반달가면 [B-Side]

반달가면 이글루에서 백업 - http://bahndal.egloos.com/615345 (2018.5.21)

미국 미들베리 국제대학원(Middlebury Institute of International Studies) 제임스 마틴 비확산 연구 센터(James Martin Center for Nonproliferation Studies)의 연구자들이 "the Shadow Sector"라는 제목의 보고서를 발표했는데, 북한의 외화벌이용 IT 산업에 대한 내용이다.

대략의 내용은 1990년대부터 북한이 중국, 러시아, 동남아, 중동, 아프리카 등지에 IT 사업 기반을 구축하여 웹사이트 및 앱 개발, 경영관리용 소프트웨어, 통신기기, 보안 소프트웨어, 생체인식 소프트웨어 등을 포함한 다양한 상품과 서비스를 판매해 왔으며 UN 제재 및 각국의 독자제재조치의 효력을 약화시키는 역할을 하고 있다는 것이다.

보고서는 아래의 링크에서 pdf 파일로 받을 수 있다.

The Shadow Sector: North Korea's Information Technology Networks

보고서 내용중 개인적으로 흥미로웠던 부분 일부를 요약해 본다. 이 보고서는 - 아마도 빙산의 일각이겠지만 - KATCO와 글로콤(Glocom)이라는 2개 거점 업체를 중심으로 형성된 IT 사업 조직망에 대한 조사 결과를 담고 있다.

IT 개발은 실물 상품과 달라서 관련된 정황을 미리 인지하거나 방지하기가 상당히 어렵다. 게다가 북한의 IT 기업들은 적극적으로 평양과의 연계성을 숨긴다. 이들은 자신들이 제공하는 상품/서비스가 마치 중국 또는 동남아에서 오는 것처럼 위장하고 있으며, 정체를 더욱 효과적으로 숨기기 위해 freelancer.com이나 guru.com 같은 IT 프리랜서 사이트를 활용한다. 개발을 의뢰한 고객은 개발자가 평양을 위해 일한다는 것을 모르는 채 계약을 하고 비용을 지불한다.

게다가 북한에 의한 해킹이 증가하는 상황에서(10억달러 규모의 방글라데시 중앙은행 해킹 사건과 WannaCry 악성코드 등이 북한의 소행으로 판명되었다), 북한에서 개발한 소프트웨어를 가져와 사용하는 것은 IT 보안 측면에서도 위험을 증가시킨다.

"Korea Aprokgang(압록강) Technology Company(이하 KATCO)"는 러시아, 중국, 동남아, 아프리카 등지에서 활동하고 있으며, 지문인식/개인인증 관련 보안 제품을 중국, 태국, 일본, 나이지리아 등지에 판매했다. KATCO는 자사의 지문인식 기술이 1990년대에 제네바 발명박람회(International Exhibition of Inventions in Geneva)에서 금상을 2회 수상했다고 광고한다.

KATCO는 나이지리아에서 "Katrad Aprokgang Technology Company"라는 이름으로 등록되어 있으며 나이지리아 리버스 주(Rivers State) 공공기관에 지문인식과 카드 스캐너 등을 납품했다. Katrad Aprokgang Technology Company에서 등록한 상표인 "PEFIS"의 경우, 중국 북경에 "PEFIS Electronic Technology"라는 업체가 있으며 지문인식, 안면인식, 카드 스캐너 등 보안 제품을 공급한다. PEFIS도 자사의 기술이 국제 발명박람회에서 금상을 4회 수상했다고 광고한다.

PEFIS Electronic Technology의 대주주는 "the Korea Yalu River(압록강) Technology Development Association"이라고 되어 있다. PEFIS는 1996년에 중국에서 등록되었으며 Korea Yalu River Technology Development Association에서 초기 자본금 4천5백만위안을 제공했다. 임직원은 한치호(韓治虎), 이문산(李文山), 윤용준(尹勇俊) 등 14명이다.

