2026년 2월 첫째 주, Shodan을 통해 북한의 사이버 인프라를 들여다보았다. 총 46대의 호스트가 세계에 문을 열고 있었다. 많지 않은 숫자지만, 그 안에는 흥미로운 이야기가 숨어 있다.
🌐 류경동, 북한 인터넷의 심장
발견된 46대 중 44대가 Ryugyong-dong 조직에 속해 있다. 류경동은 평양의 한 지역이자, 북한의 국가 인터넷 인프라를 관리하는 Star JV의 본거지다. 사실상 북한 인터넷의 중앙 허브인 셈이다.
나머지 2대는 독일 호스팅 업체 IONOS SE에서 운영 중이다. 해외 서버를 통해 일부 서비스를 우회하는 전략으로 보인다.
🔓 열린 포트들: 웹과 이메일이 중심
가장 많이 열린 포트는 HTTP(80)와 HTTPS(443)로 각각 11대씩이다. 웹 서비스가 북한의 대외 창구 역할을 하고 있음을 보여준다. 주요 웹 서버는 Apache httpd(13대)와 nginx(6대)다.
흥미로운 점은 SMTP(25번 포트)가 3대에서 열려 있다는 것이다. Postfix 메일 서버가 5대 발견됐는데, 북한도 이메일 인프라를 운영하고 있다는 뜻이다.
6006번 포트가 3대에서 열려 있는 것도 눈에 띈다. 이 포트는 TensorBoard(머신러닝 시각화 도구)나 X11 원격 디스플레이에 자주 쓰인다. 북한이 AI 연구나 원격 작업 환경을 구축하고 있을 가능성을 시사한다.
FTP(21번)도 2대에서 열려 있다. 여전히 구형 파일 전송 프로토콜을 사용 중이다.
🛠️ 기술 스택: 오픈소스와 고전의 조화
Apache와 nginx 같은 오픈소스 소프트웨어가 주류를 이루고 있다. 경제 제재 속에서 상용 라이선스를 구하기 어렵기 때문으로 보인다.
재미있는 발견은 MS-SQL Server 2000 RTM+가 1대에서 돌아가고 있다는 점이다. 2000년에 출시된 이 데이터베이스는 2013년에 지원이 종료됐다. 북한의 일부 인프라가 20년 넘은 시스템으로 돌아가고 있다는 증거다.
Microsoft IIS도 1대 발견됐다. 북한 내에서 Windows 서버를 운영하는 사례가 일부 존재하는 것이다.
🔐 보안 시사점: 오래된 것의 위험
MS-SQL Server 2000처럼 지원 종료된 소프트웨어는 제로데이 취약점의 온상이다. 패치가 나오지 않기 때문에 공격자에게는 쉬운 먹잇감이 된다.
FTP와 SMTP 같은 평문 프로토콜이 여전히 쓰이고 있다는 점도 우려스럽다. SFTP나 SMTPS 같은 암호화된 대안을 쓰지 않는다면, 통신 내용이 중간에 노출될 수 있다.
다만 북한의 인터넷은 극도로 폐쇄적이라, 외부 공격 표면이 작다는 점은 역설적으로 일종의 방어막 역할을 한다.
🎯 결론: 작지만 단단한 섬
46대. 한국의 어느 중소기업보다도 적은 숫자다. 하지만 북한은 이 작은 인프라를 통해 대외 선전, 외교 통신, 해외 공작을 수행한다.
류경동 44대, 독일 IONOS 2대. Apache와 nginx, 그리고 20년 된 MS-SQL. 이것이 북한 인터넷의 현주소다. 오래되고, 작지만, 목적을 위해 단단하게 짜여 있다.
다음 주에도 이 “숨겨진 인터넷”의 변화를 추적해보겠다.