변화하는 인터넷 사용 패턴을 통해 북한 지배 엘리트의 적응력과 혁신성을 엿볼 수 있습니다.

Click Here 를 클릭하여 전체 분석 내용을 PDF로 다운로드하세요.

_Scope Note: Insikt Group examined North Korean senior leadership’s internet activity by analyzing third-party data, IP geolocation, Border Gateway Protocol (BGP) routing tables, and open source intelligence (OSINT) using a number of tools. The data analyzed for this report spans from March 16, 2018 through August 30, 2018.

이 보고서는 기술, 금융, 국방, 암호화폐, 물류 분야의 정부 부처와 조직, 그리고 북한의 제재 우회, 불법 자금 조달, 국가가 후원하는 사이버 스파이 활동을 조사하는 기관에서 가장 큰 관심을 가질 것입니다.

Executive Summary

Over the course of the past year and a half, Recorded Future has published a series of research pieces revealing unique insight into the behavior of North Korea’s most senior leadership. We discovered that North Korea’s ruling elite are technologically savvy, use a full range of older and cutting-edge computers, phones, and devices, use the internet as a tool for sanctions circumvention, and recently shifted to embrace Chinese social networking services over Western ones.

In this final piece in our series, we explore the persistence of trends in internet security, social media use, and cryptocurrency, and reveal greater insight into the way North Korea uses the internet to generate revenue for the Kim regime. In particular, shifting patterns in the ruling elite’s internet usage reveal just how adaptable and innovative North Korea’s most senior leadership are. The Kim regime has developed a model for using and exploiting the internet that is unique, and leadership are quick to embrace new services or technologies when useful and cast them aside when not.

배경

As our research since April 2017 has shown, there are a select few among North Korea’s most senior leadership who are allowed direct access to the global internet. While there are no reliable numbers of North Korean internet users, reporters estimate anywhere from “only a very small number,” to “the inner circle of North Korean leadership,” to “just a few dozen families.” Regardless of the exact number, the profile of a North Korean internet user is clear: they are a trusted member or family member of the ruling class.

There are three primary ways North Korean elites access the global internet. The first method is via their allocated .kp range, 175.45.176.0/22, which also hosts the nation’s only internet-accessible websites. These include nine top-level domains such as co.kp, gov.kp, and edu.kp, and approximately 25 subdomains for various North Korean state-run media, travel, and education-related sites.

The second method is via a range assigned by China Netcom, 210.52.109.0/24. The netname “KPTC” is the abbreviation for Korea Posts and Telecommunications Co., the state-run telecommunications company. The third method is through an assigned range, 77.94.35.0/24, provided by a Russian satellite company, which currently resolves to SatGate in Lebanon.

Timeline of events involving North Korea’s IP ranges from March through August 2018.

Additionally, as we identified back in April, the 175.45.176.0/22 range is routed by both China Unicom (AS4837) and Russia’s TransTelekom (AS20485). Of the four subnets of this range (175.45.176.0/24, 175.45.177.0/24, 175.45.178.0/24, and 175.45.179.0/24), we continued to observe only the 175.45.178.0/24 being routed through TransTelekom; the other three were exclusively routed by China Unicom.

Note: From this point on, when we refer to “North Korean internet activity” or “behavior,” we are referring to the use of the global internet, for which only select few leaders and ruling elite are permitted access, not the North Korean domestic intranet (Kwangmyong). This data does not give us any insight into intranet activity or behavior by the larger group of privileged North Koreans who are permitted access to Kwangmyong, or diplomatic and foreign establishments that are located in North Korea.

Internet Usage Consistent — Pattern Shifts Since April 2017

North Korean leaders’ distinct patterns of daily internet usage have remained consistent since April 2017. Generally, the times of highest activity are from approximately 8:00 AM through 8:00 PM or 9:00 PM.

2018년 3월부터 8월까지의 시간별 일일 인터넷 사용량(평균이 아님).

