고, 그 중 80%는 김씨 정권에 송금되었다고 말했습니다. 이를 위해 이들은 위조 비디오 게임, 무기, 포인트, 장비와 같은 디지털 아이템을 훔쳐 재판매하는 봇을 만들어 수익을 창출하고 게임 소프트웨어의 새로운 취약점을 발견하여 판매했습니다. 추가 보고에 따르면 북한 운영자들은 한국의 온라인 카지노, 게이머, 현금자동입출금기(ATM) 사용자도 표적으로 삼아 자금을 조달한 것으로 확인되었습니다.

2018년 9월, 월스트리트 저널은 북한 요원들이 업워크와 프리랜서 같은 '긱 이코노미' IT 프리랜서 웹사이트를 이용해 모르는 전 세계 사용자들에게 일자리를 구해 왔다고 보도했습니다. 특히 "캐나다 전자상거래 플랫폼인 Shopify에서 대량 구매를 용이하게 하는 봇, 미국 구직 회사를 위한 웹사이트, 그래픽 디자인 프로젝트" 등 웹사이트 및 애플리케이션 개발이 포함된 직무도 있었습니다. 이 경우 북한인들은 중국 북동부에 있는 선양이라는 도시에서 활동했습니다.

이는 사이버 작전을 수행하기 위해 북한인을 해외로 파견하는 것에 전부는 아니지만 크게 의존하는 작전 모델의 그림을 그려줍니다.

금지된 기술 및 지식에 대한 접근 권한 얻기

탈북자들은 또한 김 정권의 사이버 작전에서 외국이 하는 역할에 대해 광범위하게 이야기했습니다 (많은 경우 알게 모르게). 사이버 관점에서 볼 때, 김 정권은 제3국을 국가가 후원하는 운영자를 훈련하고 호스팅하는 데 이용하고 있습니다.

북한은 제3국을 악용하여 사이버 요원을 양성할 뿐만 아니라 유엔 제재에 의해 금지된 핵 관련 지식을 습득할 수도 있습니다. 월스트리트저널은 2017년 9월 조사에서 북한인들이 해외, 특히 중국에서 "첨단 물리학, 첨단 컴퓨터 시뮬레이션 및 관련 컴퓨터 과학, 지리 공간 항법, 핵 공학, 항공 우주 공학, 항공 공학 및 관련 학문의 교육 또는 훈련을 포함하여 북한의 민감한 핵 활동 확산이나 핵무기 전달 시스템 개발에 기여할 수 있는 과목"을 공부하고 있는 사실을 발견했습니다.

또한, 탈북자들은 사이버 요원들이 대학 졸업 후 해외로 파견되어 고급 교육을 받는 경우도 많다고 보고했습니다. 탈북자들이 명시적으로 지목한 국가로는 중국, 러시아, 인도 등이 있습니다.

북한 주민을 해외로 보내 사이버 작전을 훈련하고 수행하는 이 운영 모델은 해커들이 북한 정권을 위해 돈을 버는 수단과 우리가 분석한 북한 엘리트 웹 트래픽을 비교할 때 특히 관련이 있습니다. 이전 연구에서 저희는 전 세계 국가에 존재하는 북한의 물리적, 가상적 존재를 식별하는 휴리스틱을 개발했습니다. 이 휴리스틱에는 이들 국가를 오가는 북한의 평균 이상의 인터넷 활동뿐만 아니라 뉴스 매체, 구 또는 시 정부, 지역 교육 기관 등과 같은 다양한 현지 리소스의 검색 및 사용도 포함되었습니다.

이 기술을 통해 북한 주민이 실제로 거주하거나 거주할 가능성이 있는 국가를 파악할 수 있었습니다. 2019년 한 해 동안 기술과 이 분석을 지속적으로 개선해 왔으며, 2019년 한 해 동안 인도, 중국, 네팔, 케냐, 모잠비크, 인도네시아, 태국, 방글라데시 등 8개국에서 주로 관찰한 활동의 지속성을 확인했습니다. 그러나 이러한 분석은 과거에는 유용했지만, 점차 두 가지 이유로 인해 이들 국가에서의 북한 행동에 대한 실질적인 통찰력을 얻지 못하고 있습니다.

