여러 산업과 다양한 분야에 걸쳐 보안 전문가들은 악의적인 의도를 품은 정보 작전(Information Operation) 활동을 식별하고, 이를 널리 알리는데 힘을 모읍니다. 사이버 보안 연구 조직, 정부 기관, 하계, 기업의 보안 팀, 언론사 등은 고유의 역할을 합니다. 본 포스팅은 정보 작전을 식별하고 분석하는 데 있어 맨디언트가 어떤 접근 방식을 취하고 있는지 그리고 맨디언트가 제공하는 정보 작전 관련 위협 인텔리전스를 통해 어떤 이점을 얻을 수 있는지를 소개합니다.

맨디언트는 디지털 세계에서 일어나는 다양한 활동을 추적하여 정보 작전을 식별하고, 이를 완화하는 데 도움이 되는 위협 인텔리전스를 생성합니다. 맨디언트는 악의적인 활동을 추적하며 정보 작전의 정치적 또는 재정적 동기가 무엇인지 밝히고, 해당 활동을 상세히 분석하고, 이를 세상에 널리 알리는데 중점을 두고 있습니다.

수년 동안 맨디언트는 벨라루스, 러시아, 중국, 이란 및 기타 국가가 배후에 있는 것으로 판단되는 정보 작전 캠페인을 식별하고, 분석 내용을 보고서로 공개하였습니다. 그리고 이를 통해 세계 각국 정부와 조직이 정보 작전의 잠재적인 영향을 최소화할 수 있도록 지원하였습니다. 참고로 본 포스팅에 등장하는 정보 작전 관련 주요 용어를 부록을 참고 바랍니다.

사이버 및 물리적 위험을 예측하는 정보 작전 위협 인텔리전스

정보 작전은 국가, 조직, 개인의 보안에 위협이 됩니다. 정보 작전을 통해 위협 행위자는 실제 세상에 큰 영향을 끼치기 위해 목표로 삼은 청중을 은밀하게 조정할 수 있습니다. 정보 작전 위협 인텔리전스는 민간 기업 및 공공 기관이 영향을 받을 수 있는 사이버 또는 물리적 위험에 대한 컨텍스트를 수집하는 데 도움이 됩니다. 정보 작전은 다음과 같이 다양한 악의적인 목표 달성을 위해 진행됩니다.

• 민간 기업 및 정부 기관의 평판 훼손
• 조직, 개인, 소외 계층에 대한 피해 조장
• 민주적 선거에 영향을 미치고 정치적 불안 유발
• 갈등을 겪고 있는 지역 사회 불안정화

다음 그림은 정보 작전 위협 인텔리전스의 주요 사례 중 일부를 설명하는 내용입니다.

정보 작전을 방어하려면 끊임없이 진화하는 위협 활동에 적응해야 합니다!

정보 작전이 펼쳐지면 다양한 이해관계자가 방어에 참여합니다. 정부와 서비스 제공 업체는 허위 정보 확산을 제한하여 정보 환경을 보호하려 합니다. 정보 작전을 실행하는 위협 행위자가 초기 방어선을 넘어 서면 민간 및 공공 조직은 자체 방어 메커니즘을 가동해야 합니다. 위협 행위자는 탐지를 피하기 위해 전술, 기술, 절차(TTP)를 지속해서 조정합니다. 따라서 방어자 역시 정보 작전이 끼칠 수 있는 영향을 완화하기 위해 전략을 조정해야 합니다(그림 2).

맨디언트는 정보 작전 위협 활동을 탐지하고 분석한 다음 이를 발표하여 피해를 입을 수 있는 조직이 진화하는 위협을 인식할 수 있는 컨텍스트를 제공합니다. 맨디언트는 가능할 때마다 위협 활동의 배후를 찾고, 그들의 근본적인 동기를 파악합니다. 그리고 알려진 TTP 및 행동을 기반으로 악의적인 정보의 흐름을 추적합니다.

특정 국가 정부가 연계된 정보 작전은 국제적인 제휴 네트워크를 통해 수행됩니다!

디지털 세상은 국가와 연계된 정보 작전 활동의 무대가 될 수 있습니다. 그 활동은 공식 또는 공개 채널을 통한 것부터 기만적인 전술과 자산을 활용하는 은밀한 것까지 다양합니다. 정보 작전을 펼치는 위협 행위자는 온라인 환경에서 여러 채널과 수단을 동원해 전달하고자 하는 메지지의 영향력을 키울 수 있습니다(그림 3).

