2022년 미국은 중간 선거를 치렀습니다. 맨디언트는 선거 기간 전후로 여러 국가 연합이 배후에 있는 것으로 보이는 정보 작전(Information Operation) 캠페인을 식별하였습니다. 여기에는 러시아, 중국, 이란 등이 포함됩니다. 이번 정보 작전은 미국 대통령 선거 시즌과 비교할 때 더 많은 타깃을 대상으로 하며 더욱 역동적인 내러티브 전략을 동원한 것으로 보입니다(그림 1).

• 탐지망에 걸린 정보 작전은 그 규모가 보통 수준이었습니다. 여러 작전에서 진행 중인 캠페인은 진보와 보수 양쪽 청중을 모두 대상으로 하였습니다. 그리고 내러티브는 선거 관련 내용에 집중되어 있었습니다.
• 일부 활동은 방어자를 괴롭히기 위한 수단으로 외국 인플루언스를 동원해 가짜 소식을 퍼트리는 트롤링(Trolling) 접근을 취했습니다. 이는 최소한의 자원 투입으로 최대한의 효과를 얻기 위한 것으로 보입니다.
• 몇몇 내러티브는 정치적 논쟁을 불러일으키는 이슈를 건드리려고 시도하였습니다. 또한, 대중의 관심을 끌기 좋은 선거 경합 지역을 목표로 삼기도 하였습니다.

중간 선거 시즌 전후로 진행된 정보 작전은 다양한 방식으로 전개되었습니다. 이들 캠페인이 어느 정도 영향을 끼쳤는지 측정하기 어렵지만 목표로 한 청중을 대상으로 원하는 메시지는 전달하는 데에는 제한이 이었던 것으로 보입니다. 이 포스팅을 통해 중간 선거 시즌에 관찰된 정보 작전을 폭넓은 관점에서 바라보고 이전에 보고된 정보 작전과 어떤 점이 다른지 알아보겠습니다.

친러시아 정보 작전!

맨디언트는 2022년 8월부터 미국 중간 선거를 목표로 하는 러시아와 연계된 정보 작전 활동을 식별하였습니다. 여기에는 러시아가 오랜 기간 공을 들여 정보 작전의 중요 자산으로 만든 자칭 친러시아 핵티비스트(Hacktivist)의 활동도 포함됩니다. 친러시아 정보 작전의 목표는 미국 중간 선거 결과에 대한 신뢰성 훼손이었습니다.

친러시아 핵티비스트 '러시아 사이버군'의 DDoS 공격 주장

11월 8일 선거 당일 자칭 친러시아 핵티비스트 단체인 '러시아 사이버군(Народная Cyber Армия)은 미국의 여러 조직을 대상으로 DDoS 공격을 했다고 주장했습니다. 또한, 이 단체는 미국 중간 선거 관련 내러티브 홍보에도 참여했다고 밝혔습니다. 이 주장에 대한 맨디언트의 판단은 중간 수준의 확신입니다. 100% 믿을 수 없지만 신빙성이 매우 높다고 봅니다. 그룹 텔레그램 채널의 모더레이터(@cyberarmyofRussia_reborn)는 러시아 정찰 총국(GRU)이 후원하는 위협 활동가와 작전을 조정하고 있습니다. DDoS 공격은 미국 선거를 목표로 삼은 러시아 공격 그룹의 내러티브를 홍보하려는 시도였으며, 활동 범위와 실제 끼친 영향은 제한적인 것으로 보입니다. 러시아 사이버군은 내러티브를 통해 미국인들의 머릿속에 러시아가 미국의 선거에 영향을 끼칠 수 있고, 실제로 영향을 미쳤다는 인식을 형성하려고 했을 가능성이 높습니다.

• 러시아 사이버군은 민주당 전국위원회(democrats.org) 웹 사이트에 DDoS 공격을 주장하는 텔레그램 게시물을 올렸습니다(그림 2). 이 메시지는 특정 정당을 지지한다는 주장을 담은 것이 아니라 이미 나와 있는 내러티브를 활용한 것입니다.
• 러시아 사이버군의 또 다른 텔레그램 게시물은 미시시피 국무장관의 웹 사이트 DDoS 공격을 주장하였습니다.
• 맨디언트는 이번에 관찰한 활동들을 통해 러시아 사이버군의 이전의 정보 작전과 유사성을 파악하였습니다. 러시아의 우크라이나 침공에 맞춰 결성한 러시아 사이버군은 우크라이나 단체를 표적으로 삼아 해킹, 데이터 유출, DDoS 등의 사이버 위협을 가했습니다.