하지만 시간이 지남에 따라 활동량이 가장 많은 시기가 바뀌고 있습니다. 2017년에는 토요일과 일요일이 꾸준히 가장 많은 활동을 보인 요일이었습니다. 특히 토요일 밤과 일요일 이른 아침에는 주로 온라인 게임이나 콘텐츠 스트리밍으로 인해 트래픽이 가장 많이 발생했습니다. 2018년 한 해 동안 패턴이 변화하여 전통적인 근무일(월요일부터 금요일까지)의 인터넷 사용량은 증가한 반면 주말 사용량은 감소했습니다. 토요일과 일요일에는 여전히 콘텐츠 스트리밍과 게임이 주를 이루지만, 전체 주간 인터넷 사용량에서 차지하는 비중은 작년에 비해 감소했습니다.

2018년 3월부터 8월까지 시간 및 일별 일일 인터넷 사용량(평균이 아님).

2018년 3월 이전부터의 시간별 일일 인터넷 사용량(평균이 아님).

While the drivers of this shift are unknown, this adjustment over time indicates that internet use has become a greater part of North Korean leaders’ workday. In August 2018, North Korea completed external construction of its new Internet Communication Bureau headquarters, located in Pyongyang. According to North Korea Tech, the purpose of the new headquarters is not clear, but it may be focused on access to the global internet.

It appears the new building plays a part in facilitating Pyongyang’s connection to the greater global internet, but its exact role hasn’t been reported. It could perhaps be meant to hold servers that provide the handful of sites that Pyongyang has on the web, or as a gateway center to monitor and help control all traffic flowing between North Korea and the rest of the world.

It is possible that this shift in usage patterns combined with the completion of the Internet Communication Bureau headquarters could signify a professionalization of internet use across North Korea’s most senior leadership. This would mean that these leaders utilize the internet to a greater extent as part of their jobs, as opposed to for their own entertainment.

운영 보안 행동 완화

지난 4월 분석에서 북한 인터넷 사용자들 사이에서 두 가지 극적인 행동 트렌드를 발견했습니다. 첫 번째는 가상 사설망(VPN), 가상 사설 서버(VPS), 전송 계층 보안(TLS), 토르(Tor) 등 운영 보안 기술의 사용이 눈에 띄게 증가했다는 점입니다. 4월에는 북한 지도자들의 이러한 서비스 사용이 1,200% 증가하여 주로 보호되지 않은 인터넷 활동을 하던 이전 행태에서 크게 벗어난 것을 확인했습니다.

그 이후로 운영 보안 조치의 급증은 완만해졌습니다. 2018년 초, 난독화된 브라우징은 북한 지도부의 전체 인터넷 활동 중 13%를 차지했습니다. 2018년 9월에는 그 비율이 5%를 조금 넘는 수준으로 감소했습니다. 이전에는 VPN 기술 사용이 난독화된 인터넷 활동의 63%를 차지했습니다. 이후 6개월 동안 북한 지도부의 VPN 사용은 난독화된 활동의 50% 수준으로 감소했습니다. HTTPS(포트 443을 통한) 또는 보안 브라우징의 사용은 운영상 보안 브라우징의 49%로 증가했습니다. 하지만 전체적으로는 VPN 사용 감소가 난독화 브라우징 감소의 대부분을 차지했습니다.

북한 지도자들의 VPN 사용 감소에 대한 이유는 데이터에서 즉시 명확하게 드러나지 않습니다. 일부 VPN 프로토콜은 연산 집약적이거나 불안정할 수 있으며, 대부분 구독 및 정기 결제가 필요하고, 기기 제한이 있거나 여전히 암호화폐를 지원하지 않는 서비스도 많습니다. 반면, 대부분의 VPN 서비스 제공 업체는 애플리케이션과 쉬운 구성 지침을 제공하며, VPN 가격이 많이 하락하여 사용자는 한 달에 최소 3달러로 평판이 좋고 신뢰할 수 있는 VPN을 이용할 수 있습니다.

