블로그 이미지
그레고리잠자
디지털 허리케인(Digital hurricane)을 방문해 주셔서 감사합니다. 강진규 기자의 블로그입니다. 디지털 허리케인은 진짜 북한 뉴스를 제공합니다. 2007년 11월~2015년 9월 디지털타임스 기자, 2016년 6월~현재 머니투데이방송 테크M 기자, 인하대 컴퓨터공학부 졸업, 동국대 북한학과 석사과정 중

calendar

        1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30  

Notice

2017.05.07 23:46 북한 기사/북한IT


(2017-05-07) SW 품질 개선 방안 찾는 북한 


북한 6단계->4단계로 단축한 SPI 마련



북한이 소프트웨어(SW) 개발 프로세스를 연구하고 있는 것으로 확인됐습니다. 북한 연구원들은 SW 개발 프로세스를 6단계에서 4단계로 단축한 모델을 제시했습니다.


이는 SW 개발 시 품질을 높이고 더 빠르고 효율적으로 진행하기 위한 노력으로 해석됩니다. 북한이 SW 개발 프로세스에 대해서 연구하는 것은 그만큼 SW 분야에 관심이 많으며 실제로 SW 개발이 많이 진행되기 있기 때문인 것으로 보입니다.


대북 소식통에 따르면 북한 김일성종합대학이 발행한 학보 63권 1호에 '소규모의 쏘프트웨어개발 단위들에서 공정개선을 위한 한 가지 방법'이라는 논문이 수록됐다고 합니다.


<사진1>


사진1은 논문 내용입니다.


연구원들은 오늘날 SW산업이 가장 급속히 성장하는 분야 중 하나이며 소규모의 SW개발단위들이 정보산업분야에서 중요한 역할을 하고 있지만 이런 개발단위들에서의 SW공정개선(SPI: Software Process Improvement)을 위한 연구자료는 많지 않다고 지적했습니다.


논문은 SW를 개발하는 공정의 품질을 개선하면 그 SW의 품질을 개선할 수 있다는 것이 증명된 1980년 후반부터 SPI에 대한 연구가 많이 진행됐지만 주로 대규모 개발 단위들에 관련된 것이고 소규모의 개발 단위들과 관련한 정보는 많지 않다고 주장했습니다.


논문은 CMMI와 SPICE, ISO의 품질표준 ISO 9001 등 잘 알려진 SPI 모형에 기초해 공정개선 노력을 뒤받침하는 것이 수 백 명의 종업원들을 가진 대규모의 단위들에 맞게 설계돼 소규모의 단위들에는 적용하기도 어렵고 소규모의 개발 단위들은 흔히 잘 알려진 SPI를 수행할만 한 지식과 자원도 가지고 있지 못하다고 설명했습니다.


이에 소규모의 SW개발단위들에서 공정을 개선하는데 이용할 수 있는 간단하면서도 실용적인 경량SPI방법을 제안한다고 논문은 밝혔습니다.


북한 연구원들은 기존에 6개의 단계를 거치는 방식을 4단계로 바꿨다고 합니다. 4단계는 '벽도해기법에 의한 공정모형화', '공정서술과 분석', '문제식별', '공정의 개선방법'이라고 합니다.



<사진2>


사진2는 4단계 방법론에 대한 설명입니다.

 

이 방법에 따르면 SW 공정을 모형화해서 보여주고 전문가들의 의견을 반영합니다. 이 내용을 문서화해서 개발 구성원들이 이를 알도록 하고 SW공학전문가들도 분석하도록 합니다.


이후 개선할 문제를 식별, 논의하고 실제로 개선에 나선다는 것입니다.


북한 연구원들은 이론만 연구한 것이 아니라 컴퓨터 네트워크 통신부분의 응용프로그램

발에 이 방법을 적용해봤다고 합니다.



<사진3>


사진3은 적용해 본 사례에 대한 분석 표입니다.


북한 연구원들은 아래와 같은 연구 자료와 책 등을 참고했다고 합니다.


I. Richardson et al.; IEEE Software, 24, 18, 2007.

Anu Valtanen et al.; Profes 2008, LNCS 5089, 258, 2008.

Gresse Von Wangenheim et al.; IEEE Software, 23, 91, 2006.

Dragan Stankovic et al.; The Journal of System and Software, 86, 1663, 2013.


즉 북한 연구원들은 해외 자료를 참조해 자신들에게 적합한 SW공정개선 방법을 찾은 것입니다.


