>
연구(Insikt)

예멘 전쟁, 정치와 분쟁에서 인터넷 통제의 중요성 강조

게시일: 2019년 3월 12일
작성자: Insikt Group

insikt-group-logo-updated.png

전체 분석 내용을 PDF로 다운로드하려면 여기를 클릭하세요.

이 보고서는 레코디드 퓨처의 이전 보고서인 "예멘 내전의 근본적 차원: 인터넷 통제"의 후속 보고서입니다.이 보고서는 이전 보고서에 대한 업데이트와 함께 정부에 의한 인터넷 셧다운 및 접속 통제 추세를 살펴보기 위한 것입니다. 이 연구의출처는Recorded Future® 플랫폼, 시민 연구소, 쇼단, 바이러스토탈, 센시스, 그레이노이즈, 도메인툴즈, 리버싱랩스 및 타사 메타데이터의 결과와 방법을 포함합니다. 레코디드 퓨처는 인터넷 중단, 접속 제한, 검열에 대해 지속적으로 보고해 주신 Citizen Lab, AccessNow, NetBlocks, Oracle/Dyn, Freedom House에 감사의 말씀을 전합니다.

Executive Summary

2018년 12월 초 평화 회담이 시도되었지만 , 예멘의 분쟁은 계속해서 인명을 앗아가고 있습니다. 세계보건기구는 콜레라가 만연해 아라비아 국가를 전염병, 기근, 내전으로 인한 인도주의적 재난에 빠뜨린 후 국가 위기 상황을 선포했습니다. 알 후다이다 항구 마을의 휴전은 아직 깨지지 않았으며, 아사 직전의 국가에 인도주의적 지원을 제공할 수 있는 길을 제공할 수 있습니다. 현재 세계식량은행이 보유한 곡물 저장고는 현재 접근이 불가능하며, 인출이 중개되기 전에 썩을 수 있습니다.

계속되는 공습 활동, 예멘 파벌 간의 무력 충돌, 예멘의 인프라공중 보건의 전반적인 악화로 인해 예멘의 인터넷 인프라는 여전히 미미한 수준에 머물러 있습니다. 레코디드 퓨처는 후티 군이 통제하는 ISP인 예멘넷에 네트워크 제어 장치를 배치하는 사례가 증가하고 있다는 사실을 확인했습니다. 레코디드 퓨처는 예멘의 최상위 도메인(TLD) 공간이나 예멘의 주요 인터넷 서비스 제공업체에서 실질적인 변화를 관찰하지 못했습니다.

전 세계적으로 인터넷 중단, 정보 통제 제한 및 기타 검열 방법이 증가함에 따라 인터넷 액세스 제어는 점점 더 증가하는 추세가 되고 있습니다. 예멘 내에서 각 세력은 인터넷 인프라를 장악하기 위해 경쟁하고 있으며, 몇 가지 교묘한 위협 벡터를 사용하여 자신의 영토로 들어오고 나가는 정보를 통제하고 있습니다. 인터넷 사용 중단 또는 제한은 인터넷 제한 또는 블랙아웃 활동의 광범위한 추세에서 표준이 되었습니다. 인도, 베네수엘라, 방글라데시, 수단은 자국민의 인터넷 접속을 통제하기 위해 다양한 방법을 사용하고 있습니다.

위협 분석

전투와 인도주의적 재난 속에서도 국제사회는 끔찍한 상황을 긍정적인 헤드라인에 활용하거나 예멘에서 영향력을 유지하려는 시도를 계속하고 있습니다. 미국은 2019년 1월 6일 아라비아 반도에서 알카에다로 알려진 조직원에대한 드론 공습이 2000년 아덴만에서 발생한 알카에다의 USS 콜 호 폭격에 대한 보복으로 "정의를 실현 했다"고 밝혔습니다 . 사우디아라비아가 지원하는 후티 반군이 장악한 수도 사나에 대한 미사일 공격은 "표적 군사 공격"임에도 불구하고 계속해서 민간인의 목숨을 앗아가고 있습니다.