선거 관련 메시지 홍보에 나선 친러시아 핵티비스트 그룹

맨디언트는 11월에 다른 친러시아 핵티비스트 그룹이 텔레그램 채널을 통해 선거 관련 컨텐츠를 게시하거나 다른 내러티브를 홍보하는 것을 추가로 확인하였습니다(그림 3). 맨디언트는 관찰한 메시지들이 러시아 사이버군이 주장하는 공격보다 중요성은 낮다고 봅니다. 다른 친러시아 핵티비스트 그룹의 활동은 악의적인 러시아 위협 행위자가 미국 선거에 영향을 낄 수 있는 인식을 구축하기 위한 노력의 연장선상에 이라 판단됩니다.

• 2022년 11월 6일 XakNet 팀은 제휴 텔레그램 채널(@xaknet_team)에 "미국 선거에서 우리 팀이 누구에게 투표하는지 누가 알려줄 것인가"라는 제목의 게시물을 올렸습니다. 러시아 사이버군과 마찬가지로 맨디언트는 XakNet 텔레그램 모더레이터가 러시아 정찰 총국이 후원하는 사이버 위협 행위자와 협력하고 있다고 보고 있습니다.
• 11월 8일 핵티비스트 집단 KillNet의 메인 텔레그램 채널(@killnet_reserves)은 여론 조사를 실시하는 다른 채널의 게시물을 홍보했습니다. 더불어 공화당과 민주당 어디를 선택할지 묻는 간이 설문 내용도 올렸습니다.
• 11월 8일 KillNet의 계열사인 어노미너스 러시아(Anonymous Russia)는 텔레그램 채널(@anon_by)에 중간 선거 관련 게시물을 올렸습니다. 어나니머스 러시아 핵티비스트 그룹은 이름이 널리 알려진 'Anonymous' 브랜드를 사용하려 한 것 같습니다. 맨디언트는 두 집단이 서로 연결되어 있는지 확인을 하지 못했습니다.

레거시 정보 자산 자산을 활용한 NAEBC 캠페인

2022년 8월 맨디언트는 이번 중간 선거 시즌 정보 작전이 NABEC(Newsroom for American and European Based Citizens) 캠페인과 관련이 있다고 보고했습니다. NABEC는 2020년 러시아 인터넷 에이전시(RIA)와 관련된 개인이 운영하던 사이트입니다. 이 사이트는 2022년 미국 중간 선거 관련 컨텐츠 홍보에 동원되었습니다.

보안 연구원과 선거 보안 담당자를 괴롭히는 트롤링

중간 선거 관련해 관찰한 캠페인은 새로운 수단과 함께 오랫동안 노출된 자산을 사용하며 보안 연구과 선거 보안 담당자를 괴롭히고자 하였습니다.

• 선거후 일부 페르소나는 '러시아 트롤(Russian Troll)'임을 냉소적으로 인정하였습니다. 한 페르소나는 배경 이미지를 미국 국기와 러시아 국기가 함께 펄럭이는 것으로 바꾸기도 하였습니다(그림 4).
• NAEBC 페르소나는 러시아 인터넷 에이전시 관계자인 Yeygeniy Prigozhin과 관련된 재단의 컨텐츠를 홍보하였습니다.
• 선거 하루 전인 11월 7일 Yeygeniy Prigozhin은 언론을 인용하며 러시아가 미국 선거에 개입한 것을 인정했다는 내용을 알렸습니다.
• 살펴본 것과 같이 눈에 띄는 수단을 사용한 것은 캠페인 운영자가 선거에 영향을 미쳤다는 인상을 주기 위함이라 볼 수 있습니다.

최근 NAEBC 활동

NAEBC의 최근 활동은 이전에 관찰한 것과 일치합니다.