What is most likely is that North Korean internet users initially adopted stronger internet privacy methodologies because of an external stimulus or requirement. In April of this year, we assessed that this behavioral change was likely a result of increasing international attention on North Korea’s internet and media activities, new enforcement of an official ban, or a new operational security requirement.

북한 사용자에 대한 요구 사항 또는 정책의 부과가 인터넷 보안의 급격한 증가에 이어 이번 조치가 내려진 가장 큰 원인으로 보입니다. 이 요구 사항으로 인해 북한 지도부 사용자들의 보안 조치가 급증했지만, 시간, 비용, 접근성 등의 비용이 이점을 능가하기 시작하면서 시간이 지남에 따라 서서히 줄어들었습니다.

2018년 초부터 중국 소셜 미디어 사용 지속

2018년 초, 우리는 북한 주민들이 서구의 소셜 미디어와 서비스에서 거의 완전히 벗어나 중국 소셜 미디어와 서비스로 이동하는 것을 목격했습니다. 이러한 변화는 2017년 말부터 2018년 초까지 6개월에 걸쳐 이루어졌습니다. 북한 지도부 사용자들은 페이스북, 인스타그램, 구글과 같은 서비스에서 갑자기 바이두, 알리바바, 텐센트와 같은 중국 기업이 운영하는 서비스로 전환했습니다.

2018년 3월 1일 이후 서구 소셜 미디어 및 서비스에서 이탈하는 현상이 지속되고 있습니다. 북한 지도자들은 서방이나 중국 등 다른 어떤 서비스보다 알리바바를 두 배 이상 많이 사용합니다. Alibaba에서의 활동에는 비디오 및 게임 스트리밍, 검색, 쇼핑이 포함됩니다.

2018년 3월 1일부터 2018년 8월 28일까지 8개 소셜 네트워킹, 쇼핑, 검색 사이트의 시간별 활동량(실제). 제공업체는 인기도별로 Alibaba(최고)부터 Instagram(최저)까지 나열됩니다.

대부분의 미국 서비스에서 북한 지도부의 사용량이 지속적으로 감소한 반면, 2018년 4월 이후 LinkedIn의 사용량은 증가한 것으로 나타났습니다. LinkedIn의 활동량은 2017년 7월에 페이스북이나 인스타그램에서 관찰된 수준보다 낮았습니다. 그러나 LinkedIn의 사용은 2018년 8월 이 데이터 세트가 종료될 때까지 정기적으로 지속되었습니다. 이 트래픽 수준은 2017년의 Facebook 사용자보다 현재 LinkedIn 사용자가 훨씬 적다는 것을 나타내지만, 서구의 소셜 네트워킹 서비스에서 지속적으로 이탈하는 움직임에 대한 흥미로운 반증을 보여줍니다.

암호화폐 악용 증가

In our prior research, we discovered that North Korean leaders were mining both Bitcoin and Monero, albeit at a limited or relatively small scale. For this time period — March 2018 through August 2018 — the traffic volume and rate of communication with peers was the same for both coins as last year, and we were still unable to determine hash rates or builds. We believe these particular mining efforts are likely still small scale and limited to just a few machines.

What has changed dramatically over this March 2018 through August 2018 time frame, however, is the exploitation of cryptocurrencies, asset-backed “altcoins,” and the cryptocurrency ecosystem by North Korea.

In June 2018, we began to notice a number of connections and a large amount of data transfer with several nodes that were associated with the altcoin called Interstellar, Stellar, or HOLD coin. HOLD coin is known as an “altcoin,” which refers to any cryptocurrency other than Bitcoin including some of the more established and widely utilized coins like Monero, Ethereum, and Litecoin. There are over 1,000 altcoins, and most are variations on the Bitcoin framework.