첫째, 북한 지배 엘리트들이 보편적으로 강력한 인터넷 보안 절차를 시행하고 있지는 않지만, 북한 주민과 모든 인터넷 사용자들의 광범위한 추세는 보안을 강화하는 것입니다. 이는 시간이 지날수록 북한의 인터넷 활동을 추적하고 새로운 인사이트를 밝혀내는 것이 더 어려워졌다는 것을 의미합니다.

둘째, 대형 기술 기업들은 DNS, 콘텐츠 전송, 클라우드 서비스 등 점점 더 다양한 서비스를 고객에게 제공하고 있습니다. 네트워크 관점에서 볼 때 일반적인 DigitalOcean, Cloudflare 또는 GoDaddy 인프라 뒤에 있는 최종 콘텐츠를 식별하는 것은 매우 어렵습니다. 포트와 프로토콜조차도 많은 양의 데이터만 제공하며, 종종 디지털오션 박스에서 종료되는 세션은 아무 것도 보여주지 않습니다.

저희의 데이터에 따르면, 중국과 인도 모두 고의든 무의식적이든 북한의 활동을 호스팅하고 지원하는 것으로 계속 평가하고 있습니다. 특히 인도는 계속해서 북한 사이버 작전의 숙주이자 피해자가 될 가능성이 높습니다.

운영 보안

2018년 초, 북한 주민들이 가상 사설 네트워크(VPN), 가상 사설 서버(VPS), 전송 계층 보안(TLS), 토르(Tor) 등과 같은 운영 보안 기술의 사용을 급격히 늘린 것을 발견했습니다. 2018년 말에는 전체 트래픽의 13%에서 5%를 약간 상회하는 수준으로 운영상 보안이 취약한 행동이 완화되었습니다. 북한 지도자들의 보안 브라우징 기술 사용을 모니터링하는 것은 기술적 숙련도와 대응력, 엘리트 행동에 대한 국가 차원의 통제 정도 등 두 가지를 나타내는 지표라고 생각합니다.

2019년에는 보안 브라우징 기술 사용률이 전체 인터넷 트래픽의 9.5%로 소폭 반등했습니다. 그 중에서도 HTTPS는 북한 지도자들이 가장 널리 사용하는 프로토콜이었습니다. 이는 전 세계 상위 100만 웹사이트 중 절반 가까이가 HTTPS를 기본으로 사용한다는 사실에 기인한 것으로 보입니다.

2019년에 북한의 운영 보안 행동에서 관찰된 또 다른 변화는 DNS 터널링의 도입입니다. DNS(도메인 네임 시스템 )는 컴퓨터가 도메인 이름(pyongyangtimes[.]com[.]kp)을 확인할 수 있도록 하기 위해 만들어졌습니다, )를 IP 주소(175.45.176.67)로 연결합니다. DNS의 원래 의도는 도메인과 IP 주소의 조회 및 연결을 용이하게 하는 것이지, 그 프로세스를 보호하는 것이 아니었습니다. 결과적으로 DNS는 네트워크 운영에 매우 중요하기 때문에 DNS 포트(일반적으로 포트 53)가 열려 있고 트래픽은 상대적으로 면밀히 조사되지 않습니다. DNS 터널링은 DNS 프로세스가 도메인 확인이 아닌 네트워크 또는 디바이스 간의 데이터 전송 또는 터널링에 사용되는 경우입니다.

북한의 경우 2019년 중반에 사용자들이 DNS 터널링을 도입하는 것을 관찰했습니다. 다시 말하지만, DNS는 일반적으로 면밀한 조사가 이루어지기 때문에 방화벽 및 서비스 제한을 우회하는 데 이상적인 프로토콜이며 DNS 터널링 툴킷은 널리 사용 가능합니다. DNS 터널링은 새로운 기술은 아니지만, 북한 사용자들이 최근에야 사용한 것으로 보입니다. 북한 DNS 터널링 활동의 경우, 대부분의 목적지 IP가 VPN 엔드포인트와 MicroTik 디바이스로 확인되어 이 솔루션이 대체 VPN으로 사용되었을 가능성이 높다는 것을 알 수 있습니다.

