하마스를 지원하기 위해 사이버 지원 영향 작전을 급격히 늘린 이란

이란의 사이버 및 영향력 공작은 10월 7일 하마스의 테러 공격 이후 여러 단계에 걸쳐 진행됐습니다. 이란의 공작에서 한 가지 요소는 계속 유지됩니다. 기회주의적 사이버 표적화와 종종 영향의 정확성 또는 범위를 곡해하는 영향력 공작의 조합입니다.

이 보고서는 2023년 10월 7일부터 2023년 말까지 이란의 영향력 및 사이버 지원 영향력 공작에 중점을 두고 2023년 봄까지 거슬러 올라가며 추세와 공작을 다룹니다.

이란 그룹은 이스라엘과 하마스의 전쟁 초기 단계에 반응적이었습니다. 이란 국영 매체는 자신들이 했다고 주장하는 사이버 공격의 세부 사항에 대해 잘못된 정보를 발행했으며, 이란 그룹은 과거 공작의 이전 자료를 재사용하고, 전쟁 전에 보유했던 액세스를 활용하고, 사이버 공격의 전반적인 범위와 영향력을 과장했습니다.

전쟁이 시작되고 약 4개월 동안 Microsoft는 자사 데이터에서 이란 그룹이 하마스의 10월 7일 이스라엘 공격에 맞춰 사이버 또는 영향력 공작을 조직했음을 나타내는 명확한 증거를 발견하지 못했습니다. 오히려 이란 사이버 행위자가 반응적이었으며, 하마스가 이스라엘에 맞서 공격을 시작한 뒤부터 이란의 사이버 및 영향력 공작이 급증했음을 보여주는 Microsoft 데이터와 조사 결과가 더 많습니다.

국영 매체를 통한 공격 주장의 거짓 세부 정보: 
전쟁이 발발한 날 이슬람혁명수비대(IRGC)와 연계된 이란 매체 Tasnim News Agency는 “Cyber Avengers”라는 그룹이 하마스의 공격과 “동시에” 이스라엘 발전소에 대한 사이버 공격을 감행했다고 거짓으로 주장했습니다. ² IRGC가 운영하는 사이버 페르소나인 Cyber Avengers는 하마스의 급습 전날 저녁에 이스라엘 전력 회사에 대해 사이버 공격을 감행했다고 주장했습니다.³ 이들이 내세운 증거는 몇 주 전 언론에서 보도된 “최근 수년간” 발생한 정전과 날짜가 기록되지 않은 회사 웹사이트 서비스 중단 스크린샷이었습니다. ⁴

과거 자료 재사용: 
하마스의 이스라엘 공격 이후 Cyber Avengers는 이스라엘을 대상으로 일련의 사이버 공격을 감생했다고 주장했습니다. 그중 초기 공격은 Microsoft의 조사에 의해 거짓으로 드러났습니다. 10월 8일 Cyber Avengers는 이스라엘 발전소에 대한 문서를 유출했다고 주장했지만 해당 문서는 2022년 7월 다른 IRGC의 사이버 페르소나 ‘Moses Staff’가 발행한 것입니다.⁵

기보유 액세스 활용: 
이란의 정보보안부(MOIS)에서 운영하는 것으로 추정되는 또 다른 사이버 페르소나 ‘Malek Team’은 10월 8일 이스라엘 대학의 개인 정보 데이터를 유출하면서 공격 대상과 현재 진행 중인 분쟁에 대한 그 어떠한 관련점도 명시하지 않았습니다. 이는 공격 대상이 기회주의적이며 전쟁 전에 보유하고 있던 액세스를 기반으로 선택됐을 가능성을 시사합니다. 초기 Malek Team은 유출된 데이터와 하마스의 작전 지원 간의 관련점을 제시하기보다 X(구 Twitter)에서 해시태그를 활용하여 하마스를 지지했으며, 이 메시지를 불과 며칠 뒤 다른 이란 영향력 공작에서 보였던 베냐민 네타냐후 이스라엘 총리 비난 메시지와 일치하도록 바꿨습니다.