PEFIS는 2018년 1월 22일에 UN결의안 2375호(2017년9월에 결의) 위반으로 북경시공상국(北京市工商局, Beijing Administration for Industry and Commerce)에 의해 등록취소되었다. 그러나 중국 상무부 웹사이트에는 여전히 PEFIS를 소개하는 페이지가 존재한다.

또한 PEFIS는 생체보안 관련 대기업에 자사의 소프트웨어와 알고리즘을 판매하는 것으로 보인다. PEFIS 홈페이지에는 지문인식 제품을 판매하는 다른 중국 업체들의 링크들이 있는데 이들 중에는 자사 제품이 "북한 알고리즘"을 탑재하고 있다고 광고하는 업체도 있다.

EMA,LLC라는 러시아 업체는 지분의 49%를 "Korea Aprokgang"이라는 업체가 소유하고 있으며 2008년부터 생체보안 장비를 판매하고 있다. EMA에서 판매하는 FOC568 생체인식 자물쇠는 PEFIS에서 제조한 것이다. 다른 러시아 보안 업체에서는 같은 제품을 Aprokgang-568이라는 이름으로 광고한다. 이 업체의 주소와 전화번호는 EMA와 동일하다. Korea Aprokgang의 소재지는 블라디보스톡으로 되어 있는데, 평양의 Korea Aprokgang Technology Company와 동일한 업체인지는 명확하게 확인하기 어렵다.

"Global Communications Co", 또는 "글로콤(Glocom)"은 말레이시아에서 활동하는 방위산업체이며, 무선통신기기, 항법장치, 전투관리시스템(Battle Management System), 지휘통제시스템(Command & Control System) 등을 군사 또는 준군사조직에 판매했다.

2017년 2월, UN 전문가 패널은 글로콤이 북한 정보기관인 정찰총국이 관리하는 업체라고 밝혔다. 이후 로이터에서 글로콤과 연관된 개인들과 업체들이 말레이시아와 싱가폴 등지에서 어떻게 위장하고 활동했는지, 평양과 쿠알라룸프르의 북한인들이 어떤 식으로 협력망을 구축하고 은행계좌를 개설하고 현지 방위산업전시회에 참가해서 불법무기거래를 해 왔는지에 대해 보도한 바 있다. 그러나 그 당시에 글로콤과 연관된 2개 IT업체인 "WCW Resources"와 "Adnet International"에 대해서는 자세한 조사가 이루어지지 않았다.

WCW Resources Sdn Bhd는 2015년 11월에 말레이시아에 등록된 업체로, 대주주는 김창혁이다. 그는 말레이시아 글로콤 협력망의 중심에 있는 북한인이다. WCW Resources는 웹/소프트웨어 개발 등 컴퓨터 관련 서비스를 제공한다.

Adnet International Sdn Bhd는 2015년에 등록되었고 최근에 폐업했는데, 마찬가지로 김창혁이 주주이다. 이 업체의 경영을 맡고 있었던 말레이시아인들의 이름은 글로콤과 연관된 다른 업체들에도 등장한다. 이 업체는 가상사설망(VPN), 암호화, USB 보안, 앱, 웹사이트 개발 등을 제공했으며 지문인식, 안면인식 등 생체인식 기술을 자사의 핵심기술로 광고했다. 또한 자체개발한 지문인식 기술은 1990년에서 1996년 사이에 제네바 국제 발명박람회에서 금상을 4회 수상했다고 명시했다. 또한 지난 수십년간 중국, 러시아, 일본, 나이지리아 등지의 업체들과 협력해 왔으며, 자사 제품이 중국, 일본, 말레이시아, 인도, 파키스탄, 태국, UAE, 영국, 독일, 프랑스, 러시아, 캐나다, 아르헨티나, 나이지리아 등지에서 판매되고 있다고 광고했다.
 