DNS 터널링은 대부분의 일반 인터넷 사용자에게 익숙한 기술이 아니기 때문에, 이 특정 기술을 사용하면 일부 북한 엘리트 인터넷 사용자가 얼마나 기술에 능숙한지 알 수 있습니다. 경영진이 DNS 터널링을 도입하는 데에는 두 가지 이유가 있을 수 있습니다:

  1. 침입 활동을 난독화합니다. DNS 터널링은 피해 네트워크에서 데이터를 유출하거나 감염된 엔드포인트와 명령 및 제어(C2) 서버 간의 통신 채널을 만드는 데 사용될 수 있습니다. 대부분의 조직은 네트워크 연결을 원활하게 하기 위해 허용적인 DNS 보안 정책을 사용하기 때문에 DNS를 통한 악의적인 통신은 차단되거나 식별될 가능성이 적습니다.
  2. 정부가 부과한 보안 통제 또는 콘텐츠 제한을 우회하기 위해. 북한 인터넷 사용자는 대부분 고위 지도층에 속하지만, 일부 사용자는 김 정권이 허용하는 콘텐츠 외의 콘텐츠에 액세스하고자 할 수 있습니다. 예를 들어, 2016년부터 북한 정권은 국내 사용자의 페이스북, 유튜브, 트위터 접속을 차단하기 시작한 것으로 알려져 있습니다. 하지만 네트워크 트래픽 분석을 통해 북한 사용자들이 해당 플랫폼에서 검색하는 것을 지속적으로 관찰했습니다. DNS 터널링은 인터넷에 정통한 사용자가 거의 제한되지 않는 프로토콜을 사용하여 이러한 콘텐츠 제한이나 기타 보안 제어를 우회할 수 있는 방법일 수 있습니다.

북한 인프라를 표적으로 하는 DDoS 공격

북한 웹사이트가 서비스 거부(DoS) 또는 분산 서비스 거부(DDoS) 공격의 표적이 되는 것은 드문 일이 아닙니다. 예를 들어, 5월 28일에 평양 타임즈, 내나라 및 여러 북한 보험 회사의 웹사이트를 호스팅하는 175.45.176.67은 초당 최소 550메가비트의 속도로 관측된 DNS 트래픽 수준이 최고조에 달하면서 1시간 동안 지속된 디도스 공격의 표적이 되었습니다. DNS 플러딩은 북한 인프라를 공격하는 데 가장 많이 사용되는 디도스 유형입니다.

2019년 4월 말부터 전 세계 최소 161개국의 디바이스에서 발생하고 단일 북한 IP 주소를 대상으로 하는 조직화된 무연결 LDAP(CLDAP) 활동이 급증하는 독특한 유형의 DDoS 공격이 관찰되었습니다. 이 활동은 북한 현지 시간으로 정오 무렵에 시작되어 25분 동안만 지속되었으며, CLDAP 트래픽 수준은 북한 본토에서 호스팅되는 IP 주소 공간에서 관측된 일일 표준보다 몇 배나 높은 초당 1.5기가비트 이상의 속도로 최고조에 달했습니다.

CLDAP는 일반적으로 회사 네트워크에서 액티브 디렉터리에서 사용자 이름 및 비밀번호에 액세스하는 등의 디렉터리 서비스를 위해 사용됩니다. 하지만 2016년과 2017년에 보안 회사들은 CLDAP와 LDAP가 디도스 공격에 악용되는 것을 목격하기 시작했습니다. CLDAP를 통해 DDoS를 실행하는 기법은 공격자가 연결되지 않은 LDAP 서비스가 실행 중인 오픈 리플렉터 서버에 대한 CLDAP 요청에서 소스 IP 주소를 의도한 피해자의 IP로 바꾸기만 하면 됩니다. 그런 다음 스푸핑된 주소는 CLDAP 리플렉터 서버를 속여 요청자가 아닌 의도된 피해자에게 CLDAP 응답을 보내도록 합니다.

또한 평균 CLDAP 요청 패킷 크기는 약 80바이트, 평균 응답 패킷 크기는 약 1472바이트인 것으로 나타났습니다. 이는 공격자들이 40분 동안 디도스 공격으로 약 18배의 증폭 계수를 달성했음을 의미합니다. 2017년 인터뷰에서 Akamai 보안 담당자는 자신이 관찰한 가장 큰 규모의 CLDAP 공격은 초당 3기가비트 속도를 달성했으며, 이 정도 규모의 공격은 "소규모 사이트를 오프라인 상태로 만들고 다른 사이트에 잠재적으로 지연 문제를 일으킬 수 있을 정도"라고 평가했습니다.

우리가 관찰한 공격 속도는 초당 1.5기가비트로, 최소한 북한의 공공 인터넷 인프라에 장애를 일으키기에 충분한 수준이라고 평가합니다.

