러시아에 붙은 해커들은 지금 그 누구보다 바쁘게 움직이고 있다. 각종 허위 정보를 만들어내랴, 그것을 들키지 않고 퍼트리랴, 바쁠 수밖에 없다. 이런 캠페인은 광범위하게 일어나고 있으며, 그래서 조사조차 쉽지 않다고 한다. 이러한 전쟁 수행 능력은 앞으로 기본 중 기본이 될 전망이다.
[보안뉴스 문정후 기자] 지난 3월 러시아의 우크라이나 침공이 한창 진행되고 있을 때 한 영상이 온라인 공간에 떠돌기 시작했다. 우크라이나의 젤렌스키 대통령이 러시아 군에 항복한다는 내용을 발표하는 영상이었다. 그러더니 얼마 지나지 않아서는 젤렌스키 대통령이 키이우에 있는 우크라이나 군 벙커에서 자살을 했다는 소식이 나돌았다. 우크라이나 군의 방어 실패에 커다란 책임감을 느꼈기 때문이라고 추측이 됐었다.
[이미지 = utoimage]
물론 위 모든 소식들은 가짜였다. 특히 항복 선언 발표 영상은 젤렌스키 대통령의 모습을 딥페이크 기술로 정교하게 만든 작품이었다. 자살 관련 뉴스는 러시아의 편에 서서 가짜 정보를 전파하기 위해 작정하고 창설된 단체가 만들어내고 퍼트린 소식이었고 말이다. 보안 업체 맨디언트(Mandiant)는 이것이 우크라이나의 일반 시민들과 우크라이나의 동맹 국가 혹은 지원 국가들을 노린 여론 조작 공격의 일환이라고 묘사한다. 또한 이 공격은 전쟁 개시 후 지금까지 쉬지 않고 이어지고 있다고 한다.
이런 캠페인의 목적은 크게 세 가지로 설명된다. 맨디언트에 의하면 이는 다음과 같다.
1) 우크라이나인들의 사기 저하
2) 우크라이나와 동맹 관계에 있거나 우크라이나를 지원하려는 국가들 간 신뢰 흔들기
3) 러시아에 대한 긍정적인 이미지 심기
참고로 이란과 중국의 해커들도 이러한 거대한 사건을 기회 삼아 미국과 서방 국가들을 틈틈이 비판하고 있다.
성공 여부, 확언하기 어려워
맨디언트의 수석 분석가인 알덴 월스트롬(Alden Wahlstrom)은 “이런 류의 여론 조작 공격은 그 범위가 광범위하기 때문에 성공이나 실패를 재단하고 측정하는 게 쉽지 않다”고 말한다. “러시아-우크라이나 전쟁에 있어서 지금도 어마어마한 양의 가짜뉴스가 생산 및 배포되고 있는 건 맞습니다. 하지만 그런 소식을 반박하는 주장을 우크라이나 정부가 재빨리 내놓고 있기도 합니다. 그렇기 때문에 공격자들이 활발하게 움직이고 있기는 한데, 그것이 얼마나 사람들의 마음 속에 뿌리를 내리고 있는지는 확인할 수가 없습니다.” 게다가 그 광범위함 때문에 이런 공격을 전부 추적하는 것부터도 어려운 작업이라고 한다. 여러 모로 평가가 어려운 성질의 공격이 바로 이 여론 조작 공격이다.
맨디언트의 분석가들은 이런 공격의 배후에 있는 단체 몇몇을 식별해 내는 데에는 성공했다. 그 중 하나는 APT28로, 미국 정부와 일부 보안 업체들은 러시아의 첩보 기관인 GRU와 깊은 연관성이 있을 것으로 보는 단체다. 맨디언트는 이전에 APT28이 직접 만든 텔레그램 채널들을 활용해 APT 멤버들을 관찰한다고 하는데, 이를 통해 GRU가 관여하고 있다는 여러 가지 정보를 수집하는 데 성공했고, 또한 이들의 주요 목적이 우크라이나 시민들의 사기를 저하시키는 것임을 알아낼 수 있었다고 한다.
APT28 외에는 벨라루스를 근거지로 하여 활동하는 것으로 알려져 있는 고스트라이터(Ghostwriter)도 가짜뉴스를 활발히 퍼트리는 것으로 조사되고 있다. 고스트라이터는 특히 유럽의 국가와 일반 시민들을 대상으로 허위 정보 살포를 자주 하는 단체다. 지난 4월 맨디언트는 고스트라이터가 이전에 침해해두었던 웹사이트 하나와 여러 소셜미디어 계정들을 통해 허위 정보를 살포하는 것을 발견했었다고 한다. 이 공격의 목적은 우크라이나와 폴란드, 그리고 다른 여러 나라들 사이의 신뢰를 허물어트리는 것으로 보였다.
