북한 인터넷을 볼 때 레지스트리는 현재고, 연구 기록은 화석이다

• 이 글의 핵심은 북한 인터넷 연구를 ‘현재 조회 결과’가 아니라 ‘시간이 남긴 화석 기록’으로 봐야 한다는 것임

  • 저자는 책 출간 전 북한 네트워크 인프라 관련 주소 블록을 살아 있는 레지스트리에 다시 대조함
  • 그 과정에서 77.94.32.0/24 대역의 기록이 조용히 바뀐 걸 확인함
  • 이 대역은 오랫동안 오픈소스 추적에서 북한의 위성 연결과 연관돼 왔음

• 그런데 2026년 5월 기준 라이프 후이즈를 조회하면 이야기가 달라짐

  • 77.94.32.0/24 대역은 리투아니아의 한 보유자에게 등록돼 있음
  • 현재 기록에는 북한과의 연결 고리가 남아 있지 않음
  • 여기서 중요한 건 ‘과거 연구가 틀렸다’가 아니라 ‘레지스트리는 계속 움직인다’는 점임

• 저자는 이걸 ‘화석’ 비유로 설명함

  • 화석은 발견한 순간보다 언제나 오래된 것이고, 북한에 대한 오픈소스 기록도 마찬가지라는 주장임
  • 주소 블록은 재할당되고, 라우팅은 이동하고, 레지스트리는 갱신됨
  • 모든 수치는 살아 있는 시스템의 한 시점 스냅숏일 뿐이며, 스냅숏 이후에도 시스템은 계속 변함

• 그래서 과거의 판독이 틀린 게 아니라, 그때 확보 가능한 증거로부터 나온 올바른 추론일 수 있음

  • 어떤 주소 대역이 한때 북한과 연결됐다는 증거가 있었다면, 현재 등록자가 바뀌었다고 해서 그 과거 연결이 자동으로 사라지지는 않음
  • 반대로 현재 등록 정보만 보고 과거 운영 주체를 단정하는 것도 위험함
  • 오픈소스 인프라 연구에서는 ‘지금의 할당’과 ‘그때의 운영’을 분리해야 함

• 글 말미에서 저자는 신간의 핵심 원칙도 같이 꺼냄

  • 북한 네트워크 인프라의 주소 블록 할당과 재할당, 라우팅 이동, 위성·국경 회선 변화를 1차 출처 기반으로 추적했다고 소개함
  • 특히 ‘할당은 운영이 아니다’라는 원칙 위에서 데이터가 말하는 것과 연구자가 추론한 것을 분리했다고 함
  • 짧은 글이지만 네트워크 조사하는 개발자나 보안 연구자에게는 꽤 중요한 습관을 상기시키는 내용임

---

기술 맥락

• 여기서 중요한 선택은 후이즈 같은 현재 레지스트리 기록을 과거 운영 증거처럼 쓰지 않는 거예요. 인터넷 주소 자원은 재할당될 수 있어서, 오늘의 소유자 정보만으로 몇 년 전 트래픽 흐름을 설명하면 분석이 쉽게 틀어져요.

• 북한 네트워크처럼 공개 정보가 제한된 대상을 볼 때는 데이터의 시점이 특히 중요해요. 주소 블록, 자율 시스템, 라우팅 경로가 각각 다른 시점의 증거일 수 있기 때문에 하나로 뭉뚱그리면 ‘할당’과 ‘운영’을 헷갈리게 돼요.

• 저자가 화석이라는 비유를 쓴 이유도 이거예요. 화석은 과거에 실제로 존재했던 흔적이지만, 지금 살아 있는 상태를 보여주는 건 아니거든요. 오픈소스 인텔리전스에서도 과거 스냅숏은 그 시점의 증거로 다뤄야지, 현재 레지스트리와 단순 비교해서 맞다 틀리다로 끝내면 안 돼요.