북한-북한-인터넷-도구-5-1.png

2019년 4월 말, 북한의 글로벌 인터넷 기반 시설에 사용된 반사적 디도스 증폭 공격 방법론의 최상위 다이어그램. 또한 2019년 5월 7일 오전에 40분 남짓 지속된 공격과 다음 날인 5월 8일 저녁에 약 1시간 동안 지속된 두 건의 반사적 CLDAP 디도스 증폭 공격도 추가로 확인했습니다. 이 두 가지 공격 모두 사용된 고유 CLDAP 리플렉터 서버의 수는 훨씬 작았지만, 데이터 크기의 상대적 CLDAP 증폭 계수는 18배로 일관되게 유지되었습니다. 흥미로운 점은 5월 8일 공격에 사용된 거의 모든 리플렉터 서버가 하루 전 북한 IP를 대상으로 한 공격에도 사용되었다는 점입니다. 또한, 사용된 리졸버의 총 개수에는 큰 차이가 없지만, 5월 7일 공격에 사용된 리졸버의 62%가 이전 4월 23일 공격에도 사용된 것으로 밝혀졌습니다.

공격 날짜(줄루어) 최대 활동 기간 DDoS 증폭 계수 관측된 총 CLDAP 리플렉터 사용 개수
공격 1 23/04/2019 40분 18.88 10529
공격 2 06/05/2019 41분 18.35 1338
공격 3 07/05/2019 61분 18.34 598
4월 또는 5월 공격을 누가 실행했는지에 대한 정보는 없습니다. 다시 말하지만, 북한에 대한 디도스 공격은 드문 일이 아니며, 프로토콜과 공격 속도의 독특성 때문에 이 공격을 조사하기로 결정했습니다.

북한 보험 산업

우리는 북한이 2019년부터 보험 산업을 디지털화하고 국제화하기 시작했으며, 이는 아마도 외국인 투자를 늘리거나 김 정권을 위한 부정한 수익을 창출하기 위한 방법일 수 있다고 평가합니다.

NK 뉴스에 따르면 북한에는 5개의 보험회사가 있습니다:

  1. 1947년 설립된 대한손해보험(KNIC), 일반 보험
  2. 레인보우 중개, 2015 년 5 월 설립, 화재, 모터, 계약자, 기계 고장, 생명, 여행, 개인 사고, 관광객, 재보험
  3. 삼해상사, 2016년 10월 설립, 해상선체, 화물, 배상책임, 항공 전문 보험사
  4. 2016년 8월에 설립된 폴스타 보험 회사는 화재, 엔지니어링, 신용 및 농업 분야의 보험 및 재보험 서비스를 제공합니다.
  5. 2017년 10월에 설립된 퓨처 리 컴퍼니, 시설 및 조약 재보험사

2017년 8월, 유엔은 북한 정찰총국(RGB)의 39호실과 연계되어 있고 북한 미사일 프로그램 자금 조달과 관련된 보험금 청구 사기에 연루되어 있다는 이유로 KNIC를 제재 대상 기관으로 지정했습니다. 몇 년 전에 설립되었지만, 데이터에 따르면 마지막 4개 보험사는 2018년 말과 2019년 초까지 글로벌 인터넷에 존재하지 않았던 것으로 나타났습니다.

작년에 삼해, 폴스타, 퓨처 리는 모두 글로벌 인터넷 웹사이트와 메일 서버를 인수했습니다. 2019년 11월 현재 세 회사의 웹사이트는 모두 175.45.176.67에서 호스팅되고 있습니다. 퓨처 리는 2018년 12월 말 175.45.176.20에 메일 서버를 구축했는데, 이 메일 서버는 2001년 북한 최초의 인터넷 서비스 제공업체(ISP)가 된 중국 선양에 본사를 둔 인터넷 기업 실리뱅크의 메일 서버를 호스팅하는 서버이기도 합니다. 실리뱅크는 여전히 북한 고객을 위한 이메일 서비스를 제공하고 있으며, 레인보우 중개업체는 웹페이지에 실리뱅크 도메인을 이메일 연락처로 표시하고 있습니다.