"Future TechGroup"이라는 업체의 웹사이트는 글로콤의 자기서명 SSL인증서를 사용한다. 현재는 "coming soon"이라고만 표시되지만 이전에는 "노련한 정보기술 집단"이라고 광고했었다. 캐시(cache)에 저장된 과거 버전을 보면 소프트웨어 회사임에도 버섯재배기술을 광고하고 있다. 한국어 번역 소프트웨어도 광고한다. 홍보용 동영상에는 모란봉악단의 연주가 배경음악으로 사용되었다. 또한 스위스에서 열린 국제대회에서 자사의 안면인식 소프트웨어가 상을 받았다고 주장했다.

Future TechGroup은 IT 프리랜서 웹사이트를 활용했다. 이 업체는 freelancer.com과 guru.com에 안면인식 및 사물인식 소프트웨어 전문가 "Richard Minh"이라는 이름의 베트남인으로 프로필을 등록했다. freelancer.com의 사용자 계정은 "kjg197318"이며, 계약 이력을 보면 터키, 북아메리카, 유럽 등지의 고객들과 거래를 했다. guru.com의 Richard Minh 프로필에 의하면 페이팔(PayPal) 결제를 선호하고 있다.

북한은 위장업체들과 프리랜서 웹사이트 등으로 정체를 숨기면서 IT 산업을 운영하고 있고 지속적인 수입을 확보하고 있다. 이들의 활동을 억제하기 위해서는 거점 업체를 중심으로 형성된 조직망을 제재해야 할 것으로 보인다. 이 문제에 대해서는 현재 UN 수준의 제재가 없는 상태이며 미국의 독자제재 대상에 오른 북한 IT 업체는 "Korea Computer Center(KCC)" 하나뿐이다.

반달가면 이글루에서 백업 - http://bahndal.egloos.com/613542 (2018.4.6)

평양에서 공연한 우리나라 예술단이 원활한 인터넷 사용이 가능했다는 기사를 봤는데, 내용을 보면 보면 마치 평양의 인터넷 환경이 꽤 괜찮은 것처럼 보이기도 한다.

설마 그럴까 싶어서, 정말로 기사의 제목처럼 "평양 인터넷 빵빵"인지 한번 알아보았다.

우선 북한의 인터넷 현황을 알아보자. 가장 쉽게 확인해볼 수 있는 곳이 위키피디아인데, 한국어 페이지는 내용이 부실하므로 영어 페이지를 보면 되겠다. 아래의 링크를 참고하자.

Internet in North Korea - Wikipedia

북한의 인터넷 서비스 사업자(ISP)는 "스타 조인트 벤처(Star Joint Venture Co.)"라는 회사인데, 북한 정부와 태국 록슬리 퍼시픽(Loxley Pacific)사의 합작으로 만들어졌다. 스타 조인트 벤처가 소유하고 있는 IP주소 대역은 아래와 같다.

175.45.176.0-175.45.179.255

한국인터넷진흥원(KISA)의 후이즈(whois) 웹사이트(whois.kisa.or.kr)에서도 확인해 볼 수 있는데, 위의 IP주소 대역이 STAR-KP라는 명칭으로 북한(국가코드 KP)에 속해 있다.

이 대역에 속한 IP주소의 수는 총 1024개다. (175.45.176.0/24에 256개, 175.45.177.0/24에 256개, 이런식으로 175.45.179.0/24까지 256개*4=1024개)

이것이 무슨 얘기냐 하면, 북한이라는 인구 2천5백만명 수준의 국가 전체에 속한 IP주소가 고작 1024개라는 얘기다. 국가 전체에 IP주소가 1024개밖에 없는데, 공연하러 방문한 예술단이 인터넷을 아주 원활하게 사용했다는 얘기는 무슨 뜻인가?

결국 그나마 있는 인터넷 환경 마저도 실제로 사용하는 사람이 별로 없다는 얘기다. 십중팔구 일부 고위층과 해커부대 등 아주 제한적인 범위의 사람들만 인터넷에 접속하고 있을 것이다.

