2020.03.19

“북한 엘리트층, VPN과 토르에의 관심 고조” 레코디드 퓨처 보고서

Tamlin MageeBy, Tamlin Magee | Techworld
“평양 엘리트들 사이의 인터넷 사용방식이 변화하고 있다. 특히 군사 정보계에 몸담고 있는 이들 엘리트는 종전보다 강력한 보안망을 활용하고 있다. 이들은 이 밖에 인터넷을 수익 창출 도구로도 사용하고 있다. 사이버 공격 및 온라인 사기, 채굴 등의 활동을 통해서다”

이러한 사실은 CIA의 스타트업 펀드와 구글의 지원을 받은 오픈소스 정보 그룹인 ‘레코디드 퓨처(Recorded Future)’가 밝힌 것이다. 이 업체는 최근 7억 8,000만 달러에 사모펀드인 인사이트 파트너스에 매각됐다.
 
ⓒ Recorded Future

이 오픈소스 정보 회사는 2017년부터 조선민주주의인민공화국(미군에 의해 그어진 38도선 이북의 분단국가인 북한을 지칭하는 공식 명칭)에서 글로벌 인터넷 접속을 한다고 파악된 소수의 인사들을 감시하기 시작했다. 감시 초기에는 많은 네트워크 트래픽이 스트리밍, 비디오 게임, 온라인 구매 제품 검색과 같은 소비자 애플리케이션을 중심으로 이뤄졌다. 이 최신 보고서는 그러나 이제 인터넷이 효용과 수익 창출을 위한 도구로 인식되는 쪽으로 크게 변화했다고 기술했다.

북한은 국가 차원에서 고통받았던 기근의 시기에서 다소 회복되었고 북한 지도자들은 과학, 기술, 연구와 개발의 장점을 열심히 강조해오고 있다. 이 과정에서 인터넷을 에너지와 무기에 관한 기술 습득의 도구로도 보고 있다. 레코디드 퓨처는 북한이 인터넷을 사이버 공격 작전에 이용하면서, 은행 절도, 암호화폐, 저급 금융범죄, 그리고 합법적인 프리랜서 IT 업무에 특히 신경을 쓰고 있다고 밝혔다.

게다가, 북한 엘리트층은 현재 2017년 첫 번째 보고서 당시보다 일과 중에 더 자주 인터넷에 접속하고 있다. 이는 글로벌 인터넷이 이들 사용자들의 일상 생활의 일부가 되었음을 시사한다.

그럼에도 불구하고, 여전히 일부의 이야기이다. 프리실라 모리우치 레코디드퓨처 전략위협개발담당은 최근 테크월드와의 전화 인터뷰에서 “북한 사회의 0.1%인 극소수의 북한 주민들, 즉 군 정보관련 최고 지도자들과 그 가족만이 글로벌 인터넷에 접속할 수 있다”라고 말했다.

그는 이어 “글로벌 인터넷에 상시 접속할 수 있는 사람들은 50명에서 200명 정도로 추산된다. 현 시점에서 북한에 있는 글로벌 인터넷 접속 지점은 2개뿐이고 IP 범위가 상대적으로 작기 때문에 북한 IP로 오고 가는 접속을 상대적으로 쉽게 추적할 수 있다”라고 덧붙였다. 

2020년 2월에 발표된 북한에 대한 최신 보고서에서, 이 회사는 글로벌 인터넷에 접속한 북한 사회의 믿을 만한 구성원들의 전형적인 접근 경로를 개략적으로 설명했다. 단 이것이 북한에서 더 널리 사용되는 국내 인트라넷인 광명망에는 해당되지 않는다고 레코디드 퓨처는 덧붙였다.

웹에 대한 주요 접근 경로는 다음과 같다.

- 북한에서 전세계를 향해 접근가능한 웹사이트들이 호스팅 되는 IP 주소는 175.45.176.0/22이다. 여기에서 발견되는 할당된 .kp 범위는 co.kp, gov.kp, edu.kp을 포함한 최상위 도메인과 미디어, 여행 및 교육 웹사이트에 대한 25개의 하위 도메인으로 구성된다.