북한-북한-인터넷-도구-6-1.jpg

2019년 7월 NK News가 촬영한 레인보우 중개 웹사이트 스크린샷. 4개 보험사 모두 글로벌 인터넷 인프라를 구축한 것은 작년에 불과합니다. 또한 데이터에 따르면 2019년 2월 이후 인도, 러시아, 이란 사용자의 퓨처 리 메일 서버와 삼해, 폴스타, 퓨처 리 웹사이트에 대한 트래픽이 증가하고 있는 것으로 나타났습니다. 4개 보험사의 디지털 발자국을 보면 독립적인 기업이라기보다는 동일한 인터넷 인프라에서 운영 및 관리되고 있으며, 국가 주도의 단일 노력일 가능성이 높습니다.

2018년 12월, 폴스타의 김경훈 사장은 북한 전역에 11개의 지점과 70개의 현지 사무소를 설립했으며, "국제적으로 유명한 보험사들과 네트워크를 구축"하여 "국제 시장으로 서비스를 더욱 확대할 계획"이라고 밝혔습니다. 마찬가지로 삼해보험 사장은 한국 언론과의 인터뷰에서 자사가 북한의 모든 "주요 항구 도시, 어업 기지, 교통 기지"에 지점과 대리점을 보유하고 있으며 2018년 11월부터 어선 재보험을 시작했다고 밝혔습니다.

그러나 북한 보험회사가 흥미로운 주제인 이유는 역사적으로 김 정권의 자금 창출에 기여한 역할과 외국인 투자를 장려하는 데 필요한 역할을 해왔기 때문입니다. 2017년 한 북한 외교관 탈북자는 김 정권이 보험 사기를 통해 연간 수천만 달러를 벌어들이기 위해 KNIC를 어떻게 이용했는지 설명했습니다:

"북한에는 국영 보험사가 하나밖에 없기 때문에 사고를 조작해도 이를 검증할 방법이 없습니다. 국가 기반 시설에 대한 국제 보험이나 재보험에 가입한 후 (사고 혐의에 대한) 문서를 위조해 국가가 연간 수천만 달러를 벌어들이고 있습니다."

30년 동안 주요 국영 보험사인 KNIC는 국제 재보험사와 맺은 재보험 계약을 악용하여 잠재적으로 허위 청구가 가능한 보험금을 청구하고 김 정권을 위해 수천만 달러를 벌어들였습니다. 더 타임즈에 따르면 2014년 KNIC의 글로벌 자산은 7억 8,700만 파운드(약 13억 달러)에 달했습니다.

북한의 보험 사기에 대한 검증 가능한 사례를 찾기는 어렵지만, 지난 10년 동안 보험 사기의 가능성을 보여주는 몇 가지 사례가 있습니다. 2011년에는 말레이시아-북한 합작 건설 회사가 우간다 수도 교외에 213채의 콘도를 짓는 계약을 1,800만 달러에 수주했습니다. 그 후 1년 동안 건설 회사는 일련의 고가 보험에 가입했고, 공사가 시작되기도 전에 20%를 선불로 지급받았습니다. 수년간의 협상과 법정 소송, 사기 가능성이 제기된 끝에 2018년, 북한 소유의 건설 회사와 우간다 주택 당국은 콘도를 완공하지 못한 채 수백만 달러의 보험금을 청구한 채 프로젝트에서 손을 뗐습니다.

가장 악명 높은 사례 중 하나는 2005년 평양에서 발생한 헬기 추락 사고로 긴급 구호 물품이 보관된 창고가 파괴된 사건으로, KNIC가 손해배상 청구 소송을 제기한 것입니다. KNIC는 국제 보험사 컨소시엄과 약 6천만 달러에 달하는 보험에 가입했습니다. 보험사는 과장된 재산 피해와 의심스러운 서류를 이유로 몇 년 동안 보험금 지급을 거부했지만, 결국 KNIC와 약 5,700만 달러에 합의했습니다. 당시 북한은 서방 보험사들을 상대로 약 1억 5천만 달러에 달하는 보험금 청구 소송을 진행 중인 것으로 알려졌습니다.

일부 중국 투자자들은 이러한 추가 보험사 설립이 북한 투자에 대한 신뢰를 높이는 효과도 있을 것으로 보고 있습니다. 특히 "새로운 보험 중개업자는 북한 경제 내에서 상업 서비스의 복잡성과 경쟁이 증가하고 있다는 징후를 보여줍니다."