2019년 2월, CNN은 사우디아라비아와 아랍에미리트에 판매된 미국산 무기 시스템이 알카에다 조직원과 후티 민병대의 손에 들어간 것으로 추정되는 장갑형 지뢰 매복 보호 차량(MRAP) 등의 사례를 자세히 다룬 보고서를 발표했습니다. 후티 반군은 우연한 기회에 미국의 차량과 무기를 지원받아 잘 조직된 민병대를 제압하고 더욱 강력한 세력이 되었을 뿐만 아니라 검열과 감시 능력도 강화했습니다.

레코디드 퓨처는 쇼단 검색을 통해 예멘넷에 82.114.160.93과 82.114.160.94라는 두 개의 IP 주소로 두 개의 넷위퍼 디바이스가 추가로 배치된 것을 확인했습니다. 82.114.160.98에서 식별된 디바이스는 이 분석 시점에 여전히 가동 중이었습니다. 후티가 통제하는 네트워크에 검열 장치가 다시 등장한 것은 운영자들이 이제 장치를 작동시킬 시간과 안전이 확보되었기 때문에 예멘 분쟁이 일시적으로 안정되었다는 신호일 수 있습니다. 후티군은 이전에 WhatsApp 그룹을 침해한 적이 있으며, 현지 연락처에 따르면 후티군은 개별 모바일 침해 또는 개인이 데이터를 제공하도록 유도하는 방식으로 비공개 채팅에 계속 액세스하고 있는 것으로 보입니다.

레코디드 퓨처는 넷위퍼 설치로 인해 예멘에서 트래픽 검열이 진행 중인지 확인할 수 없었는데, 이는 예멘의 트래픽 양이 적고 예멘넷 내 모니터링 역량과 가시성이 부족하기 때문인 것으로 보입니다. Rapid7의 국가 노출 지수에 따르면 예멘 ASN은 135,168개의 IP 주소를 할당받았지만 17,934개의 주소만 할당되어 사용률이 저조한 것으로 나타났습니다.

레코디드 퓨처는 아직 사우디에서 아덴넷이 널리 채택된 것을 관찰하지 못했는데, 이는 ISP를 시행한 하디 정부가 여전히 아덴이 아닌 사우디아라비아에 주로 거주하고 있다는 사실과 관련이 있을 수 있습니다. 그레이노이즈 데이터에 따르면 예멘에서 관찰된 총 호스트 수는 538개로, 예멘의 규모와 IP 할당량에 비해 호스트 수가 적기 때문에 일반적인 인터넷 사용량은 예멘에서 낮은 것으로 보입니다. 이에 비해 쇼단은 국내에서 총 44,451대의 디바이스를 탐지했지만 사용 중인 데이터는 발견되지 않았습니다.

DomainTools 데이터에 따르면 현재 1,184개의 .ye 도메인(예멘의 TLD) - 도메인 구매 건수가 32건으로 소폭 증가했습니다. 레코디드 퓨처는 이러한 도메인 등록을 관찰하지 않았습니다. TLD는 여전히 후티 반군과 예멘넷의 관리 하에 있습니다. 후티 반군은 TLD를 장악함으로써 외부 인터넷에서 자신을 예멘의 합법적인 관리자로 위장할 수 있게 되었습니다.

전 세계적으로 새롭게 부상하는 인터넷 중단 활동

해저 케이블 절단과 예멘의 인터넷을 통제하려는 다른 노력은 진공 상태에서 일어난 것이 아니라 주로 아프리카를 중심으로 전 세계적으로 문제가 되고 있는 추세입니다. 여러 감시 단체와 비영리 단체에 따르면 인터넷 중단, 정보 통제 및 기타 검열 수단이 전 세계적으로 증가하고 있습니다. 최근 보고에 따르면 HTTP 트래픽 검열, VPN 차단, 이모티콘 검열이 여러 국가에서 이루어지고 있는 것으로 나타났습니다. 특히 베네수엘라, 인도, 방글라데시, 수단은 자국민의 인터넷 접속을 조작하기 위해 다양한 방법을 사용했습니다.

