Trace Id is missing

더 넓은 범위와 높은 효율성을 보이는 동아시아의 디지털 위협

다운로드
공유
컴퓨터 앞에 앉아 있는 사람

개요

새롭게 관찰된 몇 가지 동향은 중국이 광범위한 사이버 및 영향력 공작을 수행하고 북한의 사이버 위협 행위자의 공격이 점점 더 정교해지는 등 동아시아 지역에서 빠르게 변화하는 위협 환경을 보여줍니다.

첫째, 중국 정부 산하 사이버 위협 조직은 남중국해 지역에 특히 중점을 두고 이 해상 지역을 둘러싼 정부 및 기타 중요 기관을 대상으로 한 사이버 첩보 활동을 지시했습니다. 한편, 미국 국방 부문을 표적으로 삼으며 미국 기반 시설을 조사 하는 중국의 행보는 중국의 대외 관계와 전략적 군사 목표를 위한 경쟁 우위를 확보하려는 시도를 나타냅니다.

둘째, 중국은 지난 1년 동안 영향력 공작을 통해 소셜 미디어 사용자의 호응을 더욱 효과적으로 유도해 왔습니다. 중국의 온라인 영향력 공작은 오랫동안 가짜 소셜 미디어 계정 네트워크를 통해 순전히 규모에 의존하여 사용자들에게 도달해 왔습니다. 그러나 2022년부터 중국 관련 소셜 미디어 네트워크는 소셜 미디어의 실제 사용자와 직접 소통하고 미국 선거 관련 콘텐츠에서 특정 후보자를 표적으로 삼으며 미국 유권자로 가장하기 시작했습니다. 이와 별개로 중국 정부 산하의 다국어 소셜 미디어 인플루언서 이니셔티브는 40개 이상의 언어로 성공적으로 대상 그룹의 반응을 얻고 도달 범위를 1억 300만 명 이상으로 늘렸습니다.

셋째, 중국은 지난 한 해 동안 영향력 공작 작전의 규모를 지속적으로 늘려 새로운 언어와 새로운 플랫폼으로 활동을 확대함으로써 글로벌 입지를 넓혔습니다. 소셜 미디어에서 수십 개의 웹 사이트에 수천 개의 가짜 계정을 배포하여 밈, 동영상, 메시지를 여러 언어로 퍼뜨리는 것이 작전입니다. 온라인 뉴스 미디어에서 중국 국영 미디어는 전 세계 언론 매체에 영향력을 행사하기 위해 다양한 수단을 사용하여 중국에 대한 국제 담론에서 권위 있는 지위를 능숙하고 효과적으로 확보하는 모습을 보입니다. 한 작전에서는 35개국이 넘는 곳의 재외 중국인을 대상으로 한 현지화된 뉴스 웹 사이트를 통해 중국공산당의 선전을 진행했습니다.

마지막으로, 중국과 달리 정교한 영향력 공작 행위자로서의 역량은 부족한 북한이 여전히 ​만만치 않은 사이버 위협으로 남아 있습니다. 북한은 특히 연쇄 공급망 공격, 암호화폐 탈취 등의 전술을 활용해 정보 수집과 전술적 정교함 증대에 지속적인 관심을 보여 왔습니다.

남중국해와 미국의 주요 산업에 다시 초점을 맞춘 중국의 사이버 공작

2023년 초를 기점으로 Microsoft 위협 인텔리전스는 중국 산하 사이버 위협 행위자가 세 가지 영역, 즉 남중국해, 미국 국방 산업 기지, 미국 중요 기반 시설에 특히 중점을 둔다는 점을 파악했습니다.

남중국해에서의 전략적 목표를 반영하는 중국 정부 지원 표적 설정

중국 정부와 연계되어 있는 위협 행위자들은 남중국해와 대만에 지속적인 관심을 보이고 있는데, 이는 이 지역에 대한 중국의 광범위한 경제적, 국방적, 정치적 이해관계를 반영합니다.1 영유권 주장 충돌, 양안 간 긴장 고조, 주둔 미군 증가 등이 모두 중국의 공격적인 사이버 활동의 동기가 될 수 있습니다.2

Microsoft는 남중국해 주변 국가를 표적으로 삼는 주요 위협 단체인 Raspberry Typhoon(RADIUM)을 추적해 왔습니다. Raspberry Typhoon은 중요 기반 시설, 특히 통신 시설과 연관된 정부 부처, 군사 기관, 기업을 계속해서 표적으로 삼고 있습니다. 2023년 1월부터 Raspberry Typhoon은 유난히 끈질기게 활동을 이어 왔습니다. Raspberry Typhoon은 정부 부처나 기반 시설을 표적으로 삼을 때 일반적으로 정보 수집 및 맬웨어 실행을 수행합니다. 많은 국가에서 국방 및 정보 관련 부처부터 경제 및 무역 관련 부처까지 다양한 단체가 표적이 됩니다.

Flax Typhoon(Storm-0919)은 대만섬을 표적으로 삼는 가장 주요한 위협 조직입니다. 이 조직은 주로 통신, 교육, 정보 기술, 에너지 기반 시설을 공격 대상으로 삼으며 일반적으로 맞춤 VPN 어플라이언스를 활용하여 대상 네트워크 내에 직접 침투합니다. 이와 유사하게 Charcoal Typhoon(CHROMIUM)은 대만의 교육 기관, 에너지 기반 시설, 첨단 기술 제조업을 대상으로 합니다. 2023년에는 Charcoal Typhoon과 Flax Typhoon 모두 대만군과 계약을 맺은 대만 항공우주 기관을 표적으로 삼았습니다.