2018년 초, 홀드 코인은 스테이킹이라는 이자 및 초기 수익을 창출하는 과정을 거쳤습니다. 스테이킹은 사용자가 초기 코인을 채굴하지만 일정 기간 동안 거래가 허용되지 않는 것을 말합니다. 그런 다음 코인은 가치와 사용자 기반을 구축할 수 있으며, 코인 개발자는 특정 시점에 거래할 수 있는 지갑을 규제하여 코인의 가치를 제어할 수 있습니다. 신규 또는 잘 알려지지 않은 알트코인의 스테이킹에 참여하는 것은 개발자가 스테이킹 기간을 통제하고 코인 가치가 하락하면 많은 사용자가 투자금을 잃고 스테이킹한 코인을 거래할 수 없을 정도로 거래를 제한할 수 있기 때문에 위험할 수 있습니다.

2018년 한 해 동안 HOLD 코인은 여러 거래소에 상장 및 상장 폐지되었고, 2018년 8월에 스왑 및 리브랜딩을 거쳤으며(새 이름은 HUZU), 이 게시물을 작성하는 현재 HOLD 투자자들은 모두 떠났습니다. 북한 사용자가 인터스텔라, 스텔라 또는 홀드 알트코인에 관여했을 가능성은 낮은 것으로 평가합니다.

편집자 주: We have edited the above paragraph to clarify that the swap and rebrand from HOLD to HUZU appeared at the end of the report period.

저희가 높은 신뢰도를 가지고 평가하는 다른 블록체인 사기가 북한을 대신하여 수행된 것으로 보이는 사례를 최소 한 건 이상 발견했습니다. 마린 체인 플랫폼이라는 블록체인 애플리케이션이었습니다.

저희는 2018년 8월 몇몇 비트코인 포럼에서 암호화폐로서의 마린 체인에 대한 논의를 접하게 되었습니다. 마린 체인은 여러 사용자와 소유주를 위해 해양 선박의 토큰화를 가능하게 하는 자산 기반 암호화폐로 추정됩니다. 다른 포럼의 사용자들은 www[.]marine-chain[.]io를 지적했습니다. 는 다른 사이트인 www[.]shipowner[.]io의 거의 미러 이미지였습니다.

2018년 4월 마린체인[.]io와 선박 소유자[.]io의 스크린샷 포럼 참가자가 제공합니다.

marine-chain[.]io의 도메인 등록 내역.

Marine-chain[.]io는 등록 이후 4개의 다른 IP 주소에서 호스팅되었습니다. 2018년 4월 9일부터 2018년 5월 28일까지 마린체인[.]io는 104[.]25[.]81[.]109에 등록되었습니다. 이 기간 동안 이 IP 주소는 지금은 없어진 암호화폐 뉴스 사이트인 allcryptotalk[.]net을 호스팅하기도 했습니다, 2015년 6월 이후 새로운 콘텐츠를 게시하지 않는 사기성 바이너리 옵션 거래 업체인 Binary Tilt의 웹사이트를 차단했습니다. 이 회사는 캐나다 온타리오 주 정부에 의해 사기 업체로 선언되었으며, 수십 명의 사용자가 이 사이트에 수만에서 수십만 달러의 손실과 사기를 당했다는 후기를 올렸습니다.

The Marine Chain website no longer resolves but was operated by a company called Marine Chain Platform. Aside from a LinkedIn page, the company had minimal online presence, no customer testimonials, and few staff. The Marine Chain LinkedIn page was synonymous with someone named Tony Walker, who claimed to be a “maritime industry blockchain specialist” and advisor to the CEO of Marine Chain Platform since May 2017.

2018년 10월 1일, 링크드인에서 마린체인플랫폼을 검색하면 최효명이라는 또 다른 고문이 나옵니다. 최 씨는 자신을 한국의 암호화폐 투자자, ICO 자문위원, 엔젤 투자자로 소개했습니다. 또한 그는 InnoShore, LLC라는 다른 회사의 최고 운영 책임자(COO)로 겸직하고 있다고 자신을 소개했습니다.

2018년 10월 1일자 최효명 님의 LinkedIn 프로필입니다.

2018년 10월 15일자 최효명 님의 LinkedIn 프로필입니다. 이 스크린샷에서 최 씨는 마린 체인 플랫폼과 이노쇼어, LLC의 경험을 모두 삭제했습니다.