그 다음으로 맨디언트는 ‘세컨더리 인펙션(Secondary Infektion)’이라는 허위 정보 유포 캠페인을 발견하기도 했다. 이는 러시아의 침공이 실제로 발생하기 수주 전부터 지금까지 이어져 오고 있는데, 주로 우크라이나 국민들을 공격 대상으로 삼고 있다. 전쟁에 관한 다른 소식을 주로 퍼트린다. 젤렌스키 대통령의 가짜 자살 소식도 바로 이 캠페인 배후 세력들이 여기 저기 실어다 나른 것이다. 그 외에도 러시아가 ‘나치화 되었다’고 주장하는 우크라이나 군 조직 아조브 레지먼트(Azov Regiment)가 젤렌스키를 잡아 죽이려 하고 있다는 소식 역시 만들어 퍼트렸다.
세컨더리 인펙션의 특징은 그저 가짜 이야기의 내용만 확산시키는 게 아니라는 것이다. 이들은 가짜 문건, 팸플릿, 스크린샷 등과 같은 부수적인 자료들도 정교하게 만들어낸다. 그래서 사람들이 보다 높은 확률로 속는다.
가짜 소식, 공포와 혼란을 심어
맨디언트에 의하면 위의 사례와 비슷한 캠페인이 우크라이나에서 여럿 발견되고 있다고 한다. 봇으로 만든 가짜 소셜미디어 계정들을 가지고 가상의 인물을 만들고, 이 가상의 인물들을 가지고 러시아에 유리한 소식들을 생성해서 퍼트리고 있다. 특히 우크라이나의 난민이 늘어남에 따라 폴란드 인들이 점점 분노하고 있다는 소식이 피난민들 사이에 큰 혼란을 일으키기도 했다. 이 소식에 의하면 폴란드 갱단들이 우크라이나 난민들을 납치해 장기를 강제로 빼내고, 이를 암시장에 판다고 하는데 주로 여자와 아이들로 이뤄진 피난민들은 이 때문에 적잖은 공포에 떨었었다.
주의해야 할 건 대부분의 허위 정보 캠페인이 파괴적인 성격을 띤 사이버 공격 활동과 맞물린다는 점이다. 예를 들어 젤렌스키 대통령이 항복했다는 가짜뉴스가 퍼지고 있을 때, 러시아의 해커들은 우크라이나 조직들과 기관들에 디스크 삭제형 멀웨어를 심고 있었다고 한다. 그리고 이 공격들은 젤렌스키 대통령의 UN 연설 시간 세 시간 전에 가장 극심했었다. 월스트롬은 “두 공격 사이의 연관성을 명확히 드러내는 증거가 나오지는 않았지만 관련이 없어 보이지는 않는다”고 말한다.
“이렇게 타이밍이 교묘하게 맞물리는 때가 한두 번이 아닙니다. 아직 그런 조직들 간의 유기적인 협력 관계가 명확하게 밝혀지지는 않았습니다. 하지만 아예 관계가 없다고 말하기는 힘든 우연들이 많습니다. 두 조직은 어떤 형태로든 서로 협조하는 것으로 의심되고, 그 목적은 공격의 효과를 최대한으로 거두기 위해서인 것으로 추측됩니다.” 월스트롬의 설명이다.
맨디언트의 또 다른 분석가인 샘 리델(Sam Riddell)은 “여러 허위 정보 살포 캠페인의 주요 특징 중 하나는 목적이 두 가지라는 것”이라고 지적한다. “친러 핵티비스트들의 활동을 관찰하다 보면 이들이 두 가지 목적을 동시에 추구하고 있음을 알 수 있습니다. 하나는 특정 여론을 의도적으로 조성하는 것이고, 다른 하나는 러시아에 대한 지지 세력을 늘리는 것입니다. 자신들의 메시지를 퍼트리면서 동시에 러시아에 대한 이미지를 긍정적으로 변화시키는 것이죠.”
또 하나 눈여겨 봐야 할 건 정보전 운영 자산과 인프라가 대단히 유연하게 운영되고 있다는 것이다. “전쟁이 막 발발했을 때에는 친러 성향 해커들의 공격 인프라는 순식간에 전쟁용 공격 인프라로 바뀌더군요. 일반적인 범죄용 인프라가 전부 비상 체제로 변모해 전쟁을 수행하기에 알맞게 되었습니다. 그러니 중요 이슈가 떠오를 때마다 재빨리 그것을 응용해 자신들의 가짜뉴스 재료로 삼고, 그렇게 만들어진 소식을 이슈가 다른 이슈로 덮이거나 이슈에 대한 관심이 식기 전에 퍼트릴 수 있었던 것입니다.”