이번 연구는 앞서 말한 바와 같이 북한이 SW 분야에 큰 관심을 갖고 있다는 것을 보여줍니다. 단순히 SW를 만들자는 것이 아니라 더 품질이 좋은 SW를 개발하기 위해 노력하고 있는 것입니다. 


강진규 기자 wingofwolf@gmail.com




저작자 표시 비영리 동일 조건 변경 허락
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
posted by 강진규 그레고리잠자
2017.05.07 20:44 통일


(2017-05-07) 국토부 '남북 자원-인프라 복합 개발 모델' 구상


국토교통부가 북한의 지하자원과 인프라를 연계해 개발하는 협력 사업을 구상 중인 것으로 알려졌습니다.


정부 관계자들에 따르면 국토부는 최근 '남북 인프라-자원 패키지 협력 사업 추진 방안 연구'를 추진한다고 공고를 냈다고 합니다.



<사진1>


사진1은 공고된 내용입니다.


국토부는 북한의 낙후된 인프라 개보수 사업 비용을 충당할 수 있도록 인프라와 자원 패키지형 개발 협력을 추진해 비용 절감하겠다는 방침입니다.


지하자원과 인프라의 패키지형 복합개발로 남북한 모두에게 경제적 이익이 되도록 하는 협력 모델을 만들겠다는 것입니다.


가령 북한의 광산 개발과 광산 주변 발전 시설 및 교통 인프라 구축을 패키지로 구성해 자원개발권 또는 광물 자원으로 인프라 개발에 따른 수익성을 확보하려는 것입니다.


이번 연구는 올해 연말까지 진행되며 연구 결과를 바탕으로 구체적인 방안이 내년초 나올 것으로 보입니다.


국토부는 연구를 통해 북한의 지역별 지하자원 분포 및 매장 현황, 가치 분석 등을 진행하고 주요 지하자원 매장 지역의 전력, 교통, 항만 등 인프라 현황도 조사할 것이라고 합니다.


국토부는 북한의 주요 매장지역을 4곳(단천지역, 혜산지역, 무산지역, 평안남부지역)으로 나눠 개발 시 경쟁력도 분석할 것이라고 합니다.


이를 통해 사업 후보지를 정하겠다는 것입니다. 사업 후보지가 정해지면 보다 구체적으로 광산 개발과 인프라 구축 방안도 나올 것으로 보입니다.


국토부는 사업추진 프로세스 및 투자구조도 마련하고 투자비용 등도 산정해볼 것으로 알려졌습니다.


북한 인프라 구축에 지하자원 개발을 이용한다는 것은 좋은 아이디어입니다. 하지만 북한이 핵무기, 미사일 개발을 계속하는 상황에서는 추진이 쉽지 않을 것으로 보입니다. 또 북한이 지하자원과 인프라 개발 후 사업권을 보장해주겠다고 약속하지 않으면 사업 추진은 어려울 것으로 예상됩니다. 


강진규 기자 wingofwolf@gmail.com



저작자 표시 비영리 동일 조건 변경 허락
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
posted by 강진규 그레고리잠자
2017.05.05 17:29 북한 기사/북한IT


(2017-05-05) 북한, 미국 에스리 GIS로 시스템 구축?



북한이 미국 에스리(ESRI)사가 만든 지리정보시스템(GIS) 소프트웨어(SW)를 사용하는 정황이 포착됐습니다.


대북 소식통에 따르면 최근 김일성종합대학이 발행한 김일성종합대학학보 63권 3호에는 '조선 전자지명 사전의 행정지명 시공간 자료기지 구축방법'이라는 논문이 수록됐다고 합니다.


그런데 바로 이 논문에 에스리의 ArcGIS에 대한 내용이 담겼다고 합니다.


<사진1> 미국 GIS 솔루션 업체 에스리 홈페이지 모습


<사진2>


사진2는 논문 내용입니다.


논문은 행정지명 자료에 대한 시공간적인 분석을 진행하고 대상지향적인 행정지명

자료기지를 설계하고 실현하기 위한 방법을 제안한다고 나와있습니다.



<사진3>

논문에는 사진3과 같이 행정정보 관련 내용이 나와 있습니다.



<사진4>


그런데 논문은 결론은 사진4와 같이 설명하고 있습니다.  


자료기지관리부는 대상자료기지, 변경자료기지, 공간자료기지를 결합하여 해당 질문에
대한 결과를 도출해내며 또한 매 자료기지들에 대한 입출력관리를 진행한다는 것입니다.