기록된 미래 타임라인

2019년 인터넷 중단 타임라인. (출처: 레코딩된 미래)

이러한 국가는 여러 가지 이유로 다국적 기업의 관심을 끌고 있습니다. 베네수엘라는 국제 석유 시장의 주요 국가이며, 베네수엘라의 정치적 상황은 베네수엘라에 대한 국제적 접근을 계속 불안정하게 만들고 있습니다. 방글라데시는 의류 공급망의 상당 부분을 방글라데시에서 찾을 수 있기 때문에 리테일 기업에게 특히 흥미로운 시장입니다. 마지막으로 수단을 비롯한 인터넷 보급률이 낮은 아프리카 국가들은 다양한 방식으로 인터넷을 차단하고 잠재적인 인권 침해 사례에 대한 흥미로운 정보를 고객에게 제공하는 경향이 있습니다.

베네수엘라

베네수엘라는 초인플레이션과 식량 및 의약품 부족으로 인한 정치적 불만에 휩싸여 있으며, 권력 장악, 전기 불안정, 인터넷 정전으로 인해 더욱 심화된 상황입니다. 베네수엘라 내 인터넷과 정보 접근을 통제하려는 세력이 등장하면서 라이벌 정파들이 권력과 통제권을 차지하기 위해 경쟁하고 있습니다. 여기에는 베네수엘라 내에서 소규모의 표적 DNS 조작, 국가 차원의 스트리밍 서비스 차단, 모든 인터넷 접속의 전면 차단 등이 포함되었습니다.

2019년 1월부터 베네수엘라에서 지역 정전과 전국적인 인터넷 장애가 보고되었습니다. 넷블록스는 또한 대통령직 분쟁 및 지속적인 경제 혼란과 관련하여 국내 소셜 미디어 및 정보 웹사이트의 정전에 대해 보도했습니다. 넷블록스는 2019년 1월 27일 임시 대통령의 연설 도중 YouTube, Periscope 및 기타 스트리밍 플랫폼의 서비스 중단을 발견했습니다.

2019년 2월, 카스퍼스키랩은 베네수엘라 내에서 DNS 조작의 증거를 발견했습니다. 공격자들은 합법적인 자원봉사 웹사이트의 DNS 레코드를 악성 도메인을 호스팅하는 베네수엘라의 잠재적 악성 IP 주소로 수정했습니다. 이로 인해 베네수엘라 내 사용자들은 악성 인프라로 연결되었고 전 세계의 다른 사용자들은 예상되는 인프라로 라우팅되었습니다. 마더보드의 조사 결과에 따르면 이 활동은 후안 과이도 임시 대통령을 지지하는 베네수엘라 시민을 표적으로 삼아 피싱하는 데 사용되는 것으로 추정됩니다.

방글라데시

2019년 1월 2일, 방글라데시는 총선을 앞두고 전국적으로 모든 모바일 데이터 서비스에 대한 스로틀링을 명령했습니다. 방글라데시 통신 규제 위원회에 따르면 방글라데시는 인터넷 연결의 93%가 휴대전화를 통해 이루어지기 때문에 모바일 데이터 액세스를 제한하기로 결정했습니다. 레코디드 퓨처는 이러한 노력이 북한 내 수많은 인권 침해 혐의에 대한 정보 확산을 막기 위해 북한 내 사회 불안을 잠재우려는 시도일 가능성이 높다고 보고 있습니다.

이번 폐쇄 조치는 중국 내 통신을 제한하고 중국 내 잔학 행위의 증거가 외부로 확산되는 것을 방지하려는 두 가지 목적이 있는 것으로 보입니다. 이는 레코디드 퓨처가 예멘에서 관찰한 활동과 유사한 것으로 보이는데, 후티 세력은 인터넷 인프라와 예멘 TLD 공간을 통제하면서 외부 세계에 예멘을 후티 국가로 인식시키려고 시도했습니다. 레코디드 퓨처는 방글라데시 정부가 예멘에서와 비슷한 방식으로 국가 내부 문제에 대한 외부의 이야기를 통제하려고 시도하고 있다고 의심하고 있습니다.