또 다른 보안 업체 니소스(Nisos)도 이번 주 맨디언트의 그것과 비슷한 내용의 보고서를 만들어 발표했다. 프론톤(Fronton)이라는 사물인터넷 봇넷에 관한 것이었다. 이 보고서에 의하면 프론톤은 러시아의 정보 기관인 FSB의 지휘 아래 몇 년 전에 만들어진 것으로 보이며, 봇넷의 가장 주요한 목적은 가짜뉴스와 허위 소식을 전 세계로 퍼트리는 것이라고 한다. 니소스에 의하면 프론톤의 운영자들은 트렌드가 되고 있는 소셜미디어 행사들까지도 실시간으로 찾아내 공격에 반영시킬 수 있는 웹기반 대시보드까지 가지고 있었다고 한다. 이 대시보드의 이름은 사나(SANA)였다.
프론톤과 사나에 관한 소식은 핵티비스트 단체인 디지털 레볼루션(Digital Revolution)이 봇넷 개발에 참여한 누군가의 시스템에 침투한 뒤 관련 문건들을 훔친 것이 공개되면서 만천하에 드러났다. 니소스의 수석 연구원인 빈카스 시지우나스(Vincas Ciziunas)는 “아직까지 러시아-우크라이나 전쟁의 상황에서 프론톤이나 나사가 사용된 사례는 찾기 힘들다”고 말한다. “다만 FSB가 프론톤과 비슷한 기술을 활용하고 있는 것 같기는 합니다. 아직 확실히 공개할 만한 정도로 조사가 진행되지는 않았지만요. 이는 조만간 좀 더 상세히 공개될 수 있을 것으로 보입니다.”
러시아는 이전부터 하이브리드전과 여론전의 대가로 알려져 있었다. 여러 나라의 선거에 개입하기 위해 소셜미디어 플랫폼을 악용하기도 했고, 물리 공격과 더불어 사이버 공격도 활발하게 활용할 줄 알고 있다. 이런 식의 전쟁 수행 능력은 곧 모든 나라들에게 요구되는 기본 소양처럼 굳어질 가능성이 높고, 이번 러시아-우크라이나 전쟁이 그런 움직임으로의 가장 중요한 계기가 될 것으로 예상된다.
글 : 자이 비자얀(Jai Vijayan), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스 문정후 기자] 지난 3월 러시아의 우크라이나 침공이 한창 진행되고 있을 때 한 영상이 온라인 공간에 떠돌기 시작했다. 우크라이나의 젤렌스키 대통령이 러시아 군에 항복한다는 내용을 발표하는 영상이었다. 그러더니 얼마 지나지 않아서는 젤렌스키 대통령이 키이우에 있는 우크라이나 군 벙커에서 자살을 했다는 소식이 나돌았다. 우크라이나 군의 방어 실패에 커다란 책임감을 느꼈기 때문이라고 추측이 됐었다.
[이미지 = utoimage]
물론 위 모든 소식들은 가짜였다. 특히 항복 선언 발표 영상은 젤렌스키 대통령의 모습을 딥페이크 기술로 정교하게 만든 작품이었다. 자살 관련 뉴스는 러시아의 편에 서서 가짜 정보를 전파하기 위해 작정하고 창설된 단체가 만들어내고 퍼트린 소식이었고 말이다. 보안 업체 맨디언트(Mandiant)는 이것이 우크라이나의 일반 시민들과 우크라이나의 동맹 국가 혹은 지원 국가들을 노린 여론 조작 공격의 일환이라고 묘사한다. 또한 이 공격은 전쟁 개시 후 지금까지 쉬지 않고 이어지고 있다고 한다.
이런 캠페인의 목적은 크게 세 가지로 설명된다. 맨디언트에 의하면 이는 다음과 같다.
1) 우크라이나인들의 사기 저하
2) 우크라이나와 동맹 관계에 있거나 우크라이나를 지원하려는 국가들 간 신뢰 흔들기
3) 러시아에 대한 긍정적인 이미지 심기
참고로 이란과 중국의 해커들도 이러한 거대한 사건을 기회 삼아 미국과 서방 국가들을 틈틈이 비판하고 있다.