대상자료기지와 변경자료기지는 MySQL을 이용한 행정지명대상, 변경자료들의 모임이
며 공간자료기지는 ArcGIS를 이용한 Polygon 및 Point 공간 자료들의 모임이라고 설명하고 있습니다.

또 맺음말에서 논문은 행정지명의 시공간적 특성을 분석한데 기초해 기초자료 수정모형을 이용한 행정지명 시공간자료 모형을 ArcGIS와 MySQL을 이용해 구축할 수 있다고 밝히고 있습니다.

MySQL은 오픈소스 관계형 데이터베이스관리시스템(DBMS)입니다. ArcGIS는 1969년 설립된 미국 에스리가 제공하는 GIS입니다. 즉 북한은 MySQL와 ArcGIS으로 공간정보 시스템을 만들었다는 것입니다.

물론 논문인 만큼 실제로 구축이 됐는지 구축을 염두에 두고 논문을 썼는지는 정확하지 않습니다. 하지만 북한 연구원들이 활용하지 못할 내용을 연구하지 않았을 것으로 보입니다. 

설령 논문 내용에 따른 구축이 이뤄지지 않았다고 해도 MySQL와 ArcGIS를 사용하고 있기 때문에 이를 반영해 연구한 것으로 보입니다.

에스리의 ArcGIS는 공간정보 분야 사람들은 다 아는 유명한 솔루션입니다. 에스리는 세계 점유율 1위의 GIS 솔루션 기업이기 때문입니다. ArcGIS를 사용하는 것이 특별할 것이 없습니다.

다만 북한이 미국을 증오하고 극도로 보안에 신경을 쓰는 상황에서 미국 제품을 쓰고 있다는 것이 아이러니하게 보입니다.

강진규 기자 wingofwolf@gmail.com


저작자 표시 비영리 동일 조건 변경 허락
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
posted by 강진규 그레고리잠자
2017.05.05 16:01 북한 기사/북한 일반


(2017-05-05) 북한 2018년 4월 8일 평양 마라톤 대회 개최



북한이 2018년 4월 8일 또 다시 평양 마라톤 대회를 개최할 것이라고 합니다.


중국의 북한 전문 여행사인 고려투어는 5월 4일 내년에 북한 평양 마라톤 대회 개최소식을 알려왔습니다.



<사진1>


사진1은 이메일 내용 중 일부입니다.


2018년 대회는 10킬리미터, 하프마라톤, 풀 마라톤 코스로 진행된다고 합니다.


고려투너는 외국인들을 상대로 2일~10일까지 다양한 여행 상품을 준비 중인 것으로 알려졌습니다.


북한은 관광상품으로 마라톤 대회를 적극적으로 활용하고 있습니다. 지난해, 올해에도 많은 외국인들이 평양 마라톤 대회에 참가한 것으로 알려지고 있습니다. 내년에는 얼마나 많은 인원이 참석할지 주목됩니다.


강진규 기자 wingofwolf@gmail.com

 


저작자 표시 비영리 동일 조건 변경 허락
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
posted by 강진규 그레고리잠자
2017.05.03 22:44 북한 기사/북한IT


(2017-05-03) 북한 암호토큰 표준(PKCS#11) 취약점 공격 연구


공격 시나리오 3가지 작성...대응책으로 서명 인증 제시



북한이 보안기술 중 하나인 암호토큰 표준 PKCS#11의 취약점을 연구해 공격 방식을 도출한 것으로 확인됐습니다. 


북한은 3가지 공격 시나리오를 연구했으며 자체적인 대응 방안으로 서명 인증 적용도 연구한 것으로 보입니다.


대북소식통에 따르면 북한 김일성종합대학이 최근 발행한 김일성종합대학학보 63권 2호에 'PKCS#11통표에서 외부열쇠 반입 때 열쇠 검증의 한 가지 방법'이라는 논문이 수록됐다고 합니다.


<사진1>

사진1은 기자가 입수한 논문 내용 중 일부입니다.


논문은 PKCS#11 규약의 보안취약점들 중 외부열쇠 반입에 의한 취약점이 반출 열쇠자료의 해쉬값을 이용해 해결되고 있으나 이것은 해쉬 알고리즘들이 공개돼 있기 때문에 쉽게 해쉬값을 계산해 공격할 수 있는 가능성이 있다고 주장했습니다.