- 두 번째는 중국 왕통(China Netcom)이 할당한 범위인 210.52.109.0/24를 통해서 이뤄진다.

- 세 번째는 레코디드 퓨처가 주장하는 방식으로, 러시아의 위성업체를 통하는 것인데, 레바논에 위치한 새트게이트(SatGate)로 이어지며 범위는 77.94.35.0/24다. 

레코디드 퓨처의 2017년 보고서 이후 북한의 글로벌 인터넷을 통한 온라인 활동은 300% 급증했는데, 이는 트래픽의 대부분을 중국 롄통(China Unicom)에서 러시아의 트랜스텔레콤(TransTelekom)이 제공하는 인프라로 라우팅함으로써 대역폭과 용량을 증가시켰기 때문이다.

또한 이전에는 할당되지 않았던 IP 공간을 사용하기 시작했으며, 현재 일부 IP 주소는 이메일용 SMTP와 파일 전송을 위한 FTP 서비스에 사용되고 있다고 레코디드 퓨처는 전했다.

레코디드 퓨처는 이러한 변화를 ‘국내외 북한 사용자들의 수요 증가에 대한 대응’으로 요약하고 있다. 예를 들어, 인터넷에 접속 가능한 메일 서버를 설정하는 것은 사용자들이 원격으로 그들의 이메일에 접속하고자 하는 욕구를 보여준다는 것이다.

더 나은 운영 보안(opsec)
모리우치에 따르면, 더 최근에는 이들 엘리트 그룹 운영 보안도 사실상 전무한 상태, 즉 HTTPS 활성화 수준에서 VPN 기술, SSL 및 토르(Tor)의 ’광범위한’ 사용으로 전환됐다. “예를 들어 그들은 DNS 터널링을 사용하여 자체 VPN을 설계했다. 따라서 오늘날 우리는 3년 전과는 전혀 다른 사용 흔적을 볼 수 있다”라고 모리우치는 말했다.

모리우치는 최근 몇 년간 김정은 지도부와 북한에 대한 관심이 집중되면서 온라인 상의 조사도 한층 강화해야 할 필요에 따라 더욱 강력한 보안조치로 이어졌다고 분석하고 있다.  

그러나 또 다른 이유는 일반적인 인터넷 경향이다. 그는 “지난 3년 동안 대부분의 인터넷 사용자들은 인터넷 사용으로 인해 발생하는 함정과 보안 문제에 대해 더 많은 지식을 갖추고 더 잘 이해하게 되었다고 생각한다. 다시 한번 말하지만, 북한의 고위층이 우리가 온라인에서 매일 하는 것과 동일한 활동을 많이 하기 때문에 그렇게 된 것이며, 그들도 보안을 더욱 강화했다”라고 덧붙였다. 

북한의 중요 인프라(및 무기)의 상당 부분은 프리 레거시(pre-‘legacy’) IT일 것임에 따라 인터넷과 단절될 것이며, 따라서 잠재적으로는 외국으로부터의 공격으로부터 보다 안전할 것으로 분석된다.

그러나 아이러니하게도, 감시 대상인 고위층으로부터의 네트워크 트래픽은 서구에서 통상적으로 사용하는 기술에서 비롯되는 경향이 있다. 즉, 아이폰, 삼성의 기기들, 마이크로소프트 윈도우 운영체제, 애플의 맥 등이다. 따라서, 잠재적으로는 더 개방될 것으로 관측된다.

그러나 그것은 북한의 소비자 기술 시장과는 현저한 차이가 있을 수 있다. 한동안 북한에는 그들만의 리눅스 배포판(Linux distro)가 있다고 알려졌으며, 더 최근에는 대부분의 북한내 스마트폰 소비자들이 수정된 형태의 안드로이드를 사용하고 있다고 생각되기 때문이다.

한편 수익 창출 측면에서 볼 때, 레코디드 퓨처는 자신들의 연구를 통해 북한이 다음 사항에 중점을 두고 있다고 본다고 전했다. 

