Mandiant는 최근 중화인민공화국(RPC)의 이익에 부합하는 친중(親中) 성향의 온라인 선전 캠페인인 '드래곤브릿지(DRAGONBRIDGE) 활동을 관찰하였습니다. 이 캠페인은 미국과 동맹국의 분열을 조장하고, 미국 정치 시스템의 혼란을 야기하기 위해 다음과 같은 새로운 내러티브를 선전하고 있습니다.

• China-nexux 위협 그룹인 APT41의 배후에 미국 정부가 있다는 주장
• 2022년 미국 중간 선거 투표 방해와 미국 민주주의 절차에 대한 신뢰 저하를 유도
• 러시아와 독일을 잇는 가스 수송관인 노드스트림(Nord Stream) 폭발의 책임이 미국에 있다는 주장

드래곤브릿지는 새로운 전술을 동원해 대중의 지속적인 관심을 끌어 목표를 달성하려고 하였습니다. 새로 관찰한 전술은 다음과 같습니다.

• 영향력 있는 사이버 액터(Cyber Actor) 사칭: 중국 정부가 지원하는 해커를 폭로하는 것으로 유명한 'Intrution Truth' 그룹을 사칭하고, 이 그룹의 평판을 이용해 드래곤브릿지의 내러티브를 홍보하였습니다.
• 뉴스 기사 표절 및 위조: 드래곤브릿지는 뉴스 기사 내용을 바꾸어APT41 배후에 미국 정부가 있다는 조작된 컨텐츠를 만들어 이를 소셜 미디어, 포럼, 블로그에 홍보하였습니다. 이는 과거 단순 표절을 하던 것에 비해 전술이 더 정교해졌음을 보여줍니다.
• 목표로 삼은 대중의 구성원을 가장한 페르소나: 이전에 기업을 대상으로 한 정보 작전을 펼칠 때 관찰한 미국인 페르소나를 이번 캠페인에서는 정치 컨텐츠를 홍보하는 데 이용하였습니다.

드래곤브릿지 캠페인의 공격적인 성향과 인내심 그리고 여러 작전을 펼치는 경향을 보면 캠페인에 참여한 행위자의 의도를 알 수 있습니다. 캠페인이 끼친 파장이 미미함에도 엄청난 리소스를 투입하는 것을 멈추지 않고 동시에 여러 정보 작전을 이어가고 있습니다.

• 맨디언트는 이전에도 미국의 악의적인 사이버 활동에 관련된 드래곤브릿지의 내러티브를 관찰하였는데, 그 범위가 이번에는 APT41까지 확대된 것으로 보입니다.
• 맨디언트는 이전에도 드래곤브릿지가 인종 갈등과 사회적 불의에 대한 내러티브로 미국 사회를 비판하는 것을 관찰하였습니다. 이번에는 미국 정치 시스템을 표적으로 삼아 중간 선거 투표를 방해하려는 시도까지 이어지고 있습니다.
• 맨디언트가 이전에 관찰한 드래곤브릿지 활동과 마찬가지로 이번 캠페인은 실질적인 대중의 참여를 이끌어내는 데 실패한 것으로 보입니다.

APT41 배후로 지목하기 위해 주요 뉴스 기사를 표절하고 변경

맨디언트는 APT41 배후에 미국이 있다는 내용은 담은 영어 및 중국어 컨텐츠를 홍보하는 드래곤브릿지 관련 계정을 식별하였습니다(그림 1). 이 계정은 주장을 뒷받침하기 위해 맨디언트 및 기타 사이버 보안 조직의 뉴스, 보고, 연구를 표절하였습니다. 이 내러티브는 2022년 4월부터 이어진 악의적인 미국의 사이버 활동에 대한 주장의 연속으로 보입니다.

• 드래곤브릿지 관련 계정은 2022년 3월 맨디언트가 APT41 관련해 게시한 블로그의 내용을 담은 홍콩 언론 매체인 싱파오 데일리(Sing Tao Daily)의 기사를 조작해 '미국 해킹 그룹 APT41이 최소 6개국에 피해를 입혔다'는 이야기를 퍼뜨렸습니다. 참고로 맨디언트의 블로그 포스트 내용은 APT41이 최소 6개의 미국 주정부 네트워크를 침해했다는 것이었습니다. 싱파오 데일리의 기사 내용에서 드래곤브릿지 관련 계정은 중국을 미국으로, 미국의 주와 법무부를 국가로 단어만 바꾸었습니다.
• 다른 드래곤브릿지 관련 계정은 APT 41 활동에 대한 연구 내용을 담은 주류 매체의 뉴스 기사 단락을 표절하였고, 이 내용 뒤에 국가 안보국의 사이버 위협 활동에 대한 단락을 배치하였습니다.