성공 여부, 확언하기 어려워
맨디언트의 수석 분석가인 알덴 월스트롬(Alden Wahlstrom)은 “이런 류의 여론 조작 공격은 그 범위가 광범위하기 때문에 성공이나 실패를 재단하고 측정하는 게 쉽지 않다”고 말한다. “러시아-우크라이나 전쟁에 있어서 지금도 어마어마한 양의 가짜뉴스가 생산 및 배포되고 있는 건 맞습니다. 하지만 그런 소식을 반박하는 주장을 우크라이나 정부가 재빨리 내놓고 있기도 합니다. 그렇기 때문에 공격자들이 활발하게 움직이고 있기는 한데, 그것이 얼마나 사람들의 마음 속에 뿌리를 내리고 있는지는 확인할 수가 없습니다.” 게다가 그 광범위함 때문에 이런 공격을 전부 추적하는 것부터도 어려운 작업이라고 한다. 여러 모로 평가가 어려운 성질의 공격이 바로 이 여론 조작 공격이다.
맨디언트의 분석가들은 이런 공격의 배후에 있는 단체 몇몇을 식별해 내는 데에는 성공했다. 그 중 하나는 APT28로, 미국 정부와 일부 보안 업체들은 러시아의 첩보 기관인 GRU와 깊은 연관성이 있을 것으로 보는 단체다. 맨디언트는 이전에 APT28이 직접 만든 텔레그램 채널들을 활용해 APT 멤버들을 관찰한다고 하는데, 이를 통해 GRU가 관여하고 있다는 여러 가지 정보를 수집하는 데 성공했고, 또한 이들의 주요 목적이 우크라이나 시민들의 사기를 저하시키는 것임을 알아낼 수 있었다고 한다.
APT28 외에는 벨라루스를 근거지로 하여 활동하는 것으로 알려져 있는 고스트라이터(Ghostwriter)도 가짜뉴스를 활발히 퍼트리는 것으로 조사되고 있다. 고스트라이터는 특히 유럽의 국가와 일반 시민들을 대상으로 허위 정보 살포를 자주 하는 단체다. 지난 4월 맨디언트는 고스트라이터가 이전에 침해해두었던 웹사이트 하나와 여러 소셜미디어 계정들을 통해 허위 정보를 살포하는 것을 발견했었다고 한다. 이 공격의 목적은 우크라이나와 폴란드, 그리고 다른 여러 나라들 사이의 신뢰를 허물어트리는 것으로 보였다.
그 다음으로 맨디언트는 ‘세컨더리 인펙션(Secondary Infektion)’이라는 허위 정보 유포 캠페인을 발견하기도 했다. 이는 러시아의 침공이 실제로 발생하기 수주 전부터 지금까지 이어져 오고 있는데, 주로 우크라이나 국민들을 공격 대상으로 삼고 있다. 전쟁에 관한 다른 소식을 주로 퍼트린다. 젤렌스키 대통령의 가짜 자살 소식도 바로 이 캠페인 배후 세력들이 여기 저기 실어다 나른 것이다. 그 외에도 러시아가 ‘나치화 되었다’고 주장하는 우크라이나 군 조직 아조브 레지먼트(Azov Regiment)가 젤렌스키를 잡아 죽이려 하고 있다는 소식 역시 만들어 퍼트렸다.
세컨더리 인펙션의 특징은 그저 가짜 이야기의 내용만 확산시키는 게 아니라는 것이다. 이들은 가짜 문건, 팸플릿, 스크린샷 등과 같은 부수적인 자료들도 정교하게 만들어낸다. 그래서 사람들이 보다 높은 확률로 속는다.
가짜 소식, 공포와 혼란을 심어
맨디언트에 의하면 위의 사례와 비슷한 캠페인이 우크라이나에서 여럿 발견되고 있다고 한다. 봇으로 만든 가짜 소셜미디어 계정들을 가지고 가상의 인물을 만들고, 이 가상의 인물들을 가지고 러시아에 유리한 소식들을 생성해서 퍼트리고 있다. 특히 우크라이나의 난민이 늘어남에 따라 폴란드 인들이 점점 분노하고 있다는 소식이 피난민들 사이에 큰 혼란을 일으키기도 했다. 이 소식에 의하면 폴란드 갱단들이 우크라이나 난민들을 납치해 장기를 강제로 빼내고, 이를 암시장에 판다고 하는데 주로 여자와 아이들로 이뤄진 피난민들은 이 때문에 적잖은 공포에 떨었었다.