국가별로 관찰된 사건을 보여 주는 남중국해 지역의 지도
이미지 1: 2022년 1월부터 2023년 4월까지 남중국해에서 관찰된 사건의 국가별 수치. 보고서 전문의 4페이지에서 이 이미지에 대해 자세히 알아보세요.

미국의 해병대 기지 건설에 따라 괌으로 관심을 돌리는 중국의 위협 행위자

Circle Typhoon(DEV-0322), Volt Typhoon(DEV-0391), Mulberry Typhoon(MANGANESE) 등 중국에 기반을 둔 여러 위협 조직들이 계속해서 미국 방위 산업 기지를 표적으로 삼고 있습니다. 이 세 조직은 때로 그 표적이 겹치기도 하지만 서로 다른 인프라와 역량을 갖춘 별개의 위협 행위자 단체입니다.3

Circle Typhoon은 자원 개발, 수집, 초기 액세스, 자격 증명 액세스를 포함하여 미국 방위 산업 기지를 대상으로 광범위한 사이버 활동을 수행합니다. Circle Typhoon은 VPN 어플라이언스를 활용하여 IT 및 미국 소재 방위 산업체를 표적으로 삼는 경우가 많습니다. Volt Typhoon도 수많은 미국 방위 산업체에 대한 정찰을 실시했습니다. 괌은 이러한 작전에서 가장 빈번하게 표적이 되는 곳 중 하나이며, 특히 괌에 위치한 위성 통신 및 전기 통신 기관이 주 대상이 됩니다.4

Volt Typhoon이 자주 사용하는 전술에는 주로 건물 기반 시설에 사용되는 소규모 사무실 및 가정용 라우터를 손상시키는 것이 포함됩니다.5 Mulberry Typhoon도 미국 방위 산업 기지를 표적으로 삼았는데, 특히 장치를 표적으로 삼는 제로데이 익스플로잇 공격이 가장 두드러졌습니다.6 증가하는 괌 표적화는 동아시아와 가장 가까운 미국 영토인 그 위치를 고려할 때 의미가 깊으며 괌에서의 미국 전략에 있어서 매우 중대합니다.

미국의 중요 기반 시설을 표적으로 삼는 중국의 위협 조직

Microsoft는 지난 6개월 동안 여러 부문의 미국 중요 기반 시설과 중요한 자원 개발지를 표적으로 삼는 중국 정부 산하 위협 조직들을 관찰해 왔습니다. Volt Typhoon은 적어도 2021년 여름부터 이 활동의 배후에 있는 ​​주요한 조직이었으며, 이 활동의 ​​범위는 아직 완전히 알려지지 않았습니다.

표적이 되는 부문에는 운송(항구 및 철도 등), 공익 설비(에너지 및 수처리 등), 의료 기반 시설(병원 등), 통신 기반 시설(위성 통신 및 광섬유 시스템 등) 등이 있습니다. Microsoft는 이 작전으로 인해 중국이 미국과 아시아 간 중요 기반 시설 및 통신을 방해할 수 있는 역량을 갖추게 될 수 있다고 평가합니다.7

미국 정부 기관을 포함해 약 25개 조직을 표적으로 삼는 중국 기반 위협 조직

중국에 기반을 둔 위협 행위자인 Storm-0558은 5월 15일부터 위조된 인증 토큰을 사용하여 미국 및 유럽 정부 기관을 비롯한 약 25개 조직의 Microsoft 고객 전자 메일 계정에 액세스했습니다.8 Microsoft는 이 작전을 성공적으로 차단했습니다. 공격의 목적은 전자 메일 계정에 대한 무단 액세스 권한을 얻는 것이었습니다. Microsoft는 이 활동이 Storm-0558의 첩보 목적에 부합했다고 평가합니다. Storm-0558은 이전에 미국과 유럽의 외교 기관을 표적으로 삼은 적이 있습니다.

중국, 전략적 파트너도 표적으로 삼다

중국이 BRI(일대일로 이니셔티브)를 통해 양자 관계와 글로벌 파트너십을 성장시키는 동안, 중국 정부 산하 위협 행위자들은 전 세계 민간 기관과 공공 기관을 대상으로 병행 사이버 공작을 수행해 왔습니다. 중국에 기반을 둔 위협 조직들은 중국공산당의 BRI 전략에 부합하는 국가를 표적으로 삼으며, 여기에는 카자흐스탄, 나미비아, 베트남 등에 위치한 기관이 포함되었습니다.9 한편, 광범위한 중국의 위협 활동은 유럽, 라틴 아메리카, 아시아 전역에 기반을 둔 외무부를 지속적으로 표적으로 삼고 있으며, 이는 경제 첩보 활동이나 정보 수집을 목적으로 할 가능성이 높습니다.10 중국이 글로벌 영향력을 확대함에 따라 관련 위협 조직의 활동 또한 뒤따를 것입니다. 최근 2023년 4월, Twill Typhoon(TANTALUM)은 아프리카와 유럽의 정부 기관뿐만 아니라 전 세계 인도주의 단체를 대상으로 한 침해 작전에 성공했습니다.

중국공산당 연계 소셜 미디어 공작으로 실제 대상 그룹 호응 증대

중국공산당과 연계된 비밀 영향력 공작은 이제 이전에 관찰된 것보다 더 큰 범위로 소셜 미디어의 대상 그룹과 성공적으로 소통하기 시작했으며, 이는 더 높아진 정교함의 수준과 온라인 영향력 공작 자산의 발전을 시사합니다. 2022년 미국 중간 선거를 앞두고 Microsoft와 업계 파트너는 중국공산당 산하 소셜 미디어 계정이 미국 유권자를 사칭하는 것을 목격했습니다. 이는 중국공산당 산하 영향력 공작의 새로운 영역입니다.11 이러한 계정은 다양한 정치적 성향의 미국인인 것으로 가장하여 실제 사용자의 댓글에 반응을 남겼습니다.