PKCS(public-key cryptography system)는 미국의 RSA가 개발한 암호작성 시스템으로 인터넷상에서 안전한 정보 교환 등을 위해 사용되고 있습니다. PKCS 표준은 PKCS#1부터 PKCS#15까지 있다고 합니다. 그중 PKCS#11은 암호토큰 인터페이스 표준을 뜻합니다.


북한 연구원들도 논문에서 PKCS#11을 설명하고 있습니다. 그들은 PKCS가 공개열쇠 암호화표준들의 집합이며 그중 PKCS#11은 응용프로그람과 암호학적장치(지능카드, USB열쇠통표 등들 사이의 대면부인 암호학적 API(Application Programming Interface)에 대한 표준이라고 정의했습니다.


논문은 PKCS#11 취약점들과 그것에 대한 해결방안들을 분석하고 검증된 열쇠들만을 반입할수 있는 방법을 제안한다고 밝히고 있습니다.


북한 연구원들은 취약점을 활용한 3가지 시나리오를 소개했습니다.



<사진1>


사진1은 첫 번째 비법열쇠생성 공격 방법입니다.


토큰안에 승인되지 않은 열쇠를 발생시키는 수법을 의미한다고 합니다. 이것은 사용자가 우연 발생한 자료 R를 이용해 열쇠반입 함수를 호출하는 방법으로 가능하다고 합니다.



<사진2>


사진2는 두 번째로 열쇠묶음 공격 방법이라고 합니다.



<사진3>


사진3은 세 번째로 트로이동봉열쇠 공격방법이라고 합니다.

 

북한 연구원들은 3가지 공격방법들이 모두 외부로의 반출 또는 반입 때 암호화 된 열쇠자료에 대한 검증을 할 수 있는 기능이 없어서 발생하는 문제라고 지적했습니다.


이에 대한 대책으로서 암호화 된 열쇠자료에 대한 해쉬값을 이용하는 방법이 제안됐지만 이 방법도 해쉬 알고리즘이 공개돼 있고 해쉬값 계산이 어렵지 않은 조건에서 직접 해쉬값을 계산해 공격하는 것을 막을 수 없다고 주장했습니다.


그래서 북한 연구원들은 서명자료를 이용하는 방법을 제안했습니다.



<사진4>


사진4는 대책 내용입니다.


논문은 해쉬값 대신 서명자료를 이용해 암호화 된 열쇠자료를 검증하는 방법을 제안하고 있습니다. 


이 방법은 신뢰할 수 있는 증명기관으로부터 토큰별로 토큰증명서를 발급받아 토큰안에 보관하고 암호화 된 열쇠자료의 서명에 이용함으로써 외부열쇠자료가 신뢰할 수 있는 토큰으로부터 반출된 것이며 외부열쇠자료가 변조되지 않았음을 확인할 수 있도록 해준다는 것입니다.


전자서명을 암호토큰 기술과 결합하는 내용으로 보입니다.


이 논문은 전문적이면서도 어려운 내용을 담고 있습니다. 하지만 몇가지 명확한 사실을 알 수 있습니다.


우선 북한이 암호토큰 기술을 사용하고 있다는 점입니다. 자신들이 사용하고 있기 때문에 취약점을 찾고 보완책을 마련한 것으로 해석할 수 있습니다.


또 북한이 취약점과 공격방식을 알고 있다는 점도 확인할 수 있습니다. 북한 해커들이 이 취약점과 공격 방식을 사용할 수도 있을 것입니다.


이와 함께 북한이 전자서명 기술을 사용하고 있으며 이를 실제 적용했을 가능성도 높은 것으로 보입니다.


북한은 최근 보안 기술 개발과 연구에 심혈을 기울이고 있습니다. 자신들이 해킹을 당하는 것을 막기 위해 고심하고 있는 것으로 보입니다.


이전기사

2016/09/24 - 북한, USB 열쇠로 이용한 보안 기술 개발


2016/09/11 - 북한 보안네트워크 구성방식 'ASDDN' 개발


2016/08/31 - 북한, 네트워크 보안 강화...JSON 이용 로그분석체계 구축


2016/07/05 - 북한의 웹DB 암호화...JNI 이용 자바, C언어 복합 암호 방식



강진규 기자 wingofwolf@gmail.com



저작자 표시 비영리 동일 조건 변경 허락
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
posted by 강진규 그레고리잠자

티스토리 툴바