워커 씨와 최 씨는 모두 싱가포르 국립대학교를 다녔다고 주장하며 동일한 지지자를 다수 보유하고 있습니다. 최 씨는 (가짜로 추정되는) 페이스북 페이지에서 알 수 있듯이 아드리안 옹이라는 이름으로도 알려져 있습니다. 이 계정은 2018년 3월에 생성되었으며, 프로필 사진은 한국 학생들의 미국 및 영국 대학 진학을 돕는 한국 기업의 직원으로부터 도용되었습니다.

최효명 또는 아드리안 옹의 페이스북 페이지(피해자의 프라이버시 보호를 위해 얼굴은 검게 처리됨).

최 씨(옹 씨)에게는 동남아시아에 거주하는 대규모 소셜 네트워크를 가진 친구가 두 명뿐이었습니다. 이 두 계정을 제외하고는 최 씨(또는 옹 씨)는 다른 온라인 활동은 없습니다.

저희가 추적할 수 있었던 또 다른 저명한 마린 체인 플랫폼 직원은 조나단 펑 카 컹이라는 CEO였습니다. 그의 링크드인 프로필에 따르면, Capt. Foong은 수십 년 동안 싱가포르의 해양 산업에서 활동해 왔습니다. 현재 링크드인 프로필에 마린 체인에서의 직책을 기재하고 있지는 않지만, 그는 지난 1년간 수많은 행사에서 연설하면서 마린 체인에서의 직책 또는 마린 체인[.]io의 설립자라는 점을 반복해서 언급했습니다.

2018년 4월에 해운 산업과 블록체인에 관해 참석한 포럼의 스크린샷으로, 자신의 직함이 marine-chain[.]io의 CEO로 표시되어 있습니다.

What makes Capt. Foong stand out from the average cryptocurrency or blockchain scammer is that he has been connected to Singaporean companies that have assisted North Korean sanctions circumvention efforts since at least 2013. In research published by North Korea-specific policy research website 38North.org in 2015, Capt. Foong is identified twice as working for or advising companies in Singapore that “have facilitated illicit activity on North Korea’s behalf and that have dealings with UN-sanctioned entities.”

회사 Capt. 펑은 북한 선박의 편의 깃발로 자주 사용되는 3개국의 국기 등록부를 조작하는 데 관여한 혐의를 받고 있습니다.

Capt. 펑은 북한이 국제 제재를 회피할 수 있도록 지원하는 전 세계 인에이블러 네트워크의 일원으로 활동하고 있습니다. 마린 체인 플랫폼과의 연결은 이 방대하고 불법적인 네트워크가 김 정권을 위한 자금 조달에 암호화폐나 블록체인 기술을 활용한 첫 사례입니다.

대체로 이러한 유형의 암호화폐 사기는 수년간 한국을 괴롭혀 왔으며 국제 사회가 이제 막 추적하기 시작한 탈북자들에 의해 설명되는 저급 금융 범죄의 전형에 해당합니다. 이는 수년 동안 암호화폐 업계에 깊숙이 자리 잡은 주체 그룹과 국제 제재의 영향에 대응하기 위해 새로운 자금 흐름을 혁신해야 하는 네트워크 모두에게 당연한 조치입니다.

외국에 있는 북한의 존재: 더 자세한 정보 공개

이전 연구에서 우리는 전 세계 국가에 존재하는 중요한 물리적 및 가상 북한의 존재를 식별하는 휴리스틱을 개발했습니다. 이 휴리스틱에는 이들 국가를 오가는 북한의 평균 이상의 인터넷 활동뿐만 아니라 뉴스 매체, 구 또는 시 정부, 지역 교육 기관 등과 같은 다양한 현지 리소스의 검색 및 사용도 포함되었습니다.