이러한 계정은 행동과 콘텐츠 모두에서 체계적으로 문서화된 중국의 IO TTP(전술, 기법, 절차)를 많이 보여 줍니다. 예를 들면 계정을 사용하여 초기 단계에서 중국어로 먼저 게시하고 나서 다른 언어로 바꾸고, 게시 직후 다른 중국 관련 자산의 콘텐츠에 반응을 남기고, '씨앗 뿌리고 증폭시키기' 상호 작용 패턴을 사용하는 것 등이 있습니다.12찾기 쉬운 컴퓨터 생성형 ID, 표시 이름, 프로필 사진을 사용했던 이전의 중국공산당 산하 위협 행위자의 영향력 공작 작전과 달리13, 더욱 정교해진 이러한 계정은 실제 사람들이 계정과 중국공산당의 관계를 숨기기 위해 가상 ID 또는 탈취한 ID를 사용해 운영합니다.

이 네트워크의 소셜 미디어 계정은 MPS(공안부) 내 엘리트 그룹인 912 특별 프로젝트 팀이 반복적으로 수행한 활동과 유사한 행동을 보여 줍니다. 미국 법무부에 따르면 이 그룹은 수천 명의 가짜 온라인 페르소나를 만들고 민주화 운동가를 표적으로 삼아 중국공산당 선전을 벌이는 악의적 소셜 미디어 댓글 부대를 운영했습니다.

대략 2023년 3월부터 서구 소셜 미디어에서 중국 영향력 공작 자산으로 의심되는 일부 계정이 생성형 AI(인공 지능)를 활용하여 시각적 콘텐츠를 만들기 시작했습니다. 비교적 높은 품질을 가진 시각적 콘텐츠는 이미 실제 소셜 미디어 사용자로부터 더 높은 수준의 호응을 이끌어 낸 바 있습니다. 이러한 이미지는 디퓨전 기반 이미지 생성의 특징을 지니고 있으며 이전 작전에서 사용되었던 어색한 시각적 콘텐츠보다 더 눈길을 사로잡습니다. AI 생성형 이미지임을 알 수 있는 흔한 특징(예: 사람 손에 손가락이 다섯 개 넘게 있는 경우)에도 불구하고 사용자는 이러한 시각적 자료를 더 많이 재공유해 왔습니다.14

동일한 Black Lives Matter 이미지를 보여 주는 소셜 미디어 게시물이 나란히 표시된 모습
이미지 2: 중국공산당 산하의 자동 계정에서 처음 업로드한 Black Lives Matter 그래픽이 7시간 후에 미국 보수 유권자를 사칭하는 계정에서 업로드되었습니다.
AI가 생성한 자유의 여신상 선전 이미지
이미지 3: 중국 영향력 공작 자산으로 의심되는 계정에서 게시한 AI 생성형 이미지의 예. 횃불을 들고 있는 자유의 여신상 손에 손가락이 다섯 개 넘게 있습니다. 보고서 전문의 6페이지에서 이 이미지에 대해 자세히 알아보세요.
언론인, 라이프스타일 인플루언서, 또래, 소수 민족 등 네 가지 인플루언서 범주가 공개적 활동에서 비밀 활동까지 이어서 배열되어 있는 모습
이미지 4: 이 이니셔티브는 해당 인물의 배경, 대상 그룹, 모집, 관리 전략에 따라 크게 네 가지 범주로 분류되는 인플루언서로 구성됩니다. 분석에 포함된 모든 개인은 고용, 여행 초대 수락 또는 기타 금전적 교환 등을 통해 중국 국영 미디어과 직접적인 관계를 맺고 있습니다. 보고서 전문의 7페이지에서 이 이미지에 대해 자세히 알아보세요.

중국 국영 미디어 인플루언서 이니셔티브

소셜 미디어에서 의미 있는 반응을 유도하는 또 다른 전략은 중국공산당의 '다국어 인터넷 인플루언서 스튜디오'(多语种网红工作室) 개념입니다.15 230명이 넘는 국영 미디어 직원과 회원이 사람이 직접 말할 때 생기는 영향력을 활용하여 모든 주요 서구 소셜 미디어 플랫폼에서 독립적인 소셜 미디어 인플루언서인 체 활동합니다.16 2022년과 2023년에도 평균 7주 간격으로 새로운 인플루언서들의 데뷔가 이어지고 있습니다. CRI(중국국제방송) 및 기타 중국 국영 미디어 그룹에 의해 모집, 훈련, 홍보되고 자금을 지원받는 이러한 인플루언서들은 전문적으로 현지화된 중국공산당 선전을 퍼뜨려 전 세계 대상 그룹과 소통해 의미 있는 반응을 얻어 내고 40개 이상의 언어를 사용해 다양한 플랫폼에서 도합 1억 300만 명 이상의 시청자에게 도달합니다.

인플루언서들은 대체로 악의성 없는 라이프스타일 콘텐츠를 게시하지만, 이는 중국공산당 선전임을 숨기고 해외에 중국의 부드러운 이미지를 심으려는 목적을 가집니다.

중국 국영 미디어의 인플루언서 모집 전략은 언론 분야(구체적으로 국영 미디어 매체)에서 일한 경험이 있는 사람들과 최근 외국어 프로그램을 졸업한 사람들이라는 두 가지 별개의 그룹을 모집하는 것으로 보입니다. 특히 CRI와 CGTN의 모회사인 차이나 미디어 그룹은 베이징외국어대학을 비롯한 중국 최고의 외국어 학교와 중국전매대학의 졸업생들을 직접 채용하는 것으로 보입니다. 대학에서 바로 채용되지 않은 사람들은 전직 언론인 및 번역가인 경우가 많으며, 인플루언서로 '리브랜딩'한 후 프로필에서 국영 미디어 소속임을 명백히 드러내는 요소를 삭제합니다.