또한, 드래곤브릿지는 2021년 7월 프랑스 정부가 '미국 해킹 그룹 APT31'이 수행한 것으로 의심되는 사이버 공격을 경고했다는 주장을 홍보하기 위해 자유 아시아 라디오(Radio Free Asia) 뉴스 기사를 표절해 조작하였습니다. 참고로 맨디언트는 APT31을 별도의 China-Nexus 사이버 스파이 행위로 추적을 하고 있습니다.

China-Nexus 사이버 위협 행위자를 고발하는 Intrusion Truth 사칭

APT41과 관련된 허위 컨텐츠를 퍼뜨리는 드래곤브릿지 캠페인 활동에는 Intrution Truth 사칭도 포함됩니다. Intrution Truth는 China-Nexus 사이버 위협 행위자 관련 정보를 공개하는 알려진 그룹입니다. 참고로 이 그룹은 2017년 중국 스파이 작전 배후에 있는 해커의 신원을 폭로하기 시작하며 유명세를 치르기 시작했습니다. 맨디언트는 Intrution Truth를 사칭하는 8개의 트위터 계정을 이번 드래곤브릿지 캠페인에서 식별하였습니다.

• 8개 계정은 모두 9월에 생성되었으면 동일한 프로필 사진, 이름을 사용하였습니다. 합법적인 Intrution Truth 계정과 유사한 사용자 이름을 사용한 예도 있었는데, 이 경우 그림 3과 같이 원래 트윗의 일부를 변경하였습니다. Intrution Truth 그룹이 게시한 트윗에는 China-Nexus 위협 행위자인 APT40, APT17에 대한 언급이 포함되어 있습니다. 맨디언트는 드래곤브릿지가 이들 공격 그룹과 관련해 조작한 컨텐츠를 홍보하는 것은 관찰하지 못했습니다.
• 사칭한 계정 중 일부는 다른 드래곤브릿지 캠페인의 메시지와 비슷하거나 똑같은 컨텐츠와 해시태그를 홍보하였습니다. 또한, APT41 관련해 #AllRoadsLeadtoChengdu 또는 #Chengdu404도 사용하였습니다.
• 합법적인 Intrution Truth 계정이 계시한 트윗에 응답한 드래곤브릿지 계정의 글도 있었습니다. 그 내용은 Intrution Truth이 공개한 정보에 대한 의문을 제기하는 가운데 미국 정부가 배후에 있는 악의적인 사이버 활동을 강조하는 것이었습니다.

미국 정치 시스템과 민주적 절차에 대한 불신을 조장하는 내러티브

최근 드래곤브릿지 계정은 미국 정치 시스템을 훼손하려는 의도가 담긴 내러티브를 홍보하였습니다. 주목할 점은 2022년 9월 게시한 영상물입니다. 이 계정은 미국인의 투표를 방해할 의도가 담긴 컨텐츠가 포함된 영어 비디오를 여러 플랫폼에 게시하였습니다(그림 4). 이 비디오는 투표와 미국 정부 기관의 효율성 관련해 의문을 제기하였습니다.

• 게시된 비디오는 '미국의 병폐에 대한 해결책은 누군가에게 투표하는 것이 아니라 이 비효율적이고 무력한 시스템을 근절하는 것'이라고 주장했습니다(그림 5).
• 비디오의 내러티브는 미국 의원의 생산성과 미국인의 삶에 영향을 미치는 입법 과정에 의문을 제기하였습니다.
• 또한, 법안 관련 통계를 인용해 제정된 법률의 실효성에도 의문을 제기하고, 특정 법을 예로 들어 주장을 뒷받침하였습니다.

드래곤브릿지는 정치적 내분, 당파, 양극화, 분열이 미국 민주주의의 근본이 되었다고 주장하는 내용도 게시하였습니다. 또한, 소셜 미디어에서 '내전'을 빈번히 언급하였고, 지지 정당이 다른 개인 간 대결과 FBI 수사를 정치 무기화하는 것 그리고 정치적 동기가 있는 폭력 사건을 정치 타락과 쇠락의 증거로 제시하였습니다. 이런 메시지는 드래곤브릿지의 이전 활동과 다르지 않습니다. 다만 더 공격적인 태도를 취한다는 점에서 볼 때 미국 사회의 불화를 조장하고 불만을 확산하려는 시도로 보입니다.