주의해야 할 건 대부분의 허위 정보 캠페인이 파괴적인 성격을 띤 사이버 공격 활동과 맞물린다는 점이다. 예를 들어 젤렌스키 대통령이 항복했다는 가짜뉴스가 퍼지고 있을 때, 러시아의 해커들은 우크라이나 조직들과 기관들에 디스크 삭제형 멀웨어를 심고 있었다고 한다. 그리고 이 공격들은 젤렌스키 대통령의 UN 연설 시간 세 시간 전에 가장 극심했었다. 월스트롬은 “두 공격 사이의 연관성을 명확히 드러내는 증거가 나오지는 않았지만 관련이 없어 보이지는 않는다”고 말한다.
“이렇게 타이밍이 교묘하게 맞물리는 때가 한두 번이 아닙니다. 아직 그런 조직들 간의 유기적인 협력 관계가 명확하게 밝혀지지는 않았습니다. 하지만 아예 관계가 없다고 말하기는 힘든 우연들이 많습니다. 두 조직은 어떤 형태로든 서로 협조하는 것으로 의심되고, 그 목적은 공격의 효과를 최대한으로 거두기 위해서인 것으로 추측됩니다.” 월스트롬의 설명이다.
맨디언트의 또 다른 분석가인 샘 리델(Sam Riddell)은 “여러 허위 정보 살포 캠페인의 주요 특징 중 하나는 목적이 두 가지라는 것”이라고 지적한다. “친러 핵티비스트들의 활동을 관찰하다 보면 이들이 두 가지 목적을 동시에 추구하고 있음을 알 수 있습니다. 하나는 특정 여론을 의도적으로 조성하는 것이고, 다른 하나는 러시아에 대한 지지 세력을 늘리는 것입니다. 자신들의 메시지를 퍼트리면서 동시에 러시아에 대한 이미지를 긍정적으로 변화시키는 것이죠.”
또 하나 눈여겨 봐야 할 건 정보전 운영 자산과 인프라가 대단히 유연하게 운영되고 있다는 것이다. “전쟁이 막 발발했을 때에는 친러 성향 해커들의 공격 인프라는 순식간에 전쟁용 공격 인프라로 바뀌더군요. 일반적인 범죄용 인프라가 전부 비상 체제로 변모해 전쟁을 수행하기에 알맞게 되었습니다. 그러니 중요 이슈가 떠오를 때마다 재빨리 그것을 응용해 자신들의 가짜뉴스 재료로 삼고, 그렇게 만들어진 소식을 이슈가 다른 이슈로 덮이거나 이슈에 대한 관심이 식기 전에 퍼트릴 수 있었던 것입니다.”
또 다른 보안 업체 니소스(Nisos)도 이번 주 맨디언트의 그것과 비슷한 내용의 보고서를 만들어 발표했다. 프론톤(Fronton)이라는 사물인터넷 봇넷에 관한 것이었다. 이 보고서에 의하면 프론톤은 러시아의 정보 기관인 FSB의 지휘 아래 몇 년 전에 만들어진 것으로 보이며, 봇넷의 가장 주요한 목적은 가짜뉴스와 허위 소식을 전 세계로 퍼트리는 것이라고 한다. 니소스에 의하면 프론톤의 운영자들은 트렌드가 되고 있는 소셜미디어 행사들까지도 실시간으로 찾아내 공격에 반영시킬 수 있는 웹기반 대시보드까지 가지고 있었다고 한다. 이 대시보드의 이름은 사나(SANA)였다.
프론톤과 사나에 관한 소식은 핵티비스트 단체인 디지털 레볼루션(Digital Revolution)이 봇넷 개발에 참여한 누군가의 시스템에 침투한 뒤 관련 문건들을 훔친 것이 공개되면서 만천하에 드러났다. 니소스의 수석 연구원인 빈카스 시지우나스(Vincas Ciziunas)는 “아직까지 러시아-우크라이나 전쟁의 상황에서 프론톤이나 나사가 사용된 사례는 찾기 힘들다”고 말한다. “다만 FSB가 프론톤과 비슷한 기술을 활용하고 있는 것 같기는 합니다. 아직 확실히 공개할 만한 정도로 조사가 진행되지는 않았지만요. 이는 조만간 좀 더 상세히 공개될 수 있을 것으로 보입니다.”
러시아는 이전부터 하이브리드전과 여론전의 대가로 알려져 있었다. 여러 나라의 선거에 개입하기 위해 소셜미디어 플랫폼을 악용하기도 했고, 물리 공격과 더불어 사이버 공격도 활발하게 활용할 줄 알고 있다. 이런 식의 전쟁 수행 능력은 곧 모든 나라들에게 요구되는 기본 소양처럼 굳어질 가능성이 높고, 이번 러시아-우크라이나 전쟁이 그런 움직임으로의 가장 중요한 계기가 될 것으로 예상된다.
글 : 자이 비자얀(Jai Vijayan), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
