북한이 스마트폰 이용자 식별에 사용하는 애플리케이션(앱) 초기 버전과 개선 버전을 데일리NK가 입수했다. 두 버전을 비교 분석한 결과, 단순 정보 수집용 ‘모듈’에서 스마트폰에 상주하는 ‘감시 플랫폼’으로 진화한 것으로 나타났다.
본보가 입수한 북한의 ‘이동통신사용자식별번호’ 앱의 핵심 기능은 스마트폰 사용자와 기기에 대해 국가가 관리하는 고유한 ‘디지털 번호’를 발급하고 인증하는 것이다.
이 앱은 사용자가 직접 설치하거나 실행하는 일반적인 앱이 아니다. 앱 서랍에 아이콘조차 없는 ‘숨겨진 모듈’ 형태로, 다른 서비스 앱(게임, 전자결제 등)에 가입하거나 인증이 필요할 때 뒤에서 조용히 호출된다. 우리나라에서 금융 앱을 사용하기 위해 공동인증서나 휴대폰 본인인증 절차를 반드시 거쳐야 하는 것과 유사하다고 볼 수 있다.
이 인증 과정을 통과하면 서버는 해당 사용자 및 기기에 10자리의 고유한 ‘식별번호’(CID)를 부여한다. 이 번호는 한 번 발급되면 사용자의 개인정보, SIM카드 정보(IMSI), 단말기 정보(IMEI)와 영구적으로 연결되는 ‘디지털 주민등록번호’나 다름없다.
이후 사용자는 ‘삼흥지갑’과 같은 다른 앱에 가입할 때 이 식별번호를 직접 입력해야 하며, 국가는 이를 통해 모든 디지털 서비스에 걸친 개인의 활동을 통합적으로 식별하고 관리할 수 있는 기술적 기반을 확보하게 된다.
본보는 이 앱의 1.0 버전과 1.0.2 버전을 입수했는데, 소프트웨어 버전에서 첫째 자리 숫자는 대대적인 변화(Major), 둘째 자리는 기능 추가(Minor), 셋째 자리는 작은 수정(Patch)을 의미하는 것이 일반적이다. 이를 감안하고 보면 1.0에서 1.0.2로의 변화는 사소한 개선처럼 보이지만, 실제 분석 결과 두 앱 사이에는 앱의 정체성을 바꾸는 수준의 상당한 변화가 있었다.
먼저 초기 1.0 버전은 인터넷 접속 권한을 전혀 사용하지 않고, 오직 SMS 통신 기능만을 활용하는 단순하고 은밀한 방식으로 작동했다. 사용자 인증이 필요한 순간, 앱은 기기의 고유 식별번호(IMSI) 등 핵심 정보를 수집해 암호화한 뒤 사용자에게 보이지 않는 ‘데이터 SMS’ 형태로 북한의 특정 서버 번호(+8501950003)로 전송했다. 전송할 수 있는 정보의 양이 적고 서버와 실시간으로 복잡한 데이터를 주고받기에는 한계가 명확한 방식이었다.
하지만 개선 1.0.2 버전에서 이 앱은 ‘플랫폼’이라 부를 수 있을 정도로 큰 변화가 나타났다. 가장 큰 변화는 인터넷을 통신 채널로 채택한 점이다. 앱이 요청하는 ‘인터넷 이용 권한’은 외부 인터넷 접속이 아닌, 북한의 폐쇄적인 국가 인트라넷을 사용하기 위한 것으로 분석된다.
| 요청 권한 (Permission) | 기능 및 분석 |
| INTERNET(인터넷 통신) | 서버와 데이터를 주고받기 위한 핵심 채널로, 1.0 버전에는 없던 가장 중요한 변화 |
| READ_PHONE_STATE(기기 고유 ID 수집) | 가입자 정보(IMSI) 등 스마트폰의 고유 식별번호를 읽어 사용자를 특정하는 기반 |
| RECEIVE_BOOT_COMPLETED(부팅 시 자동 실행) | 스마트폰이 켜질 때마다 앱이 자동으로 실행되게 하여 상시 감시를 위한 지속성을 확보 |
| WRITE_EXTERNAL_STORAGE(저장 공간 접근) | 기기의 파일을 읽거나 쓸 수 있는 권한. 정보 유출 또는 추가 파일 다운로드 가능성을 시사 |
| SEND_SMS / RECEIVE_SMS(SMS 송수신) | 인터넷 통신이 불가능할 경우를 대비한 예비(Fallback) 통신 채널 |
이동통신사용자식별번호 1.0.2가 스마트폰에 요청하는 권한 목록. /표=데일리NK
난독화(Code Obfuscation)된 내부 코드를 분석한 결과, 앱은 ‘려명’(ryomyong[.]com)의 특정 API를 통신 목적지로 사용하고 있었다. 단순 접속에 그치지 않고, 국가가 발급한 사설 인증서만을 신뢰하는 독자적인 보안 체계(PKI)를 이용해 허가된 서버와만 안전하게 통신하도록 설계돼 통신 내용은 철저히 통제된다.
여기에 ‘상시 동작’ 기능이 더해져 앱의 성격은 완전히 달라졌다. 스마트폰이 켜질 때마다 자동으로 실행(부팅 시 자동 실행)되며, 저장공간의 파일을 읽고 쓸 수 있는 권한까지 확보했다. 단순 인증 기능을 넘어 기기 내에 영구적으로 상주하며 파일 접근을 포함한 잠재적인 감시 기능을 수행하는 셈이다.
결국 개선 버전은 이 앱이 더 이상 외부의 필요에 의해서만 움직이는 수동적 ‘모듈’이 아니라 기기 내부에 뿌리내려 스스로 목적을 수행하는 능동적인 ‘감시 플랫폼’으로 변모했음을 의미한다.
이렇듯 개선 버전은 중앙 서버가 발급한 ‘디지털 신분증’으로 자국민의 모든 디지털 활동을 통합 관리하려는 북한 당국의 목적과 의도를 보여준다. 이는 결국 디지털 주민 통제를 위한 강력한 인프라 구축이라고 볼 수 있다.
| 버전 1.0 (단순 인증 모듈) | 버전 1.0.2 (상시 감시 플랫폼) | |
| 핵심 목적 | 일회성 기기 등록 및 CID 발급 | 지속적인 신원 및 인증서 관리 |
| 실행 방식 | 외부 앱 호출 시 수동 실행 | 부팅 시 자동 실행 및 주기적 백그라운드 작업 |
| 주요 통신 채널 | SMS 전용 (은밀성, 저대역폭) | 인터넷 주/SMS 보조 (고기능성, 안정성) |
| 보안 수준 | 기본 데이터 해시 (SHA256) | 독자적 PKI, 네이티브 코드, AES 암호화 |
| 데이터 범위 | IMSI 및 기본 개인정보 | 듀얼심(ICCID) 지원 및 파일시스템 접근 |
| 핵심 의존성 | 표준 안드로이드 라이브러리 | 표준 라이브러리 + 네이티브 라이브러리 (2개) |
| 서버 엔드포인트 | 특정 전화번호 (+8501950003) | https://www.ryomyong.com/?page=cid.gen&action=reg&cert=p12&data= |
‘이동통신사용자식별번호’ 앱 1.0 버전과 1.0.2 버전 주요 기능 비교. /표=데일리NK