인도

2018년 인도는 134건의 인터넷 장애 및 중단 사고가 보고되어 전 세계에서 인터넷 장애 및 중단 건수 1위를 차지했습니다. 인도에서는 인터넷이 자주 중단되어 활동을 추적하는 서비스가 가동되고 있습니다. 국내의 연결성 부족은 공급업체의 과부하나 인프라 부족이 아니라 유선 및 무선 공급업체에 대한 정부의 불규칙하고 때로는 설명할 수 없는 접속 차단 명령 때문입니다. 이 사건은 "정부가 일정 기간 동안 하나 이상의 지역 내에서 인터넷 전체에 대한 접속을 차단하는 것"으로 설명됩니다. 인터넷 접속이 제한되거나 차단되는 정도와 마찬가지로 활동의 규칙성도 문제가 됩니다.

대부분의 폐쇄 조치는 모바일 서비스 제공업체를 대상으로 이루어졌으며, 펀자브와 카슈미르 등 지역 라이벌인 파키스탄과 국경을 접하고 있는 북서쪽 지역에서 발생했습니다. 대부분의 셧다운은 무장 활동에 대한 보고에 대응하고 추가 활동에 대한 잠재적 소문을 잠재우기 위해 이루어졌습니다. 프리덤 하우스의 2018년 인도 인터넷 자유에 관한 보고서에 따르면 2G 속도로 저하되거나 완전히 차단되는 경우가 많다고 합니다. 보고서에 따르면 정부 관리들은 인터넷 및 이동통신 사업자에게 접속을 줄이거나 차단하도록 명령할 때 '예방적 조치'를 자주 인용합니다. 레코디드 퓨처는 파키스탄과 인도 간의 긴장 고조로 인해 국경 지역에서의 인터넷 차단이 단기적으로 그 범위와 규모가 증가할 것으로 예상하고 있습니다.

인도의 인터넷 통제는 범위, 빈도, 방법론에서 다른 국가와 다릅니다. 인도는 민주주의 국가로, 소수 지역의 인터넷 액세스를 대테러 및 무장 활동으로 제한하고 있습니다. 일반적으로 인터넷 검열 및 액세스 제어는 권위주의 정권이나 개발도상국과 관련이 있는데, 인도는 민주주의 국가이며 상대적 경제 규모를 결정하는 데 사용되는 척도인 국내총생산(GDP)이 세계에서 6번째로 국가입니다. 몽클레어 주립대학의 연구원들은 2017년에만 국경 지역에서 발생한 59건의 인터넷 정전으로 인해 인도의 GDP가 약 5억 달러에 달하는 손실을 입었다고 추정했습니다.

프리덤 하우스도 글로벌 트렌드에 대한 연례 보고서를 발표하면서 전 세계적으로 중국의 통신 인프라를 구매하는 국가를 주목했는데, 인도도 그 국가 중 하나입니다. 특히 예멘은 중국 통신사 화웨이로부터 대량의 장비를 구매하기도 했습니다. 이 인프라와 함께 넷스위퍼 콘텐츠 필터링 디바이스도 배포했습니다. 레코디드 퓨처는 쇼단을 사용하여 국내에서 8개의 넷위퍼 인스턴스를 식별했으며, 그 중 5개의 디바이스가 화웨이 SSL 인증서로 서명된 것을 발견했습니다. 레코디드 퓨처는 인도에서 넷위퍼 디바이스를 통한 트래픽 검열이 진행 중인지 확인할 수 없었습니다.

수단

디지털 권리 비영리 단체인 AccessNow와 Netblocks는 2018년 12월 수단 전역에서 트위터, 페이스북, 인스타그램, WhatsApp에 대한 전국적인 접속 장애가 발생했다고 보고했습니다. 이러한 애플리케이션 차단은 70%에 달하는 인플레이션과 곡물 및 유가 급등으로 인한 시위 속에서 이루어졌습니다. 수단 정권은 최루탄과 실탄을 사용하는 진압 경찰로 민간인을 진압하고 수십 명의 시위대를 사살하는 등 전국적인 시위에 강경하게 대응하고 있습니다. 전국적으로 인터넷 접속이 제한되어 "루머 확산"을 방지하기 위해 앞서 언급한 애플리케이션에 대한 액세스가 제한되었습니다.