라오스어를 사용하는 인플루언서 Song Siao가 코로나19 팬데믹 중 중국의 경제 회복에 대한 이야기를 하는 라이프스타일 브이로그를 게시합니다.
이미지 5: 라오스어를 사용하는 인플루언서 Song Siao가 코로나19 팬데믹 중 중국의 경제 회복에 대한 이야기를 하는 라이프스타일 브이로그를 게시합니다. 직접 촬영한 영상에서 그는 베이징의 한 자동차 대리점을 방문해 현지인들과 이야기를 나눕니다. 보고서 전문의 8페이지에서 이 이미지에 대해 자세히 알아보세요.
영어를 사용하는 인플루언서 Techy Rachel의 소셜 미디어 게시물
이미지 6: 보통 영어로 중국의 혁신 및 기술에 대한 내용을 게시하는 인플루언서 Techy Rachel이 본인의 콘텐츠 주제에서 벗어나 중국의 정찰용 풍선 논쟁에 대한 의견을 말합니다. 다른 중국 국영 미디어 매체와 마찬가지로 그녀는 풍선이 간첩 활동에 사용되었다는 사실을 부인합니다. 보고서 전문의 8페이지에서 이 이미지에 대해 자세히 알아보세요.

40개 이상의 언어로 전 세계 대상 그룹에 도달하는 인플루언서

이러한 정부 소속 인플루언서들이 사용하는 언어의 지리적 분포는 중국의 증가하는 국제적 영향력과 지역별 우선순위를 보여줍니다. 힌디어, 싱할라어, 파슈토어, 라오스어, 한국어, 말레이어, 베트남어 등 중국어를 제외한 아시아권 언어를 사용하는 인플루언서가 그중 가장 많은 수를 차지합니다. 영어를 구사하는 인플루언서가 두 번째로 많습니다.
중국 국영 미디어 인플루언서를 언어별로 분류한 5개의 원형 그래프
이미지 7: 중국 국영 미디어 인플루언서의 언어별 분류. 보고서 전문의 9페이지에서 이 이미지에 대해 자세히 알아보세요.

전 세계를 대상으로 하는 중국

인플루언서들은 지역을 기준으로 구분된 7개의 대상 그룹 공간(언어 집단)을 대상으로 합니다. 영어나 중국어 대상 그룹 공간에 대한 차트는 표시되어 있지 않습니다.

여러 작전을 통해 글로벌 도달 범위를 넓히는 중국의 영향력 공작

중국은 2023년에 새로운 플랫폼에서 새로운 언어로 대상 그룹에게 다가가면서 온라인 영향력 공작의 규모를 더욱 확대했습니다. 이러한 작전은 고도로 통제된 공개 국영 미디어 기구와 봇을 비롯한 은밀하거나 혼란을 야기하는 소셜 미디어 자산을 함께 활용하여 그럴듯하게 위장하고 중국공산당의 주장에 힘을 실어줍니다.17

Microsoft는 2022년 1월부터 이 글을 쓰는 시점까지도 진행 중인 스페인의 NGO(비정부기구) Safeguard Defenders를 표적으로 한 중국공산당 연계 작전을 목격했습니다. 이 기구는 50곳이 넘는 해외 중국 경찰 조직의 존재를 폭로한 후 표적이 되었습니다.18 이 작전은 여러 소셜 미디어 플랫폼과 수십 개의 웹 사이트에 걸쳐 1,800개가 넘는 계정을 배포하여 미국 및 기타 민주주의 국가를 비판하는 중국공산당 연계 밈, 동영상, 메시지를 퍼뜨렸습니다.

이 계정들은 새로운 플랫폼(Fandango, Rotten Tomatoes, Medium, Chess.com, VK 등)에서 새로운 언어(네덜란드어, 그리스어, 인도네시아어, 스웨덴어, 터키어, 위구르어 등)로 메시지를 작성했습니다. 이 작전은 그 규모와 집요함에도 불구하고 작성된 게시물이 실제 사용자로부터 의미 있는 반응을 거의 얻지 못하며, 이는 이러한 중국 네트워크 활동의 허술한 특성을 보여줍니다.

16개 언어 목록과 나란히 표시된 30개의 친숙한 기술 브랜드 로고
이미지 8: 중국공산당 연계 영향력 공작 콘텐츠는 다양한 플랫폼에서 다양한 언어로 감지되었습니다. 보고서 전문의 10페이지에서 이 이미지에 대해 자세히 알아보세요.
나란히 표시된 대만어 동영상 선전의 화면 캡처 예시
이미지 9: 대만어로 대만 정부가 베이징에 '항복'할 것을 촉구하는 동영상 게시물이 대량으로 공유되고 있습니다. 노출 횟수와 공유 횟수 간의 큰 차이가 조작된 영향력 공작 활동의 특징을 잘 드러내고 있습니다. 보고서 전문의 10페이지에서 이 이미지에 대해 자세히 알아보세요.