이 기술을 통해 인도, 중국, 네팔, 케냐, 모잠비크, 인도네시아, 태국, 방글라데시 등 탈북자가 실제로 거주하거나 거주하고 있는 8개국을 파악할 수 있었습니다. 최근 기간(2018년 3월~2018년 8월)에는 이 8개국과 관련된 북한의 인터넷 활동을 재조사하여 중국과 인도의 데이터에 대한 충실도를 높였습니다.

중국

알리바바, 바이두, 텐센트와 같은 중국 인터넷 서비스를 북한 지도자들이 광범위하게 이용하고 있기 때문에 중국 내 북한인들의 인터넷 활동을 파악하는 것은 매우 복잡합니다. 지금까지 레코디드 퓨처는 탈북자들이 거주할 수 있는 지역이나 현지 자원에 대한 인사이트가 거의 없었습니다.

지역 수준에서 휴리스틱 데이터의 하위 집합으로 베이징, 상하이, 선양 지역뿐만 아니라 난창, 우한, 광저우에서도 많은 양의 활동이 발생하는 것을 발견했습니다. 이 도시와 지역 중 일부는 중국에서 활동하는 탈북자들의 전통적인 북동부 지역으로 여겨지던 지역 밖입니다.

또한 이전에는 잘 알려지지 않았던 중국 학계의 탈북자 관련 단서도 추가로 발견했습니다. 다음은 현재 북한 학생, 교사 또는 파트너를 수용하고 있거나 과거에 수용한 적이 있는 중간 정도의 신뢰도를 가지고 평가한 중국 대학 목록입니다.

• 상하이 교통 대학교
• 장시 사범 대학교
• 칭화대학교
• 우한 상업 서비스 대학
• 광시 사범 대학교
• 푸단 대학교
• 톈진 의과 대학

인도

이 기간 동안 인도와 관련된 북한 활동의 행동 패턴에는 변화가 없었지만, 몇 가지 추가 세부 사항을 파악할 수 있었습니다. 인도 활동의 대부분은 여러 경제특구 (SEZ), 특히 노이다 및 코친 SEZ와 관련이 있습니다.

지역 수준에서 휴리스틱 데이터의 하위 집합으로 델리, 방갈로르, 콜카타, 하이데라바드에서 많은 양의 활동이 발생하는 것을 발견했습니다. 인도 기상청과 국립 원격 감지 센터와 관련된 의심스러운 트래픽을 다시 관찰했지만 악의성을 확인할 수 없었습니다.

For most of these nations, this heuristic tracked closely with known North Korean illicit financing or logistics networks. The research conducted by the non-profit C4ADS on North Korea’s illicit financing networks is an excellent example. In August, C4ADS released a report that profiled North Korean overseas forced labor by country and sector, including restaurants and products. This repeated overlap between North Korean illicit financing networks and internet activity prompted us to re-examine why Russia did not fit our behavioral heuristic.

러시아

양적인 측면에서 볼 때 러시아와 관련된 활동은 중국이나 인도와 관련된 북한 인터넷 활동의 극히 일부에 불과했습니다(약 0.05 예를 들어 중국에서 발생한 볼륨의 비율). 서비스 측면에서 북한 주민들은 러시아 서비스를 매우 제한적으로 사용했으며, 메일.ru를 정기적으로 방문하고 가끔씩만 Yandex를 사용했습니다. 도시 수준에서는 주로 소치, 모스크바 지역, 블라디보스토크에서 소량의 활동이 이루어졌습니다.

It is possible that the types of North Koreans in Russia during this time frame (March 2018 through August 2018) were different than many of the other countries we have identified. A large number of North Korean workers in Russia are manual laborers, often housed and working in “slave-like” or “inhumane” conditions. This is in contrast to some North Korean workers in other countries, such as China, who are laborers in the information economy and build mobile games, apps, bots, and other IT products for a global customer base. While there are certainly a large number of manual laborers in China as well, it is possible that Russia hosts fewer skilled North Korean workers. This type of information economy work creates a different internet fingerprint than exploitative manual labor and likely clarifies the discrepancy between physical presence and internet activity.