북한 정권이 2019년 한 해 동안 나머지 4개 국영 보험사의 접근성을 높이는 데 집중한 것은 2017년 KNIC 제재 이후 보험 사기를 수익 창출 수단으로 활성화하고 잠재적인 대북 투자자들을 안심시키기 위한 시도로 보입니다.

전망

지난 2년 반 동안 북한에 대한 연구를 통해 북한 최고위층의 디지털 생활을 들여다볼 수 있는 독보적인 창구를 마련했습니다. 우리는 '최대 압박' 캠페인 기간, 미사일 발사 및 시험 활동이 가장 많았던 시기, 사상 최초의 미국과 북한 지도자 간 연쇄 정상회담 등 미-북 관계의 독특한 시기에 있었던 지도부의 활동을 추적하고 분석했습니다.

이 연구 시리즈의 핵심은 북한의 고위 지도층이 얼마나 적응력이 뛰어나고 혁신적인지를 보여주는 것입니다. 새로운 서비스나 기술이 유용할 때는 빠르게 수용하고, 그렇지 않을 때는 과감히 버립니다. 김 정권은 인터넷을 이용하고 악용하는 독특한 모델을 개발했는데, 이는 마치 범죄 조직처럼 운영되는 국가입니다.

북한은 또한 다국적 기구와 서방의 제재를 회피하기 위해 새롭고 창의적이며 혁신적인 인터넷 기반 모델을 개발했습니다. 이 모델에는 은행 강도나 사기 같은 노골적인 범죄와 암호화폐 채굴, 프리랜서 IT 작업 같은 비범죄 활동을 통한 수익 창출이 모두 포함됩니다.

이 모델은 또한 북한의 핵 및 탄도 미사일 프로그램 개발과 사이버 작전을 가능하게 하는 등 금지된 지식과 기술을 획득할 수 있는 수단을 제공합니다. 가장 기본적으로 북한은 인터넷을 제재 우회 메커니즘으로 활용하는 모델을 개발했는데, 이는 독특하지만 예외적이지는 않습니다. 이 모델은 독특하지만 반복 가능하며, 가장 우려되는 점은 다른 재정적으로 고립된 국가들이 제재 회피를 위해 인터넷을 사용하는 방법에 대한 모범이 될 수 있다는 점입니다.

우리는 다른 고립된 국가들이 수익을 창출하고 자국의 제재를 회피하기 위해 북한이 활용하는 것과 동일한 범죄 및 비범죄 기법을 사용하기 시작할 것이라고 믿습니다.

예를 들어, 2019년 한 해 동안 이란이 국제 결제를 촉진하고 미국의 금융 통제를 우회하는 수단으로 암호화폐를 추구하기 시작했다고 평가합니다. 1월의 뉴욕타임스 기사에 따르면 유럽과 아시아 기업 관계자들이 이란 기업에 암호화폐로 결제하는 것에 대해 "점점 더 협조적"이고 지지하고 있으며, 7월에는 이란 정부가 금으로 지원되는 국내 암호화폐를 발표했고, 8월에는 이란이 암호화폐 채굴을 산업으로 합법화했습니다.

네트워크 방어 권장 사항

레코디드 퓨처는 조직이 네트워크에서 북한의 잠재적 활동을 식별할 때 다음과 같은 조치를 취할 것을 권장합니다:

  • 침입 탐지 시스템(IDS)과 침입 방지 시스템(IPS)에 경고를 보내도록 구성하고, 검토 후 다음과 같은 주요 북한 IP 범위의 연결 시도를 차단하는 것을 고려하세요:

  • 175.45.176.0/22

  • 210.52.109.0/24

  • 77.94.35.0/24

  • 보다 구체적으로, 북한의 암호화폐 채굴 활동을 탐지하고 방지하려면 침입 탐지 시스템(IDS) 및 침입 방지 시스템(IPS)을 구성하여 다음과 같은 주요 북한 IP 범위에서 TCP 포트를 통해 네트워크에 연결하는 불법 연결 시도를 경고하고 검토 후 차단하는 것을 고려하세요:

  • 비트코인용 8332 및 8333

  • 모네로용 18080 및 18081

  • 라이트코인의 경우 9332 및 9333

참고: 앞서 언급한 포트는 해당 암호화폐에 대해 구성된 기본 포트입니다. 암호화폐 채굴 소프트웨어가 기본 포트를 재정의하도록 수정되었을 가능성이 높습니다. 또한 기업 구성에 따라 다른 서비스도 나열된 포트에서 작동하도록 구성될 수 있으므로 나열된 포트의 네트워크 트래픽에 대한 IDS 및/또는 IPS 알림이 오탐을 생성할 수 있습니다.