이 검열은 소셜 미디어 및 커뮤니케이션 애플리케이션에 대한 액세스를 차단하기 위해 여러 ISP가 조직적으로 노력했음을 보여줍니다. 수단의 통신사인 자인-SDN, 수다텔, 카나텔이 정전의 영향을 받았으며, 국제 통신사인 MTN도 정전의 영향을 받았지만 WhatsApp은 차단하지 않은 것으로 알려졌습니다. 이는 정권이 효과적인 미디어 차단을 위해 인터넷 서비스 제공업체에 의존하고 있음을 시사하는 것일 수 있습니다. 어나니머스의 회원들은 수단 주민들에게 모바일 기기에서 TOR 또는 VPN을 사용하여 봉쇄를 우회하도록 권장했지만, 이 방법이 ISP 차단을 효과적으로 회피했는지는 확인되지 않았습니다.

스테이트크래프트와 분쟁에서 인터넷 통제 방법

이러한 최근의 검열 및 인터넷 차단 행위는 인터넷 접속을 통제하려는 정권과 반군 단체의 다양한 방식을 반영합니다. 후티 반군이 인터넷 케이블을 끊은 예멘의 경우나 올해 방글라데시와 짐바브웨에서 시민들이 인터넷 전면 중단을 겪은 것처럼, 더 무딘 방법은 일반적으로 인터넷 정전으로 이어집니다.

라우팅 수준에서도 국가별 검열이 가능하지만 항상 쉽게 구현되는 것은 아닙니다. 러시아는 프로토콜 수준에서 암호화된 메시징 애플리케이션 텔레그램을 차단하려다 실패했고 , 결국 구글과 아마존의 서브넷 전체를 차단해 자국 인터넷에 광범위한 부정적 영향을 미쳤습니다. 터키는 2014년에 트위터 및 기타 소셜 미디어 플랫폼의 사용을 줄이기 위해 Google DNS와 OpenDNS에 대한 우회적인 DNS 하이재킹을 사용했습니다. 이란은 HTTP 호스트 기반 차단 ,키워드 필터링, 프로토콜 기반 스로틀링 등 다양한 방법 중에서도 BGP 하이재킹을 사용하여 미디어 트래픽을 싱크홀화함으로써 콘텐츠 블랙아웃을 시행했습니다 .

콘텐츠 수준 검열은 앞서 예멘의 넷위퍼 디바이스 사용 사례에서 알 수 있듯이 IP 및 DNS 인프라에 대한 통제력이 큰 국가에서 사용할 수 있습니다. 시티즌 랩은 이전에 이러한 검열 장치에 대한 연구를 수행한 바 있으며, 새로운 보고서에서는 중동에서 콘텐츠 모니터링을 위해 심층 패킷 검사가 가능한 기술을 사용하는 국가를 발견했습니다.

전망

이러한 수준의 검열은 위의 국가에만 국한된 것은 아니지만, 인터넷 통제는 점점 더 많은 국가들이 국가 전략의 일부로 사용하는 도구가 되었습니다. 정부의 검열은 새로운 트렌드는 아니지만, 외부에서 이러한 사건에 대해 점점 더 많이 보고하고 있습니다. 이러한 조치를 시행하는 국가는 인구에 대한 통제력을 유지할 수 있지만, 이러한 조치는 국내 경제에 해를 끼치고 비즈니스 기회를 억압할 가능성이 높다는 위험을 감수해야 합니다. 디지털 검열을 시행하는 국가는 자국의 기술 성장과 비즈니스 혁신이 둔화되는 경향이 있습니다.

이러한 인터넷 셧다운은 영향을 받는 지역 전체에 위험을 가중시킬 수 있습니다. 또한 검열과 셧다운은 사회적 비용을 넘어 경제 성장과 무역을 심각하게 저해할 수 있습니다. 온라인으로 운영하거나 셀룰러 서비스에 의존하는 많은 비즈니스는 큰 손실이 발생할 수 있으며 특정 주에서는 생산이 제한될 수 있습니다. 해당 국가에서 활동하는 기업은 운영 통제권을 상실하여 조작이 발생하거나 본사와의 연락이 두절되어 직원들이 사실상 발이 묶일 수 있습니다.

관련