- 뱅킹 운영, 예를 들어 스위프트(SWIFT) 네트워크 공격
레코디드 퓨처는 북한이 금융권 공격에 대해 깊이 연구했으며 실행도 잘되고 있다고 진단했다. 스위프트의 경우 공격자들은 목표대상이 된 네트워크 내에서 9개월에서 18개월 사이의 시간을 소비하고, 정찰을 하고, 측면으로 이동하고, 특권을 강화하고 보안 절차를 비활성화한다. 

- 암호화폐 
2019년 말 현재 소규모 비트코인 채굴은 여전히 관찰되었지만 몇 개의 기계로 제한되어 있을 가능성이 높다고 레코디드 퓨처는 전했다. 그러나, 모네로(Monero) 채굴 활동이 2018년부터 2019년 5월까지 10배나 급증했다. 이는 하나의 IP 주소를 프록시로 하여 그 뒤에 ‘여러’ 개의 기계를 호스팅하는 것이다. 모네로는 익명성이 낮은 비트코인과 달리 완전히 익명인 것에 가깝기 때문에 북한에 더 매력적인 선택일 수 있다. 

- 저수준의 IT 작업 및 금융범죄
여기에는 비디오 게임을 위조하고 비디오 게임의 사용자들을 속이는 것과 같은 일을 포함한다. 이 부분에 대한 레코디드 퓨처의 연구는 탈북자 인터뷰에 바탕을 두고 있는데, 그들 중 한 명은 자신들과 다른 사람들이 중국의 한 집에서 강제로 일하면서 연간 수입이 10만 달러에 달했으며, 이를 달성하기 위해 온라인 사기로 눈을 돌렸다고 주장했다. 제재와 현금 창출을 둘러싼 또 다른 경로는 보험사기라고 이 단체는 전했다.

그러나 레코디드 퓨처는 또한 일부 북한 작업자들이 업워크(UpWork)나 프리랜서(Freelance)와 같은 거대 경제 플랫폼을 사용하여 타국 사용자들의 의뢰를 받아 합법적인 업무를 수행하기도 했다는 월스트리트 저널 기사도 언급했다. ciokr@idg.co.kr



2020.03.19

“북한 엘리트층, VPN과 토르에의 관심 고조” 레코디드 퓨처 보고서

Tamlin MageeBy, Tamlin Magee | Techworld
“평양 엘리트들 사이의 인터넷 사용방식이 변화하고 있다. 특히 군사 정보계에 몸담고 있는 이들 엘리트는 종전보다 강력한 보안망을 활용하고 있다. 이들은 이 밖에 인터넷을 수익 창출 도구로도 사용하고 있다. 사이버 공격 및 온라인 사기, 채굴 등의 활동을 통해서다”

이러한 사실은 CIA의 스타트업 펀드와 구글의 지원을 받은 오픈소스 정보 그룹인 ‘레코디드 퓨처(Recorded Future)’가 밝힌 것이다. 이 업체는 최근 7억 8,000만 달러에 사모펀드인 인사이트 파트너스에 매각됐다.
 
ⓒ Recorded Future

이 오픈소스 정보 회사는 2017년부터 조선민주주의인민공화국(미군에 의해 그어진 38도선 이북의 분단국가인 북한을 지칭하는 공식 명칭)에서 글로벌 인터넷 접속을 한다고 파악된 소수의 인사들을 감시하기 시작했다. 감시 초기에는 많은 네트워크 트래픽이 스트리밍, 비디오 게임, 온라인 구매 제품 검색과 같은 소비자 애플리케이션을 중심으로 이뤄졌다. 이 최신 보고서는 그러나 이제 인터넷이 효용과 수익 창출을 위한 도구로 인식되는 쪽으로 크게 변화했다고 기술했다.

북한은 국가 차원에서 고통받았던 기근의 시기에서 다소 회복되었고 북한 지도자들은 과학, 기술, 연구와 개발의 장점을 열심히 강조해오고 있다. 이 과정에서 인터넷을 에너지와 무기에 관한 기술 습득의 도구로도 보고 있다. 레코디드 퓨처는 북한이 인터넷을 사이버 공격 작전에 이용하면서, 은행 절도, 암호화폐, 저급 금융범죄, 그리고 합법적인 프리랜서 IT 업무에 특히 신경을 쓰고 있다고 밝혔다.