따라서 행동 휴리스틱을 통해 파악한 국가들은 서비스 또는 정보 경제 분야에서 북한 노동자를 고용하고 있을 가능성이 높다고 평가합니다. 이러한 근로자들은 여전히 수입의 상당 부분을 고국으로 송금하지만, 일상 업무에 인터넷 접속이 필요하거나 고객을 대면하기 때문에 덜 억압적인 환경에서 생활할 가능성이 높습니다.

전망

Over the course of the last year and a half, our research on North Korea has provided an unparalleled window into the digital lives of North Korea’s most senior leadership. We have tracked and analyzed leadership activity at a unique time in U.S.-DPRK relations; the duration of the “maximum pressure” campaign, the period of the highest missile launching and testing activity, and the first ever summit between an American and North Korean leader.

At its core, this research series has demonstrated how adaptable and innovative North Korea’s most senior leadership are. They are quick to embrace new services or technologies when useful and cast them aside when not. The Kim regime has developed a model for using and exploiting the internet that is unique — it is a nation run like a criminal syndicate.

In particular, the Kim regime has cultivated the internet as a potent tool for revenue generation and sanctions circumvention by utilizing (and exploiting) cryptocurrencies, various interbank transfer systems, the pluralized nature of the “gig economy,” online gaming, and more. They have paired this with a decades-old smuggling network and system of corrupted diplomats, embassies, and consulates.

It is this marrying of the physical and virtual that enables North Korea’s success and confounds international regulators and enforcers. It may never be possible to assign an exact dollar figure to the value North Korea derives from the internet, but its significance cannot be underestimated.

국제적으로 각국은 이제 막 북한 인터넷 활동의 글로벌화된 특성과 위협에 대처하기 시작했습니다. 특히 미국은 박진혁이라는 북한 운영자 한 명에 대해 형사 고소를 제기했으며, 다른 많은 운영자들도 연루되어 있습니다. 이는 훌륭한 첫걸음이며, 인터넷 운영을 공개하고, 비전통적 외교 파트너에 대한 지원, 그리고 인터넷을 통한 북한의 제재 회피를 약화시키기 위한 보다 유연하고 역동적인 메커니즘에 대한 추가 조치가 뒤따라야 합니다.

이번 보고서는 북한 지도부의 인터넷 활동에 대한 마지막 정기 보고서이기도 합니다. 북한 지도부의 인터넷 보안 및 익명화 서비스 사용과 도메인 프라이버시 및 대규모 호스팅 서비스의 확산이라는 두 가지 추세로 인해 통찰력이 제한되었기 때문입니다.

첫째, 북한 지배 엘리트층이 인터넷 보안 절차를 축소했지만 북한 주민과 전체 인터넷 사용자 모두의 전반적인 추세는 상승하고 있습니다. 이는 시간이 지날수록 북한의 인터넷 검색을 추적하고 새로운 인사이트를 발견하는 것이 더 어려워질 것이라는 의미입니다.

둘째, 대형 기술 기업들은 DNS부터 콘텐츠 전송, 클라우드 서비스 등에 이르기까지 점점 더 다양한 서비스를 고객에게 제공하고 있습니다. 네트워크 관점에서 볼 때 일반적인 DigitalOcean, Cloudflare 또는 GoDaddy 등록 뒤에 있는 최종 콘텐츠를 식별하는 것은 매우 어렵습니다. 포트와 프로토콜조차도 많은 양의 데이터만 제공하며, 종종 디지털오션 박스에서 종료되는 IP는 아무것도 드러내지 않습니다.

We will still monitor North Korea’s IP ranges and report on critical discoveries or events on an ad hoc basis.