  • 네트워크 트래픽 로그 또는 패킷 캡처를 검사하여 DNS 터널링을 탐지할 수 있습니다. 이번 북한 사용자 사례에서 확인된 고처리량 DNS 터널링은 일반적으로 "(1) 볼륨, (2) 메시지 길이, (3) 메시지 간 평균 시간 단축"과 관련하여 DNS 트래픽에 상당한 변화를 일으키기 때문에 탐지할 수 있습니다.

  • 일반적인 DNS 보안용:

  • DNS 인텔리전스 피드와 함께 DNS 방화벽 또는 DNS RPZ(응답 정책 영역)와 같은 필터를 사용하세요.

  • 모든 DNS 요청 및 연결을 기록하고 향후 조사를 위해 로그를 보관하세요. 가능하면 DNSSEC를 사용하세요.

  • 잠재적인 CLDAP DDoS 공격을 방어합니다:

  • CLDAP 서비스를 글로벌 인터넷에 노출하지 마세요. 이렇게 하면 이러한 컴퓨터가 자신도 모르게 CLDAP DDoS 공격에 참여하지 않도록 할 수 있습니다. DDoS 방어 서비스를 사용하세요.

  • 조직의 VPN 서비스 및 프로토콜을 파악하고 비표준 VPN 트래픽을 차단하거나 면밀히 조사하세요.

  • 네트워크 내에서 암호화폐 채굴 소프트웨어가 다운로드되어 운영될 가능성에 대응하기 위해 기업 전체에 소프트웨어 화이트리스트 프로그램을 구현하는 것을 고려하세요.

  • 많은 암호화폐 채굴자들이 인터넷 릴레이 채팅(IRC)을 사용하여 조율합니다. IRC가 기업에 필요한 애플리케이션이 아니라면, IDS 및 IPS를 통해 기본 IRC TCP 포트 6667을 차단하여 IRC를 사용한 암호화폐 채굴 활동을 완화하는 것이 좋습니다.

  • 북한 공격자들은 특히 금융 기관과 한국을 대상으로 한 공격에서 플래시와 실버라이트 익스플로잇을 주로 활용했습니다. 레코딩된 미래는 이러한 프로그램을 자주 패치하거나 일반적으로 사용을 완화할 것을 권장합니다.

또한 다음과 같은 일반적인 정보 보안 모범 사례 가이드라인을 따를 것을 권장합니다:

  • 모든 소프트웨어와 애플리케이션, 특히 운영 체제, 바이러스 백신 소프트웨어, 핵심 시스템 유틸리티를 최신 상태로 유지하세요.
  • 이메일 서신을 필터링하고 첨부 파일에 멀웨어가 있는지 면밀히 조사하세요.
  • 시스템을 정기적으로 백업하고 네트워크를 통해 데이터에 액세스할 수 없도록 가급적 오프라인, 즉 외부에 백업을 저장하세요.
  • 면밀한 사고 대응 및 커뮤니케이션 계획을 세우세요.
  • 회사에 민감한 데이터의 엄격한 구분을 준수하세요. 특히 직원 계정이나 디바이스에 액세스할 수 있는 사람이 피싱을 통해 디바이스나 계정을 탈취하는 등의 방법으로 어떤 데이터에 액세스할 수 있는지 살펴보세요.
  • 역할 기반 액세스, 회사 전체의 데이터 액세스 제한, 민감한 데이터에 대한 액세스 제한을 강력히 고려하세요.
  • 호스트 기반 제어 사용: 공격을 차단하는 가장 좋은 방어 및 경고 신호 중 하나는 클라이언트 기반 호스트 로깅 및 침입 탐지 기능을 수행하는 것입니다.
  • 네트워크 IDS, 넷플로우 수집, 호스트 로깅, 웹 프록시와 같은 기본적인 사고 대응 및 탐지 배포와 제어를 구현하고 탐지 소스에 대한 인적 모니터링도 함께 수행하세요.
  • 파트너 또는 공급망 보안 표준을 숙지하세요. 에코시스템 파트너를 위한 보안 표준을 모니터링하고 시행하는 것은 모든 조직의 보안 태세에서 중요한 부분입니다.

관련