맨디언트는 은밀한 방법을 사용해 악의적인 내러티브가 포함된 컨텐츠를 홍보하는 정보 작전을 찾는 데 주력하고 있습니다. 위협 행위자들은 목표로 삼은 청중에게 영향을 끼치기 위해 종종 허위 정보를 사용하거나 사실 또는 부분적으로 사실이 포함된 정보를 퍼뜨립니다. 참고로 맨디언트는 청중을 속일 의도가 없는 경우 자세히 다루지 않습니다.

• 정부의 공식 발표: 정부 부처나 기관에 속한 계정을 사용해 보도 자료, 기소 내용, 게시물을 확산합니다. 메시지에는 여론을 흔들기 위한 사실과 허위 정보가 모두 포함될 수 있습니다.
• 개별 공무원의 진술: 정부 및 관련 기관에 근무하거나 업무 관계에 있는 개인이 작성한 게시물이나 진술을 활용합니다. 이 경우 공식 정책 및 입장에서 허위 진술에 이르기까지 그 유형이 다양합니다.
• 국영 미디어: 정부가 직간접적으로 통제하거나 예산을 지원하는 국영 매체의 웹 사이트, 방송 프로그램, 소셜 미디어 등의 채널을 이용해 메시지를 확산합니다.
• 정부 연계 컨텐츠 제작자: 정부와 제휴 관계를 맺고 있는 개인 또는 단체를 활용 또는 가장해 정보 작전을 펼칩니다.
• 정보 조작: 가짜 온라인 자산 같은 기만적인 전술을 사용해 목표로 삼은 정보 환경을 조작하려는 정치적 동기를 갖는 활동입니다.

정보 작전 활동 분류

맨디언트는 동기, 규모, 공유 컨텐츠의 진실성, 국가를 배후에 둔 위협 행위자와 제휴 여부, 잠재적 영향, 기만적인 전술 사용 등을 고려해 정보 작전을 분류합니다. 맨디언트는 정보 작전 추적 관련해 다음과 같은 개념과 분류 기준을 사용합니다.

• 여러 자산을 동원하고 있다고 판단될 경우 이를 '네트워크(Network)'라고 부릅니다.
• 특정 주제와 관련된 컨텐츠를 홍보하는 네트워크의 활동을 단일 인스턴스로 구분하고 이를 '작전(Operation)'이라 부릅니다.
• 연결된 것으로 평가되는 여러 인스턴스를 묶어 '캠페인(Campaign)'이라 부릅니다.

캠페인을 수행하는 법인(예: 러시아 인터넷 연구 기관) 또는 개인(예: Roaming Mayfly, Ghostwriter, DRAGONBRIDGE)를 평가할 수 있는 충분한 근거가 있을 시 맨디언트는 해당 캠페인을 '행위자(Actor)'로 간주합니다. 경우에 따라 마케팅 회사 같은 민간 부분의 주체가 관련된 활동도 식별합니다.

때때로 사이버 범죄 또는 스파이 활동 관련해 추적 중인 알려진 위협 행위자가 관찰된 정보 작전과 겹치기도 합니다. 알려진 위협 행위자가 사용하는 계정과 손상된 웹 사이트 등을 관찰할 수 있는데요. 예를 들어 벨라루스 정부와 연관된 공격 그룹인 UNC1151이 Ghostwriter 캠페인에 기술 지원을 제공한 적이 있습니다.

정보 작전 활동을 발견하기 위해 사용하는 기술

정보 작전을 수행하는 위협 행위자는 다양한 인적, 기술적 기반과 여러 전략을 사용해 방어자의 탐지를 피하려 합니다. 이들 위협 행위자가 동원하는 전략에는 AI 기술로 생성한 딥페이크 이미지를 사용하는 것부터 시작해 멀티미디어 컨텐츠 조작, 실제 개인으로 가장하기 위한 페르소나 개발, 전략적 내러티브 홍보를 위한 웹 사이트 등을 예로 들 수 있습니다.

정보 작전 수행에 동원하는 채널들과 방대한 양의 컨텐츠 그리고 끊임없이 진화는 TTP를 고려할 때 방어자는 지속해서 다양한 기술을 탐색하고 전문 지식과 기술을 활용해 악의적인 활동을 필터링해야 합니다. 정보 작전 위협 인텔리전스가 조직에 어떤 도움을 줄 수 있는지가 궁금하다면? 맨디언트로 연락 바랍니다.

부록: 용어집