게다가, 북한 엘리트층은 현재 2017년 첫 번째 보고서 당시보다 일과 중에 더 자주 인터넷에 접속하고 있다. 이는 글로벌 인터넷이 이들 사용자들의 일상 생활의 일부가 되었음을 시사한다.

그럼에도 불구하고, 여전히 일부의 이야기이다. 프리실라 모리우치 레코디드퓨처 전략위협개발담당은 최근 테크월드와의 전화 인터뷰에서 “북한 사회의 0.1%인 극소수의 북한 주민들, 즉 군 정보관련 최고 지도자들과 그 가족만이 글로벌 인터넷에 접속할 수 있다”라고 말했다.

그는 이어 “글로벌 인터넷에 상시 접속할 수 있는 사람들은 50명에서 200명 정도로 추산된다. 현 시점에서 북한에 있는 글로벌 인터넷 접속 지점은 2개뿐이고 IP 범위가 상대적으로 작기 때문에 북한 IP로 오고 가는 접속을 상대적으로 쉽게 추적할 수 있다”라고 덧붙였다. 

2020년 2월에 발표된 북한에 대한 최신 보고서에서, 이 회사는 글로벌 인터넷에 접속한 북한 사회의 믿을 만한 구성원들의 전형적인 접근 경로를 개략적으로 설명했다. 단 이것이 북한에서 더 널리 사용되는 국내 인트라넷인 광명망에는 해당되지 않는다고 레코디드 퓨처는 덧붙였다.

웹에 대한 주요 접근 경로는 다음과 같다.

- 북한에서 전세계를 향해 접근가능한 웹사이트들이 호스팅 되는 IP 주소는 175.45.176.0/22이다. 여기에서 발견되는 할당된 .kp 범위는 co.kp, gov.kp, edu.kp을 포함한 최상위 도메인과 미디어, 여행 및 교육 웹사이트에 대한 25개의 하위 도메인으로 구성된다.

- 두 번째는 중국 왕통(China Netcom)이 할당한 범위인 210.52.109.0/24를 통해서 이뤄진다.

- 세 번째는 레코디드 퓨처가 주장하는 방식으로, 러시아의 위성업체를 통하는 것인데, 레바논에 위치한 새트게이트(SatGate)로 이어지며 범위는 77.94.35.0/24다. 

레코디드 퓨처의 2017년 보고서 이후 북한의 글로벌 인터넷을 통한 온라인 활동은 300% 급증했는데, 이는 트래픽의 대부분을 중국 롄통(China Unicom)에서 러시아의 트랜스텔레콤(TransTelekom)이 제공하는 인프라로 라우팅함으로써 대역폭과 용량을 증가시켰기 때문이다.

또한 이전에는 할당되지 않았던 IP 공간을 사용하기 시작했으며, 현재 일부 IP 주소는 이메일용 SMTP와 파일 전송을 위한 FTP 서비스에 사용되고 있다고 레코디드 퓨처는 전했다.

레코디드 퓨처는 이러한 변화를 ‘국내외 북한 사용자들의 수요 증가에 대한 대응’으로 요약하고 있다. 예를 들어, 인터넷에 접속 가능한 메일 서버를 설정하는 것은 사용자들이 원격으로 그들의 이메일에 접속하고자 하는 욕구를 보여준다는 것이다.

더 나은 운영 보안(opsec)
모리우치에 따르면, 더 최근에는 이들 엘리트 그룹 운영 보안도 사실상 전무한 상태, 즉 HTTPS 활성화 수준에서 VPN 기술, SSL 및 토르(Tor)의 ’광범위한’ 사용으로 전환됐다. “예를 들어 그들은 DNS 터널링을 사용하여 자체 VPN을 설계했다. 따라서 오늘날 우리는 3년 전과는 전혀 다른 사용 흔적을 볼 수 있다”라고 모리우치는 말했다.