베일에 싸인 중국공산당 뉴스 웹 사이트의 글로벌 네트워크

중국공산당과 연계된 영향력 공작의 확대된 범위를 보여주는 또 다른 디지털 미디어 작전은 전 세계 모든 중국어 미디어에서 권위 있는 지위를 확보하겠다는 중국공산당의 목표를 지지하는, 주로 중국어를 사용하는 50개 이상의 뉴스 웹 사이트로 구성된 네트워크입니다.19 전 세계의 다양한 재외 중국인 커뮤니티를 대상으로 하는 대체로 독립적이고 소속이 없는 웹 사이트임을 표방하고 있음에도 불구하고 Microsoft는 이러한 웹 사이트들이 중국공산당의 UFWD(통일전선공작부)와 연계되어 있다고 높은 확신을 가지고 평가합니다. UFWD는 기술 지표, 웹 사이트 등록 정보, 공유 콘텐츠를 기반으로 특히 '재외 중국인'과의 연락을 통해 중국 국경 너머까지 중국공산당의 영향력을 강화하는 일을 담당하는 기관입니다.20
전 세계 재외 중국인을 대상으로 하는 20개가 넘는 중국 웹 사이트의 로고가 포함된 세계 지도
이미지 10: 이 미디어 전략의 일부로 평가되는 전 세계 재외 중국인을 대상으로 하는 웹 사이트의 지도.  보고서 전문의 11페이지에서 이 이미지에 대해 자세히 알아보세요.

이러한 사이트 중 다수는 IP 주소를 공유하기 때문에 Microsoft Defender 위협 인텔리전스를 사용하여 도메인 확인을 쿼리해 더 많은 네트워크 내 사이트를 찾을 수 있었습니다. 웹 사이트 다수는 프런트엔드 웹 HTML 코드를 공유하는데, 코드에 포함된 웹 개발자 주석도 여러 웹 사이트에서 동일한 경우가 많습니다. 30곳이 넘는 사이트가 UFWD의 미디어 대행사인 CNS(중국신문사)의 '100% 지분 소유 자회사'가 제공하는 동일한 API(애플리케이션 프로그래밍 인터페이스)와 콘텐츠 관리 시스템을 활용하고 있습니다.21 중국 산업정보기술부의 기록을 보면 이 UFWD 계열 기술 회사와 다른 관련 회사가 이 네트워크에 최소 14개의 뉴스 사이트를 등록한 사실을 추가로 알 수 있습니다.22 이러한 방식으로 자회사 및 제3자 미디어 회사를 활용함으로써 UFWD는 직접적인 관련성을 숨기면서 전 세계 대상 그룹에 다가갈 수 있습니다.

이러한 웹 사이트들은 독립적인 뉴스 제공업체를 표방하면서 동일한 중국 국영 미디어 기사를 자주 재게시하고 종종 해당 콘텐츠의 원본 출처라고 주장하기도 합니다. 이 사이트들은 국제 뉴스를 광범위하게 다루고 일반적인 중국 국영 미디어 기사를 싣지만 정치적으로 민감한 주제는 중국공산당의 주장에 압도적으로 부합하게 작성합니다. 예를 들어 이 웹 사이트 네트워크 내 수백 개의 기사는 코로나19 바이러스가 포트 데트릭 기지에 있는 미군 생물학 연구소에서 제조된 생물 무기라는 거짓 주장을 퍼뜨립니다.23 또한 코로나19 바이러스가 중국이 아닌 미국에서 기원했다고 주장하는 중국 정부 관료의 성명과 국영 미디어 기사가 자주 유포됩니다. 이러한 웹 사이트들은 중국공산당의 통제가 중국어 사용 미디어 환경에 어느 정도까지 침투하여 공산당이 민감한 주제에 대한 비판적 보도를 검열할 수 있게 되었는지를 보여줍니다.

여러 사이트에 게시된 중복 기사의 코드 다이어그램
이미지 11: 지역 고유의 웹 사이트인 것으로 보이지만 동일한 콘텐츠를 공유합니다. 이 코드 다이어그램은 여러 사이트에 게시된 중복 기사를 보여줍니다. 보고서 전문의 12페이지에서 이 이미지에 대해 자세히 알아보세요.
중국신문사 기사가 이탈리아, 헝가리, 러시아, 그리스의 독자를 대상으로 하는 웹 사이트에 어떻게 다시 게시되었는지를 보여 주는 스크린샷
이미지 12: 중국신문사와 기타 중국 국영 미디어는 'WHO, 우크라이나에 있는 미국의 비밀 생물 연구소를 폭로하는 성명 발표'라는 제목의 기사를 게재했습니다. 이후 이 기사는 헝가리, 스웨덴, 서아프리카, 그리스의 독자를 대상으로 하는 웹 사이트들에 게시되었습니다. 보고서 전문의 12페이지에서 이 이미지에 대해 자세히 알아보세요.

중국 국영 미디어의 글로벌 영향력

위에 설명한 작전의 경우 그 모호함을 주목해야 하는 한편, 명백한 중국 국영 미디어 웹 사이트들은 중국공산당이 통제하는 미디어의 전 세계 독자/시청자 수 대부분을 차지합니다. 외국어를 사용하여 확장하고,24 해외에 중국 국영 미디어국을 개설하고,25 정부의 주장과 결을 같이하는 콘텐츠를 무료로 제공함으로써26 중국공산당은 전 세계 여러 국가의 뉴스 미디어에 선전을 주입하여 '담론력'(话语权)의 범위를 확대합니다.27
중국공산당의 공개 선전 생태계를 간단히 보여 주는 조직도
이미지 13: 중국공산당의 공개 선전 생태계 일부를 구성하는 부처와 단체를 간단히 보여주는 조직도. 보고서 전문의 13페이지에서 이 이미지에 대해 자세히 알아보세요.