결론적으로, 북한은 인터넷 사용자가 워낙에 없다 보니, 예술단 숙소의 인터넷은 일단 연결만 되면 당연히 "빵빵"할 수밖에 없다. 그러나 평양을 비롯한 일반 북한 주민들의 인터넷은 전혀 빵빵하지 않다. -_-;

반달가면 이글루에서 백업 - http://bahndal.egloos.com/574661 (2016.3.1)

테러리스트가 사용하던 아이폰을 놓고 벌어진 애플과 FBI의 대립과 관련하여 이전에 썼던 게시물에서 댓글이 좀 많이 오가다 보니 본의 아니게 관련 게시물이 또 늘어나게 되었다;;

먼저, "백도어는 나쁘다. FBI에서 요구한 것은 백도어다. 따라서 FBI의 요구는 나쁜 요구다"라는 식의 3단논법을 생각해 보자. 애플의 공지문도 그렇고 일부 언론 기사들도 그렇고 이러한 논리로 유도하기 위해 "백도어"라는 단어를 사용하고 있는 것으로 보인다. FBI의 요구사항에 부정적인 어감을 연계시키기 위해 "백도어"라는 단어를 사용하면서 여론을 유도하고 있는 듯한 느낌이다. 이 부분에 대한 좀 더 구체적인 내용은 이전 게시물을 참고하자. 아래의 링크 2개다.

FBI가 애플에 요구한 것은 정말로 아이폰 백도어인가

아이클라우드 암호 리셋과 관련된 애플과 FBI의 설전

해석상의 오해를 방지하기 위해 "백도어"라는 단어을 먼저 짚고 넘어가야겠다. 이후에 기술할 내용에서 사용하게 될 "백도어"라는 단어는 중립적이고 사전적인 의미다. 즉, 아래의 내용에서 "백도어"라고 지칭하는 것은 컴퓨팅/IT 분야에서 "통상적인 사용자 인증을 거치지 않고 IT기기 또는 서비스에 접근하는 방법"이다.

이제 잡담 시작.

사실 아이폰에는 아주 엄청난 백도어가 하나 있다. 이 백도어는 iOS 기기에만 있는 것이 아니라 안드로이드, 윈도우, 맥OS 기기에도 모두 존재한다.

물론 이것을 지칭할 때 백도어라는 단어를 사용하진 않는다. 대신에 이것을 "원격 OS 업데이트"라고 부른다.

OS 업데이트가 무슨 일을 하느냐 하면, 원격지의 서버로부터 파일을 다운로드한 후에 루트(root) 권한으로 해당 파일을 설치하고 실행한다. 이 작업을 보안취약점 패치와 기능 개선을 위해 OS 개발사가 수행하면 OS 업데이트라고 부르고, 개발사가 아닌 제3자가 악의적인 목적으로 수행하면 해킹이라고 부른다. 개발사는 이미 구현해 놓은 백도어를 통해 이 작업을 수행하고, 해커는 보안취약점을 이용해 이 작업을 수행한다.

해커들이 우글거리고 악성코드가 끝도 없이 널려 있는 인터넷에서 파일을 다운로드 받아서 루트 권한으로 실행한다는 얘기인데, 당신은 iOS 업데이트를 할 때 당신의 아이폰이 정말로 애플이 소유한 서버에 접속해서 제대로 된 시스템 파일을 가져오는지 아니면 중간에 누군가에 의한 조작이 있었는지 확인해 보았는가?

대체 무엇을 믿고 있기에 지금 손안에 있는 아이폰이 확실하게 애플이 제공한 파일로 업데이트되어 있다고 생각하고 있는 것인가? 아이폰에 탑재된 OS 업데이트 기능이 해커의 손에 넘어가지 않았다는 것은 확실한가?

기술적인 측면만 놓고 보면, 애플은 OS 업데이트라는 명목으로 좀 이상한(?) 기능을 만들어서 전세계의 맥OS/iOS 기기를 마음대로 주무를 수 있고 감시할 수 있다. 윈도우도 안드로이드도 다 마찬가지다. 그런데 이런 무시무시한 기능에 대해 왜 다들 조용한걸까? 미국의 IT회사에는 다들 도덕성이 투철한 성인군자들만 모여 있다고 믿어 의심치 않기 때문인가?