노르트스트림 가스 파이프라인에 대한 미국 사보타주 혐의

맨디언트는 2022년 10월 초 미국이 자국의 경제적 이익을 위해 유럽 및 NATO 동맹국을 희생시키면서 노르트스트림 가스 송유관을 폭격했다는 내러티브를 홍보하는 드래곤브릿지 계정을 관찰하였습니다(그림 6). 노르트스트림 가스 송유관은 독일을 통해 유럽 시장에 러시아 천연가스를 공급하기 위해 건설되었습니다. 드래곤브릿지 계정은 유럽의 에너지 공급국인 러시아의 자리를 미국이 대신하고자 하는 열망에 의해 폭격이 이루어졌다고 주장하였습니다. 그리고 이를 통해 에너지 문제 관련 유럽과 러시아의 화해 가능성이 사라졌다고 주장했습니다. 또한, 폭격 후 '고마워요 USA'라는 트윗을 게시했다며, 폴란드에 일부 비난을 돌렸습니다.

드래곤브릿지의 메시지는 미국이 송유관을 파괴했다는블라디미르 푸틴 러시아 대통령의 발언을 반영한 것입니다. 이 캠페인은 이전에 러시아 국영 언론과 영향력 있는 캠페인에서 홍보한 내러티브를 반영하였습니다. 우크라이나 침공 후 미국이 유럽을 괴롭혀 러시아에 제재를 가했다고 주장하는 등 2022년 초 드래곤브릿지가 추진한 다른 내러티브와 비슷한 주제를 사용하였습니다. 맨디언트는 이러한 내러티브가 미국과 동맹국을 분열시키고, 미국을 자국의 이익만을 위해 행동하는 침략자로 묘사하려는 시도로 보고 있습니다.

지속적으로 이어지고 있는 드래곤브릿지의 테마와 활동 패턴

맨디언트는 이번에 새로 식별한 계정이 이전 캠페인에서 식별한 계정과 같은 컨텐츠를 홍보하는 것을 관찰하였습니다. 예를 들어 일부 계정은 예전에 동맹국과 적대국 모두를 대상으로 하는 악의적인 사이버 활동에 대한 미국의 개입을 주장하는 이야기를 홍보하였습니다. 이들 계정은 2022년 초 맨디언트가 보고한 서구의희토류 채굴 회사를 대상으로 한 내러티브도 홍보했습니다. 이 컨텐츠에는 중국 사업가인 구오 웽이(Guo Wengui, Mike Kwok)와 중국 바이러스 학자인 옌 리멍(Yan Limeng) 박사에 대한 드래곤브릿지의 비판도 포함되어 있습니다.

2019년에 처음 추적을 시작한 이후 확인된 드래곤브릿지 활동에서 찾은 지표와 유사한 것을 이번에도 찾을 수 있었습니다.

• 스톡 사진을 포함한 다양한 온라인 소스에서 도용된 프로필 사진을 계정에서 사용(신분 은폐 시도를 암시함)
• 특정 기간으로 묶을 수 있는 계정과 컨텐츠 생성 날짜
• 임의의 숫자와 문자열이 뒤따르는 영어 이름 패턴
• 여러 계정이 유사하거나 동일한 컨텐츠를 게시

전망

드래곤브릿지 컴페인은 공격 목표 달성을 위해 새로운 전술을 동원하려는 의지를 보이고 있고, 나날이 공격성이 강해지고 있습니다. 2021년 미국에서 시위대를 동원하려면 드래곤브릿지 캠페인의 시도는 성공하지 못했습니다. 그렇지만 시민들의 실제 행동에 영향을 끼치려는 대담함을 보여준 사례였습니다. 이후에도 드래곤브릿지 캠페인은 실질적인 대중의 참여를 끌어내지 못했습니다. 그럼에도 여러 활동을 동시에 하며 다양한 내러티브를 홍보하였고, 관련해 많은 양의 컨텐츠도 만들었습니다. 이처럼 드래곤브릿지는 의도가 명확합니다. 그리고 지속해서 활동이 이어지고 있습니다. 이런 이유로 맨디언트는 드래곤브릿지는 우선순위 높은 모니터링 대상으로 보고 있습니다.