중국 국영 미디어 웹 사이트로의 트래픽 측정

Microsoft의 AI for Good Lab은 중국 정부가 과반수 지분을 소유한 매체로 이동하는 중국 외부 사용자의 트래픽 흐름을 측정하는 지수를 개발했습니다. 이 지수는 2022년 6월에 도입된 RPI(러시아 선전 지수)와 같이 인터넷의 전체 트래픽 중 이러한 사이트를 방문하는 트래픽의 비율을 측정합니다.28

5개 도메인이 중국 국영 미디어 소비에서 우위를 점하고 있으며, 전체 중국 국영 미디어 페이지 조회 수의 약 60%를 차지

중국 미디어 소비를 보여 주는 그래픽
전체 보고서의 14페이지에서 이 이미지에 대해 자세히 알아보기

이 지수를 통해 시간에 따른 중국 국영 미디어 매체의 상대적인 성공 추세를 지역별로 이해할 수 있습니다. 예를 들어 ASEAN(동남아시아국가연합) 회원국 중에서 싱가포르와 라오스는 중국 국영 미디어 웹 사이트로의 상대적 트래픽이 3위 브루나이보다 두 배 이상 높습니다. 필리핀은 싱가포르와 라오스보다 30배 적은 중국 국영 미디어 웹 사이트 트래픽을 기록하며 가장 낮은 순위를 차지했습니다. 중국어가 공식 언어인 싱가포르에서 보이는 높은 중국 국영 미디어 소비는 중국어로 된 뉴스에 미치는 중국의 영향력을 나타냅니다. 라오스에는 중국어 사용자 수가 훨씬 적다는 점이 라오스 내 중국 국영 미디어의 상대적인 성공 추세에 반영되었습니다.

가장 많이 방문한 도메인인 PhoenixTV의 홈페이지 스크린샷
이미지 14: 전체 페이지 조회 수의 32%를 차지하는 가장 많이 방문한 도메인인 PhoenixTV의 홈페이지. 보고서 전문의 14페이지에서 이 이미지에 대해 자세히 알아보세요.

점점 더 정교해지는 사이버 공작을 통해 정보를 수집하고 국가를 위한 수익을 창출하는 북한

북한의 사이버 위협 행위자는 (1) 국가의 적으로 인식되는 한국, 미국, 일본의 활동에 대한 정보를 수집하고, (2) 자국의 군사력을 강화하기 위해 다른 국가의 군사 능력에 대한 정보를 수집하고, (3) 국가를 위한 암호화폐 자금을 수집하는 것을 목표로 사이버 공작을 수행합니다. 지난 1년 동안 Microsoft는 여러 개별 북한 위협 행위자들 간에 표적이 더 많이 중복되고 북한 위협 활동 조직이 더욱 정교해지는 것을 관찰했습니다.

핵무인수중공격정의 시험과 함께 해양 기술 연구에 중점을 두는 북한의 사이버 우선순위

지난 1년 동안 Microsoft 위협 인텔리전스는 북한 위협 행위자들 사이에서 표적이 더 많이 중복되는 것을 관찰했습니다. 예를 들어 북한의 위협 행위 집단 세 곳 Ruby Sleet(CERIUM), Diamond Sleet(ZINC), Sapphire Sleet(COPERNICIUM)은 2022년 11월부터 2023년 1월까지 해양 및 조선 부문을 표적으로 삼았습니다. Microsoft는 이전에 여러 북한 활동 집단에서 이 정도로 표적이 중복되는 것을 관찰한 바가 없었으며, 이는 당시 북한 정부가 해양 기술 연구를 최우선 과제로 삼았음을 암시합니다. 북한은 2023년 3월 한미 자유의 방패(Freedom Shield) 군사 훈련을 앞두고 경고 차원에서 잠수함에서 동해 방향으로 전략순항미사일 두 발을 시험 발사했다고 밝혔습니다. 그 달 말과 다음 달, 북한은 북한 동해안에서 동해 방향으로 해일 핵무인수중공격정 2대에 대한 시험을 진행했다고 주장했습니다. 이러한 해양 군사 능력 시험은 북한 사이버 집단 세 곳이 정보 수집을 위해 해양 방어 기관을 표적으로 삼은 직후에 이루어졌습니다.

북한 정권의 최우선순위 수집 요구 사항에 따른 위협 행위자들의 방산업체 침해 작전

2022년 11월부터 2023년 1월까지 Microsoft는 Ruby Sleet와 Diamond Sleet이 방산업체를 침해한 두 번째 중복 표적화 사례를 관찰했습니다. 두 위협 행위 집단은 독일과 이스라엘 소재의 무기 제조사 두 곳을 해킹했습니다. 이는 북한 정부가 군사력 향상을 위한 최우선순위 수집 요건을 충족하기 위해 여러 위협 행위자 집단을 한 번에 배정하고 있음을 시사합니다. Diamond Sleet은 2023년 1월부터 브라질, 체코, 핀란드, 이탈리아, 노르웨이, 폴란드의 방산업체를 상대로도 침해 작전을 벌였습니다.
북한이 가장 많이 표적으로 삼은 방위산업을 국가별로 보여 주는 원형 차트
이미지 15: 2022년 3월부터 2023년 3월까지 이뤄진 북한의 국가별 방위산업 표적화

여전히 ​​북한의 정보 수집 표적으로 남아 있는 러시아 정부와 방위산업

다수의 북한 위협 행위자들이 최근 러시아 정부와 방위산업을 표적으로 삼으면서 동시에 우크라이나 전쟁에서 러시아에 물자 지원을 제공했습니다.32 2023년 3월 Ruby Sleet은 러시아의 항공우주 연구소를 해킹했습니다. 또한 Onyx Sleet(PLUTONIUM)은 3월 초 러시아의 한 대학 소유 장치를 해킹했습니다. 이와 별개로 Opal Sleet(OSMIUM)의 공격자 계정은 같은 달 러시아 외교 정부 기관에 속한 계정에 피싱 이메일을 보냈습니다. 북한의 위협 행위자들은 러시아가 우크라이나 전쟁에 주의를 집중한 틈을 타 러시아 기관에 대한 정보 수집을 수행할 기회로 활용하고 있을 수 있습니다.