• NAEBC 페르소나는 특정 인종에 메시지를 담은 Schmitx의 정치 만평 만화를 홍보했습니다(그림 5). 이를 볼 때 정보 작전 운영자는 미국 정치에 대한 이해가 꽤 깊다는 것을 알 수 있습니다. Schmitx 만화를 홍보 수단으로 사용하는 것은 NAEBC의 특성입니다.
• 10월 초 맨디언트는 NAEBC 페르소나가 Election Truth 웹 사이트(electiontruth.net)에 게시한 컨텐츠를 홍보하는 것을 관찰하였습니다. 이 웹 사이트는 중간 선거 관련 내용을 포함해 정치적으로 보수 청중을 위한 컨텐츠를 주로 게시하였습니다. Election Truth 웹 사이트 운영 배후로 특정 행위자를 지목하기에는 증거가 충분치 않습니다. 그러나 여러 NAEBC 페르소나를 사용한 점, 홍보한 내러티브에 중복이 있는 점, 컨텐츠 홍보를 위해 허위 웹 사이트를 사용한 이력 등을 종합할 때 NAEBC와의 관계를 의심할 수 있습니다.

친중국 정보 작전 ~ Rubio, Cruz 상원의원을 둘러싼 내러티브 홍보

친중국 정보 작전의 경우도 보안 연구원과 선거 보안 관계자를 괴롭히려는 시도가 있었습니다. 내러티브 측면에서는 Marco Rubio, Ted Cruz 상원의원 관련 컨텐츠가 눈에 띕니다.

DRAGONEBRIDGE

맨디언트는 10월 초 미국 중간 선거 시즌에 맞춰 중국의 정치적 이익을 도모하는 것으로 보이는 DRAGONEBRIDGE 정보 작전 캠페인에 대해 보고하였습니다. 맨디언트는 DRAGONEBRIDGE가 몇 달 동안 특정 정치인을 대상으로 한 내러티브와 함께 낙태 권리, 인플레이션 같은 정치 이슈에 초점을 맞춘 컨텐츠를 홍보하는 것을 관찰하였습니다.

상원의원에 대한 적대적 메시지

11월 7일과 11월 8일 사이 맨디언트는 DRAGONEBRIDGE 계정이 Marco Rubio, Ted Cruz 상원의원에 대한 적대적 내용이 담긴 기사를 게시하는 것을 관찰했습니다. 두 상원의원의 이름만 바뀌었을 뿐 기사 내용은 같았습니다. Marco Rubio를 겨냥한 기사의 경우 Ted Cruz 이름을 모두 바꾸었지만 실수가 하나 있었습니다. Ted Cruz의 이력인 캘거리에서 태어난 텍사스 상원의원이라는 설명 문구를 그대로 둔 것입니다.

• 맨디언트는 상원의원들이 책임을 회피하고 있고, 동물을 학대했으며, 미국 대중이 경멸하고 혐오하는 정치인이라는 주장의 기사를 관찰하였습니다.
• DRAGONEBRIDGE 계정이 홍보한 기사는 두 상원의원이 트럼프 전 대통령의 202년 대선 결과를 뒤집으려는 시도에 동참했지만, 나중에 트럼프를 배신했다고 주장했습니다.
• 한 기사는 Macro Rubio가 조장한 폴 펠로시 공격을 둘러싼 허위 사실과 음모론이 중간 선거를 앞둔 미국에 정치적 폭력을 불러올 수 있는 방아쇠가 될 수 있다고 주장했습니다.

유권자에게 Marco Rubio를 지지하도록 요청하는 메시지

11월 8일과 11월 9일 맨디언트는 영어 해시 태크 #midterm, #election를 포함한 중국어로 작성한 메시지 홍보 활동을 관찰하였습니다(그림 6). 맨디언트의 분석에 따르면 DRAGONEBRIDGE 활동은 Marco Rubio에 대한 찬성과 반대 진영 모두를 옹호하고 있습니다. 이는 유권자들 사이에 불화를 심으려는 의도라 볼 수 있습니다. 또한, 중국이 Marco Rubio에 반감을 품고 있다는 점을 감안할 때 찬성과 반대 진영을 모두 옹호한 것은 보안 분석가와 선거 보안 담당자에게 혼선을 주기 위함으로 보입니다.

미국 정치 테마 내러티브

DRAGONEBRIDGE 소셜 미디어 계정은 광범위한 미국 정치 문제와 중간 선거 관련 내러티브를 지속해서 홍보하였습니다. 게시물에 담긴 주제는 인플레이션, 파업, 낙태(그림 7), 정치 보복/폭력에 대한 것이었습니다. DRAGONEBRIDGE 계정이 게시한 한 비디오는 민주당과 공화당 사이에 악랄한 경쟁이 일어나고 있고 폴 펠로시 공격을 예로 들며 미국 사회에 분열과 적대감이 커지고 있다는 내용을 담고 있습니다. 이를 통해 알리고자 한 것은 바로 미국 대중이 정치에 대한 신뢰를 잃고 있다는 것입니다.