우리가 이 백도어를 안전하다고 믿고 그대로 놔두는 이유는 대략 두가지로 볼 수 있을 것 같다. 첫번째는 애플을 비롯한 IT회사들이 법에 따라 규제를 받기 때문에 개인정보를 함부로 다루면 불법행위가 되어 제재를 받기 때문이고, 두번째는 이 업데이트 절차가 디지털 인증서와 디지털 서명으로 보호되고 있기 때문이다.

개인정보보호법을 주제로 글을 쓰고자 하는 것이 아니므로 - 또한 법에 대해서는 지식이 매우 얕으므로 - 법적인 규제는 논외로 하고, 여기서는 기술적인 측면을 살펴 보려고 한다.

디지털 인증서는 서버와 통신을 할 때 해당 서버가 애플의 것임을 확인하는 수단이 되고, 디지털 서명은 다운로드한 파일이 애플이 제작한 파일임을 확인하는 수단이 된다. 두가지 기술 모두 - 비밀키가 유출되지 않고 제대로 구현해서 제대로 운용할 경우 - 전세계의 모든 수퍼컴퓨터를 한꺼번에 동원해도 크랙할 수 없다고 알려진 고비도 암호화 알고리즘을 사용한다. 해커가 OS 업데이트를 조작하려면 이 두가지를 동시에 무력화해야 한다.

"경찰만 사용할 수 있도록 숨겨 놓은 열쇠를 도둑이 찾아서 사용할 수도 있으므로 열쇠를 아예 만들지 말아야 한다. 그러므로 백도어는 없어야 한다"는 주장에서 "경찰"을 "제조사"로 바꾸면 이미 열쇠는 오래전부터 존재해 왔고 지금도 사용중이다. 왜 이렇게 믿고 사용중이냐 하면, 도둑이 찾아서 사용할 수 없는 강력한 보호장치를 마련해 두었기 때문이다.

"이 세상에 안전한 백도어는 존재하지 않는다"는 말 자체는 맞다. 이 세상에 100% 안전한 백도어는 없다. 아무리 강력한 암호라도 크랙하는데 시간이 오래 걸릴 뿐이지(잘 모르겠지만 대충 한 100만년 정도?), 언젠가는 풀릴 수 있기 때문이다. 그러나 실제로 사용해도 괜찮을 정도로 안전한 백도어는 존재할 수 있고, 컴퓨터나 스마트폰의 OS를 업데이트할 때 이미 사용중이다.

"암호화가 범죄수사에 심각한 지장을 주고 있다는 명백한 증거는 발견되지 않는다"는 주장도 틀린 말은 아니다. 데이터가 일단 암호화되면 더 이상 뭘 어떻게 해 볼 방법이 없다. 어떤 내용이 들어 있는지 모르기 때문에 해당 데이터가 범죄수사와 관련이 있는지 여부조차 판단이 안된다. 따라서 명백한 증거는 없을 수밖에 없다. 단지 영국 GCHQ에서 감시하던 강력범죄조직의 상당수가 스노든의 NSA 관련 문서 유출 이후 대거 잠적했다는 정황으로 이들이 암호화 기술을 이전보다 훨씬 적극적으로 활용하기 시작했다는 추측을 할 수 있는 정도다.

작년에 파리에서 있었던 프랑스 사상 최악의 연쇄 테러 사건 이후 프랑스군 정예부대가 생드니에서 테러리스트 은신처를 급습했을 때, 관련 단서가 휴대폰에 있던 암호화되지 않은 문자메세지에서 나왔기 때문에 은신처를 찾아내서 작전이 가능했다고 한다. 그 과정에서 용의자 한명은 폭탄 조끼를 터뜨려 자폭했다. 이 휴대폰이 잠겨 있는 아이폰이었다면 폭탄 조끼가 어디에서 터졌을지 한번 생각해 보자.