암호화폐 탈취, 공급망 공격 등을 통해 더욱 교묘한 작전을 펼치는 북한 조직

Microsoft는 북한 활동 집단들이 암호화폐 탈취와 공급망 공격을 통해 점점 더 정교한 작전을 펼치고 있다고 평가하고 있습니다. 2023년 1월, FBI(미국 연방수사국)는 2022년 6월에 Harmony의 Horizon Bridge에서 미화 1억 달러 상당의 암호화폐를 도난당한 사건의 유력한 용의자로 Jade Sleet(DEV-0954), 즉 Lazarus Group/APT38을 꼽았습니다.33 또한 Microsoft는 2022년에 있었던 미국 소재 금융 기술 회사의 공급망 손상을 활용한 2023년 3월 3CX 공급망 공격을 Citrine Sleet(DEV-0139)의 소행이라고 밝혔습니다. Microsoft가 기존 공급망 손상을 이용하여 또 다른 공급망 공격을 수행하는 활동 집단을 관찰한 것은 이번이 처음이며, 이는 북한의 사이버 공작이 점점 더 정교해지고 있음을 보여 줍니다.

전문가가 외교 정책 인사이트를 제공하도록 유인하는 효과적인 스피어피싱 전술을 펼치는 Emerald Sleet

Emerald Sleet(THALLIUM)은 지난 1년 동안 Microsoft가 추적한 가장 활동적인 북한의 위협 행위 단체로 남아 있습니다. Emerald Sleet은 정보 수집 목적으로 빈번하고 집요하게 전 세계 한반도 전문가에게 스피어피싱 이메일을 보내고 있습니다. 2022년 12월 Microsoft 위협 인텔리전스는 미국 및 미국 동맹국의 영향력 있는 북한 전문가를 표적으로 삼은 Emerald Sleet의 피싱 작전에 대해 자세히 설명했습니다. Microsoft는 Emerald Sleet이 악성 파일이나 악성 웹 사이트 링크를 배포하는 것이 아닌 독특한 전략을 사용한다는 사실을 알아냈는데, 이 전략이란 공신력 있는 학술 기관 및 NGO를 사칭하여 피해자들이 북한과 관련된 외교 정책에 대한 전문적인 인사이트와 논평을 회신으로 제공하도록 유인하는 것입니다.

역량: 영향력

북한은 지난 1년 동안 YouTube, TikTok 등의 동영상 공유 소셜 미디어 플랫폼에서 제한적인 영향력 공작을 수행했습니다.34 YouTube에서 활동하는 북한 인플루언서들은 대부분 어린 소녀와 여성으로(11세 정도의 아이도 있음), 일상 생활에 대한 브이로그를 게시하고 정권에 대한 긍정적인 인상을 퍼뜨리고자 합니다. 일부 인플루언서는 더 넓은 범위의 글로벌 시청자들에게 다가가기 위해 영상에서 영어를 사용합니다. 북한의 인플루언서는 중국 국영 미디어가 지원하는 인플루언서에 비해 훨씬 낮은 효과성을 보입니다.

지정학적 긴장으로 인한 사이버 활동과 영향력 공작 전망

중국은 최근 몇 년간 사이버 역량을 지속적으로 강화해 왔으며 영향력 공작 작전에서 훨씬 더 큰 야망을 보여 왔습니다. 단기적으로 북한은 북한의 정치, 경제, 국방 이익과 관련된 목표에 계속 집중할 것입니다. 우리는 모든 대륙에서 중국공산당의 지정학적 목적에 대한 반대자와 지지자 모두를 대상으로 하는 더 광범위한 사이버 첩보 활동이 있을 것임을 알 수 있습니다. 중국 기반 위협 단체가 계속해서 주목할 만한 사이버 역량을 개발하고 활용하고 있지만 해킹 및 유출 작전을 수행하는 이란 및 러시아와 달리 중국이 사이버 공작과 영향력 공작을 결합한 사례는 관찰된 적이 없습니다.

다른 악의적 영향력 공작 행위자들과 비교가 되지 않는 규모로 활동하는 중국 연계 영향력 공작 행위자들은 향후 6개월 동안 몇 가지 주요 동향과 사건을 발판으로 삼을 태세를 갖추고 있습니다.

첫째, 동영상과 영상 매체를 활용한 작전이 일반화되고 있습니다. 중국공산당 산하 네트워크는 오랫동안 AI 생성형 프로필 사진을 이용해 왔으며, 올해는 시각적 밈에 AI 생성형 이미지를 활용해 왔습니다. 또한 정부의 지원을 받는 행위자들은 계속해서 민간 콘텐츠 스튜디오와 홍보 회사를 활용하여 필요에 따라 선전을 아웃소싱할 것입니다.35

둘째, 중국은 계속해서 실제 사용자의 반응을 얻어 내려 할 것이고, 이를 위해 발전된 소셜 미디어 자산에 시간과 자원을 투자할 것입니다. 깊은 문화적 및 언어적 지식을 갖추고 높은 품질의 동영상 콘텐츠를 만드는 인플루언서들은 성공적으로 소셜 미디어 반응을 얻는 데 선구자 역할을 해왔습니다. 중국공산당은 소셜 미디어 사용자와의 상호 작용, 문화적 지식 공유를 비롯한 이러한 전술을 적용하여 물밑 소셜 미디어 작전을 강화할 것입니다.