네트워크 방어 권장 사항

레코디드 퓨처는 조직이 네트워크에서 북한의 잠재적 활동을 식별할 때 다음과 같은 조치를 취할 것을 권장합니다:

• 침입 탐지 시스템(IDS)과 침입 방지 시스템(IPS)에서 경고하도록 구성하고, 검토 후 다음과 같은 주요 북한 IP 범위의 불법 연결 시도를 차단하는 것을 고려하세요:

• 175.45.176.0/22

• 210.52.109.0/24

• 77.94.35.0/24

• 보다 구체적으로, 북한의 암호화폐 채굴 활동을 탐지하고 방지하려면 침입 탐지 시스템(IDS) 및 침입 방지 시스템(IPS)을 구성하여 다음과 같은 주요 북한 IP 범위에서 TCP 포트를 통해 네트워크에 연결하는 불법 연결 시도를 경고하고 검토 후 차단하는 것을 고려하세요:

• 10130 및 10131 홀드 코인용

• 비트코인용 8332 및 8333

• 모네로용 18080 및 18081

• 라이트코인의 경우 9332 및 9333

참고: 앞서 언급한 포트는 해당 암호화폐에 대해 구성된 기본 포트입니다. 암호화폐 채굴 소프트웨어가 기본 포트를 재정의하도록 수정되었을 가능성이 높습니다. 또한 기업 구성에 따라 다른 서비스도 나열된 포트에서 작동하도록 구성될 수 있으므로 나열된 포트의 네트워크 트래픽에 대한 IDS 및/또는 IPS 알림이 오탐을 생성할 수 있습니다.

• Analyze network DNS traffic to detect and block suspicious traffic relating to HOLD coin cryptocurrency mining (e.g., domains including the term “stellarhold”).
• 네트워크 내에서 암호화폐 채굴 소프트웨어가 다운로드되어 운영될 가능성에 대응하기 위해 기업 전체에 소프트웨어 화이트리스트 프로그램을 구현하는 것을 고려하세요.
• 많은 암호화폐 채굴자들이 인터넷 릴레이 채팅(IRC)을 사용하여 조율합니다. IRC가 기업에 필요한 애플리케이션이 아니라면, IDS 및 IPS를 통해 기본 IRC TCP 포트 6667을 차단하여 IRC를 사용한 암호화폐 채굴 활동을 완화하는 것이 좋습니다.
• Know your organization’s VPN services and protocols and block or carefully scrutinize non-standard VPN traffic.

또한 다음과 같은 일반적인 정보 보안 모범 사례 가이드라인을 따를 것을 권장합니다:

• 모든 소프트웨어와 애플리케이션, 특히 운영 체제, 바이러스 백신 소프트웨어, 핵심 시스템 유틸리티를 최신 상태로 유지하세요.
• 이메일 서신을 필터링하고 첨부 파일에 멀웨어가 있는지 면밀히 조사하세요.
• 시스템을 정기적으로 백업하고 네트워크를 통해 데이터에 액세스할 수 없도록 가급적 오프라인, 즉 외부에 백업을 저장하세요.
• 면밀한 사고 대응 및 커뮤니케이션 계획을 세우세요.
• 회사에 민감한 데이터의 엄격한 구분을 준수하세요. 특히 직원 계정이나 디바이스에 액세스할 수 있는 사람이 피싱을 통해 디바이스나 계정을 탈취하는 등 어떤 데이터에 액세스할 수 있는지 살펴보세요.
• 역할 기반 액세스, 회사 전체의 데이터 액세스 제한, 민감한 데이터에 대한 액세스 제한을 강력히 고려하세요.
• 호스트 기반 제어 사용: 공격을 차단하는 가장 좋은 방어 및 경고 신호 중 하나는 클라이언트 기반 호스트 로깅 및 침입 탐지 기능을 수행하는 것입니다.
• 네트워크 IDS, 넷플로우 수집, 호스트 로깅, 웹 프록시와 같은 기본적인 사고 대응 및 탐지 배포와 제어를 구현하고 탐지 소스에 대한 인적 모니터링도 함께 수행하세요.
• 파트너 또는 공급망 보안 표준을 숙지하세요. 에코시스템 파트너를 위한 보안 표준을 모니터링하고 시행하는 것은 모든 조직의 보안 태세에서 중요한 부분입니다.