아이폰이 논란이 되는 이유는, 데이터 보호가 도를 넘어서 범죄수사를 방해하는 수준의 기능을 갖추었기 때문이다. 수사기관은 결국 범죄자가 원래 멍청하거나, 또는 멍청한 실수를 해서 본의 아니게 정보가 유출되기를 바라는 수밖에 없다. 범죄 관련 정보를 입수할 수 있는 출처가 오로지 스마트폰 밖에 없느냐고 반문하기 전에, 그러면 범죄자들이 대체 스마트폰 외에 어디에 그렇게 범죄 증거를 흘리고 다닐 수 있겠는지 한번 생각해 보자. 지금은 서기 2016년이다.

범죄수사를 위해 암호화 자체를 약화 또는 무력화시키는 것은 바람직하지 않다. 사실 미국 IT업계가 우려하고 반대하는 것도 이 부분이라고 생각된다. 암호화 자체를 약화시키게 되면, 열쇠를 보호하는 장치가 "도둑이 찾아서 사용할 수 있는" 수준으로 떨어질 수 있기 때문이다. 그러므로 암호화 수준 자체를 약화시키는 대신, IT기기나 서비스에 범죄수사에 필요한 정보를 입수할 수 있는 기능을 마련하고 이 기능을 OS 업데이트 못지 않게 강력한 보안기술로 보호하는 형태가 되어야 할 것이다. 이것이 기술적으로 불가능한 일일까? 정말로 불가능한 일이라면 OS 업데이트 같은 기능은 처음부터 나오지도 않았을 것이다.

무고한 일반 사용자의 사생활 보호는 IT기기/서비스로부터 정보를 뽑아낼 수 있는 주체와 해당 정보를 사용하는 주체를 엄격하게 분리함으로써 실현할 수 있을 것으로 보인다. 수사기관의 요청에 의해 법원이 명령을 발부하면 제조사 또는 통신회사가 정보를 뽑아서 제공하는 형태를 가짐으로써, 수사기관이 무차별적으로 개인정보를 입수하지 못하도록 막는 것이다. FBI가 법원을 통해 애플에 기술 협조를 요청한 과정이 이미 이러한 형태를 띠고 있다.

반달가면 이글루에서 백업 - http://bahndal.egloos.com/531956 (2014.12.24)

원문 기사는 여기로

작년에 에드워드 스노든(Edward Snowden)이 NSA의 기밀문서를 대량으로 유출한 이후 이런 상황이 될 것은 충분히 예측 가능하긴 하나, 언론을 통해 공식적으로 확인되었다는 점이 흥미롭다.

예전에 영국 정보기관인 MI5와 MI6에서 스노든의 유출이 테러리스트들에겐 커다란 선물이 된 셈이라고 불평을 한 바 있는데, 이번엔 영국판 NSA라고 하는 GCHQ에서 범죄조직 추적에 심각한 타격을 받았다고 밝혔다.

인신매매, 마약밀매, 무기밀매, 자금세탁, 아동 포르노 등 아주 심각한 종류의 범죄에 연관된 조직원들을 추적해 왔으나 지금까지 추적하던 대상의 4분의 1 이상이 스노든 유출 이후 인터넷 활동 방식을 바꾸면서 GCHQ의 감시를 벗어나 잠적했다는 것이다.

게다가 통신업체들도 마약밀매 등이 "인명에 대한 직접적 위협"이 아니라는 이유로 GCHQ에 협조하기를 꺼리고 있어 일은 더욱 어려워진 모양.

영국에서 이런 종류의 범죄에 연루된 범죄조직은 5천5백여개이고 인력 규모는 3만7천명이라고 한다. 많기도 많다. -_-;

이것이 영국만의 문제는 아닐 것이다. 범죄수사를 방해하는 수준의 사생활 보호가 과연 우리가 원하는 사생활 보호가 맞는지 한번쯤 진지하게 생각해 볼 필요가 있는 듯.