셋째, 대만과 미국은 특히 2024년에 있을 두 나라의 선거와 관련하여 중국 영향력 공작의 최우선순위로 남을 가능성이 높습니다. 중국공산당과 연계된 영향력 공작 행위자들이 최근 미국 선거를 표적으로 삼았다는 점을 고려하면, 그러한 표적화가 반복될 것이라는 점은 거의 확실합니다. 미국 유권자를 사칭하는 소셜 미디어 자산은 더 높은 수준의 정교함을 보여주며 미국을 강하게 비판하는 콘텐츠를 통해 인종적, 사회경제적, 이념적 노선을 따라 적극적으로 불화의 씨를 뿌릴 가능성이 높습니다.

  1. [1]
  2. [2]

    필리핀에 기지가 새롭게 건설됨에 따라 필리핀 내 주군 미군 증가: https://go.microsoft.com/fwlink/?linkid=2262254

  3. [3]

    현재로서는 이 단체들을 하나로 묶을 증거가 부족합니다.

  4. [4]
  5. [5]
  6. [6]
  7. [7]
  8. [8]
  9. [9]
  10. [10]
  11. [11]
  12. [12]
  13. [13]
  14. [14]
  15. [15]
  16. [16]
    https://go.microsoft.com/fwlink/?linkid=2262092https://go.microsoft.com/fwlink/?linkid=2262093. 이 통계에는 2023년 4월 기준 데이터가 반영되어 있습니다.
  17. [17]
    https://go.microsoft.com/fwlink/?linkid=2262359https://go.microsoft.com/fwlink/?linkid=2262520. 이러한 영향력 공작 행위자들은 'Spamouflage Dragon'이나 'DRAGONBRIDGE'라고 불리기도 합니다.
  18. [18]
  19. [19]
  20. [20]

    참고: 영향력 귀속 파악을 위한 Microsoft 위협 분석 센터의 프레임워크: https://go.microsoft.com/fwlink/?linkid=2262095. 재외 중국인은 일반적으로 중국 정부에 의해 华侨(huaqiao, 화교)라고도 불리며, 이는 중국 시민권이나 혈통을 가지고 중국 외부에 거주하는 사람들을 말합니다. 재외 중국인에 대한 중국 정부의 해석과 관련된 자세한 내용:  https://go.microsoft.com/fwlink/?linkid=2262777

  21. [21]
  22. [22]
  23. [23]

    중국 정부는 코로나19 팬데믹이 시작될 때 이 음모론을 퍼뜨렸습니다. 참고:  https://go.microsoft.com/fwlink/?linkid=2262170. 이러한 주장을 퍼뜨리는 이 네트워크 내 웹 사이트: https://go.microsoft.com/fwlink/?linkid=2262438https://go.microsoft.com/fwlink/?linkid=2262259https://go.microsoft.com/fwlink/?linkid=2262439

  24. [24]
  25. [25]
  26. [26]
  27. [27]
  28. [28]

    우크라이나 방어: 사이버 전쟁으로부터 일찍이 얻은 교훈: https://go.microsoft.com/fwlink/?linkid=2262441

  29. [29]
  30. [30]

    学习强国(xuexi qiangguo, 학습강국)의 또 다른 해석은 '시(Xi)를 배워 나라를 강하게 하라'입니다. 이 이름은 시진핑의 성(Xi)을 사용한 일종의 말장난입니다. 중국의 정부, 대학, 기업에서는 이 앱의 사용을 강력하게 장려하며 부하 직원이 이 앱을 잘 사용하지 않으면 창피를 주거나 처벌하기도 합니다. 참고: https://go.microsoft.com/fwlink/?linkid=2262362

  31. [31]

    이 신문은 상하이 연합 미디어 그룹이 소유하고 있으며, 이 그룹은 상하이 공산당 위원회가 소유하고 있습니다. https://go.microsoft.com/fwlink/?linkid=2262098

  32. [32]
  33. [33]
  34. [34]
  35. [35]

    중국공산당은 이전에 SEO 조작 기술, 가짜 좋아요와 팔로워 및 기타 서비스를 통해 영향력 공작 작전을 지원하는 민간 부문 회사에 투자한 바 있습니다. 구매 문서에 해당 입찰 내역이 나와 있습니다. 참고: https://go.microsoft.com/fwlink/?linkid=2262522

사이버 영향력 공작 동아시아 국가 단위 보고서 국가 단위 보고서 피싱 위협 행위자

관련 기사

Volt Typhoon, LOTL 기술로 미국의 중요 인프라를 표적 삼다

중국 정부가 후원하는 위협 행위자인 Volt Typhoon이 은밀히 잠입하는 기술을 사용해 미국의 중요 인프라를 표적으로 삼고 첩보 활동을 하며 손상된 환경에 상주하는 것으로 관찰되었습니다.
자세히 알아보기

디지털 시대의 정치적 선동: 사이버 영향력 공작이 신뢰를 무너뜨리는 법

국가 단위 행위자가 민주주의의 번성에 필수적인 신뢰할 수 있는 정보를 위협하기 위해 설계된 정치적 선동 내용을 배포하는 사이버 영향력 공작에 대해 살펴보세요.
자세히 알아보기

사이버 기반 영향력 공작으로 전환하여 더 큰 효과를 노리는 이란

Microsoft 위협 인텔리전스는 이란의 사이버 기반 영향력 공작이 늘어나고 있음을 발견했습니다. 새로운 기법에 대한 세부 정보와 향후 위협이 발생할 가능성이 있는 위치에 대한 위협 관련 인사이트를 얻으세요.
자세히 알아보기

Microsoft Security 팔로우