모리우치는 최근 몇 년간 김정은 지도부와 북한에 대한 관심이 집중되면서 온라인 상의 조사도 한층 강화해야 할 필요에 따라 더욱 강력한 보안조치로 이어졌다고 분석하고 있다.  

그러나 또 다른 이유는 일반적인 인터넷 경향이다. 그는 “지난 3년 동안 대부분의 인터넷 사용자들은 인터넷 사용으로 인해 발생하는 함정과 보안 문제에 대해 더 많은 지식을 갖추고 더 잘 이해하게 되었다고 생각한다. 다시 한번 말하지만, 북한의 고위층이 우리가 온라인에서 매일 하는 것과 동일한 활동을 많이 하기 때문에 그렇게 된 것이며, 그들도 보안을 더욱 강화했다”라고 덧붙였다. 

북한의 중요 인프라(및 무기)의 상당 부분은 프리 레거시(pre-‘legacy’) IT일 것임에 따라 인터넷과 단절될 것이며, 따라서 잠재적으로는 외국으로부터의 공격으로부터 보다 안전할 것으로 분석된다.

그러나 아이러니하게도, 감시 대상인 고위층으로부터의 네트워크 트래픽은 서구에서 통상적으로 사용하는 기술에서 비롯되는 경향이 있다. 즉, 아이폰, 삼성의 기기들, 마이크로소프트 윈도우 운영체제, 애플의 맥 등이다. 따라서, 잠재적으로는 더 개방될 것으로 관측된다.

그러나 그것은 북한의 소비자 기술 시장과는 현저한 차이가 있을 수 있다. 한동안 북한에는 그들만의 리눅스 배포판(Linux distro)가 있다고 알려졌으며, 더 최근에는 대부분의 북한내 스마트폰 소비자들이 수정된 형태의 안드로이드를 사용하고 있다고 생각되기 때문이다.

한편 수익 창출 측면에서 볼 때, 레코디드 퓨처는 자신들의 연구를 통해 북한이 다음 사항에 중점을 두고 있다고 본다고 전했다. 

- 뱅킹 운영, 예를 들어 스위프트(SWIFT) 네트워크 공격
레코디드 퓨처는 북한이 금융권 공격에 대해 깊이 연구했으며 실행도 잘되고 있다고 진단했다. 스위프트의 경우 공격자들은 목표대상이 된 네트워크 내에서 9개월에서 18개월 사이의 시간을 소비하고, 정찰을 하고, 측면으로 이동하고, 특권을 강화하고 보안 절차를 비활성화한다. 

- 암호화폐 
2019년 말 현재 소규모 비트코인 채굴은 여전히 관찰되었지만 몇 개의 기계로 제한되어 있을 가능성이 높다고 레코디드 퓨처는 전했다. 그러나, 모네로(Monero) 채굴 활동이 2018년부터 2019년 5월까지 10배나 급증했다. 이는 하나의 IP 주소를 프록시로 하여 그 뒤에 ‘여러’ 개의 기계를 호스팅하는 것이다. 모네로는 익명성이 낮은 비트코인과 달리 완전히 익명인 것에 가깝기 때문에 북한에 더 매력적인 선택일 수 있다. 

- 저수준의 IT 작업 및 금융범죄
여기에는 비디오 게임을 위조하고 비디오 게임의 사용자들을 속이는 것과 같은 일을 포함한다. 이 부분에 대한 레코디드 퓨처의 연구는 탈북자 인터뷰에 바탕을 두고 있는데, 그들 중 한 명은 자신들과 다른 사람들이 중국의 한 집에서 강제로 일하면서 연간 수입이 10만 달러에 달했으며, 이를 달성하기 위해 온라인 사기로 눈을 돌렸다고 주장했다. 제재와 현금 창출을 둘러싼 또 다른 경로는 보험사기라고 이 단체는 전했다.

그러나 레코디드 퓨처는 또한 일부 북한 작업자들이 업워크(UpWork)나 프리랜서(Freelance)와 같은 거대 경제 플랫폼을 사용하여 타국 사용자들의 의뢰를 받아 합법적인 업무를 수행하기도 했다는 월스트리트 저널 기사도 언급했다. ciokr@idg.co.kr

X