북한 해커그룹, 데일리NK 정기 점검?…매월 한두 차례 접속

IP 주소, 금성121그룹 근거지와 동일...외부서는 '내부 기사' 클릭

북한 평양특별시 류경동 보통강구역 위성사진. / 사진 = 구글 지도 캡처

북한이 올해 본지(데일리NK 사이트)에 수차례 접속한 사실을 확인했다. 북한 외 지역에서 북한어를 사용하는 사용자의 접속도 파악됐으며 가장 최근에 접속한 날짜는 12월 6일이다. 인터넷 사용이 제한되고 흔적을 잘 드러내지 않는 북한에서 본지 사이트에 접속한 사실이 확인된 것은 이번이 처음이다.

홈페이지 접속자 현황 등을 추적하는 구글 애널리틱스를 조사한 결과 올해 북한 지역에서 7차례 접속했으며 장소는 평양시 보통강구역 류경동인 것으로 나타났다. 접속한 도메인은 ‘net.kp’로 확인됐다. ‘kp’는 북한의 최상위 도메인 코드(ccTLD)로 최상위 도메인은 기본적으로 해당 국가·지역에 거주하는 단체나 개인만이 취득할 수 있다. 한국의 최상위 도메인 코드는 ‘kr’이다.

북한 평양 류경동에서 데일리NK에 접속한 것으로 확인됐다. / 사진=데일리NK

북한에서 접속한 사용자는 북한의 해커 그룹 금성121이 사용한 IP주소가 평양시 류경동이라고 보도한 기사 ‘北 추정 해커 그룹 금성121 사용 IP주소는 평양시 류경동’과 북한 해외 반탐 중국 총 책임자 탈북 사건을 다룬 “北, 해외 반탐 요원 고위 자녀 해킹 전문 인력으로 교체” 등의 기사를 읽었다.

접속지역 이외에 언어설정 방식으로 분석한 결과 북한의 언어설정인 ‘ko-kp’로 접속한 기록도 10차례 있던 것으로 확인됐다. ‘ko’는 한국어를, ‘kp’는 지역을 의미한다. 즉 ‘ko-kp’는 북한말을 기본 언어로 선택한 사람이 본지 사이트에 접속한 것을 뜻한다. 접속 지역은 아랍에미레이트, 러시아, 스웨덴, 한국으로 이 경우 실제 북한 사람이 제 3국에서 접속했을 수도 있지만, 접속 지역에 한국이 있는 것으로 보아 북한 내부에서 VPN(가상사설망)을 이용했을 가능성도 있다.

북한으로 언어설정을 한 사용자는 북미정상회담 전 북한의 핵 폐기를 촉구하는 칼럼인 ‘北, 핵 폐기 보고서를 들고 북미회담에 다시 나서라’와 김정은, 꽃제비, 원산 관련 기사를 읽은 것으로 나타났다.

북한 내부 사용자는 해킹 관련한 기사를 주로 봤다는 점과 북한 내부에서 인터넷을 접속하기 어렵다는 점에서 해킹 관련 업무 담당 인사일 가능성이 농후해 보인다. 북한 외부에서 접속한 사용자는 북한 내부 소식과 관련한 기사를 봤다는 점에서 해외에 거주하는 사람이 관영매체나 선전매체에서 전하는 북한 소식이 아닌 내부 소식을 접하기 위해 접속했을 가능성도 있다.

북한으로 언어를 설정한 사용자가 데일리NK에 접속한 것으로 확인됐다. / 사진=데일리NK

또한, 애널리틱스 분석에 따르면 북한에서 본지 사이트에 접속한 방법은 북마크나 홈페이지 주소를 직접 입력해 접속하는 다이렉트(Direct)와 페이스북 링크(Link), 구글 검색을 통한 유입으로 확인됐다. 홈페이지 주소를 직접 입력해 접속한 점으로 보아 접속자가 본지에 대해서 평소 잘 알고 있는 사람일 가능성이 크며 페이스북 사용자도 있는 것으로 보인다.

구글 애널리틱스는 북한에서 접속한 사용자의 컴퓨터 환경도 분석할 수 있다. 북한에서 접속한 사용자의 운영체제는 ‘윈도우7, 8.1, 10’ 세 종류 버전이었으며 사용한 인터넷 브라우저는 모두 구글의 ‘크롬’이었다.

본지는 앞서 북한이 마이크로소프트의 운영체제인 윈도우7과 크롬 브라우저를 사용하고 있다고 보도한 바 있다.(▶관련기사 바로 가기 : 평양제1백화점 홈페이지, 구글 크롬으로 구동?)

한편, 북한 지역과 북한어를 사용하는 사용자들은 한 달에 한두 차례 접속한 것으로 조사됐으며 사용자 환경을 설정하지 않은 접속은 더 많이 있을 것으로 보인다. 구글 애널리틱스의 추적은 사용자가 간단한 설정으로 차단할 수 있으며 국내에서도 개인정보 보호와 보안 등의 이유로 검색엔진이나 정보수집 봇(자동화 프로그램)을 차단하는 사용자가 다수 있다.