HaiEnergy

맨디언트가 친중국 정보 작전 캠페인 활동의 일부로 보고 있는 HaiEnergy 웹 사이트는 11월 6일 전 백악관 수석 전략가인 스티브 배넌이 2022년 미국 선거에 두 파벌 간의 투쟁에 깊이 관여했다고 주장하는 기사를 게재했습니다. 이 기사는 스티브 배넌의 법적 문제를 설명하고, 다가오는 중간 선거에서 그의 행동이 극우 성향을 보이는 대중의 분노를 유발할 것이라고 주장했습니다. 2022년 8월 HaiEnergy 관련 보고 후 맨디언트는 의심스러운 허위 웹 사이트들과 소셜 미디어 자산이 컨텐츠 홍보에 동원되는 것을 확인하였습니다.

친이란 활동

기존에 확인된 미국 청중을 대상으로 한 친이란 정보 작전의 경우도 중간 선거를 겨냥한 활동이 포착되었습니다.

EvenPolitics

맨디언트는 미국 청중을 타깃으로 하는 가짜 뉴스 사이트인 EvenPolitics를 식별하였고, 이외에도 이란의 정치적 이익을 위해 운영되는 소셜 미디어 계정과 관련 사이트를 평가하였습니다. EvenPolitics는 비즈니스 인사이드, 가디언, 힐, 뉴스위크 같은 주류 언론의 선거 관련 기사를 게재했습니다. 이들 기사는 미시간과 펜실베니아의 인종 관련 보고, 트럼프 전 미국 대통령과 DeSantis 플로리다 주지사의 관계 관련 뉴스, 공화당에서 트럼프의 역햘 같은 주제를 다루었습니다.

EvenPolitics와 연결된 것으로 확인한 트위터 계정은 2022년 초에 정지되었습니다. 이후 EvenPolitics과 연결 또는 연결된 계정을 홍보하는 추가 계정을 식별하였습니다(그림 8). 중간 선거 일주일 전 한 계정은 표절한 컨텐츠를 올렸고, 작가로 참여해 달라는 권유를 담은 메시지도 올렸습니다. 2022년 11월 Election Integrity Partnership은 EvenPolitics 관련 캠페인을 포함해 트위터가 정보 운영에 관계되어 있다고 보고했습니다. 그리고 트워터 계정과 이란 간의 연계를 평가하는 기술적 지표가 있다고 밝혔습니다.

맨디언트는 EvenPolitics라는 이름의 텔레그램 채널이 EvenPolitics 웹 사이트와 연결되어 있고, EvenPolitics의 컨텐츠를 홍보하는 것을 관찰하였습니다. 이 채널의 조회 수는 많지 않았습니다.

맨디언트는 이전에 확인하고 평가한 소셜 미디어 계정이 중간 선거 관련해 적은 수의 영어로 작성한 컨텐츠를 올리는 것도 관찰했습니다. 이들 계정은 미국에 거주하는 개인을 위장한 가짜 인물이었고, 현재 계정이 정지되었습니다. 지금까지 활성화 상태를 유지하는 계정은 좌파의 정치적 견해를 지지하는 개인의 페르소나에 맞는 컨텐츠를 계속 올리고 있습니다. 맨디언트는 미국의 보수와 진보 모두를 대상으로 컨텐츠를 홍보하는 페르소나도 관찰하였습니다.

전망

2022년 미국 중간 선거 기간 동안 맨디언트가 식별한 정보 작전은 끼친 영향이 미미한 것으로 보입니다. 하지만 이런 정보 작전이 실질적으로 끼친 영향을 측정하는 것은 매우 어렵다는 것을 알아야 합니다. 종합적으로 볼 때 이번 정보 작전은 미국 선거가 다른 국가의 위협 행위자들에게 매력적인 타깃이고, 잠재적인 위험이 될 수 있다고 할 수 있습니다. 또한, 이번 정보 작전에서는 외세의 영향력이 선거에 영향을 줄 수 있다는 내러티브 확산에 대한 위협 행위자의 의도도 확인할 수 있었습니다.