Microsoft가 Storm-0784라고 추적하고 있는 IRGC의 Shahid Kaveh Group은 10월 18일 맞춤형 랜섬웨어를 사용하여 이스라엘 보안 카메라를 대상으로 사이버 공격을 수행했습니다. 그런 다음 소유한 사이버 페르소나 중 하나인 “Soldiers of Solomon”이 네바팀 공군 기지의 보안 카메라와 데이터에 랜섬웨어를 심었다고 거짓으로 주장하게 했습니다. Soldiers of Solomon이 유출한 보안 영상을 검토하면 해당 영상은 네바팀 공군 기지가 아니라 텔아비브 북쪽 마을에 있는 동명의 네바팀 거리를 촬영한 것임을 알 수 있습니다. 실제로 피해 위치를 분석하면 군사 기지 근처는 전혀 없다는 사실이 드러납니다(그림 5 참조). 이란 그룹이 파괴적 공격을 시작하는 한편, 그들의 공작은 대체로 기회주의적으로 유지됐으며 계속 영향력 활동을 활용하여 공격의 정확도 또는 효과를 과장했습니다.

10월 21일, IRGC 그룹의 또 다른 사이버 페르소나인 Cotton Sandstorm(구 Emennet Pasargad)은 시나고그의 디지털 디스플레이를 훼손하는 공격자 영상을 이스라엘의 가자 지구 작전이 “학살”이라는 메시지와 함께 공유했습니다. ⁷ 이는 취약한 대상에 대한 사이버 공격에 메시지를 직접 삽입하는 수법입니다.

이 단계에서 이란의 영향력 공작은 보다 광범위하고 정교한 거짓 증폭 형식을 활용했습니다. 개전 후 첫 2주 동안 Microsoft는 거짓 증폭 형식을 거의 탐지하지 못했습니다. 이는 공작이 반응적이었음을 시사합니다. 개전 3주차에 이란에서 가장 활동이 활발한 영향력 행위자 Cotton Sandstorm은 10월 21일 3건의 사이버 지원 영향력 공작을 개시하며 모습을 드러냈습니다. 그룹에서 종종 보듯이 이들은 소셜 미디어 다중 계정 네트워크를 활용하여 공작을 증폭하지만, 상당수는 성급하게 정체를 바꾸느라 자신들을 이스라엘인으로 진정성 있게 사칭하지 못하는 것으로 드러납니다. Cotton Sandstorm은 많은 경우 진정성 강화를 위해 탈취한 계정을 활용하여 공작을 증폭하거나 자랑하는 텍스트 메시지 또는 전자 메일을 대량으로 전송합니다.⁸

이란 그룹은 11월 말부터 사이버 지원 영향력을 이스라엘 밖으로 넓혀 이스라엘을 지지한다고 여겨지는 국가들까지 대상에 포함했습니다. 이는 이스라엘 군사 작전에 대한 국제 사회의 정치적, 군사적, 경제적 지지를 막기 위한 것일 가능성이 높습니다. 이러한 대상 확장은 이란이 후원하는 예맨의 시아파 군사 그룹 후티가 이스라엘과 관련된 국제 해운을 공격하기 시작한 시기와 일치합니다(이미지 8 참조).⁹

최근 단계에서 이란의 사이버 지원 영향력 공작은 정교함 측면에서도 성장을 계속했습니다. 다중 계정 일부의 이름을 변경하거나 프로필 사진을 바꿔 보다 진정성 있게 이스라엘인처럼 보이게 함으로써 사칭의 수준을 높였습니다. 한편 AI를 메시지의 핵심 구성 요소로 사용하는 등 그동안 이란 행위자에게서 볼 수 없었던 새로운 기법을 활용했습니다. Microsoft는 12월 Cotton Sandstorm이 ‘For Humanity’라는 페르소나로 위장하여 UAE를 비롯한 여러 지역에서 스트리밍 TV 서비스를 손상시켰다고 평가합니다. For Humanity는 그룹이 Telegram에서 3가지 온라인 스트리밍 서비스를 해킹하고 AI 생성된 앵커가 등장하는 가짜 뉴스 보도로 여러 뉴스 채널을 손상시키는 영상을 발행했습니다. 이 뉴스 보도는 이스라엘 군사 작전으로 인해 팔레스타인인들이 부상당하고 살해당하는 이미지를 보여줬습니다(이미지 7 참조).¹⁴UAE, 캐나다, 영국의 뉴스 매체와 시청자들은 BBC 등 스트리밍 TV 프로그래밍에서 손상을 보고했으며, 이는 For Humanity의 주장과 일치합니다.¹⁵

이란은 정보 공간에서 자국의 목표를 달성하기 위해 지난 9개월 동안 네 가지 영향력 전술, 기법, 절차(TTP)에 크게 의존해 왔습니다. 여기에는 사칭 및 강화된 대상 그룹 활성화 능력 활용, 문자 메시지 캠페인 활용 증가, IRGC 연계 매체를 통한 영향력 공작 증폭 등이 포함됩니다.

이스라엘 활동가 그룹 및 이란 파트너 사칭 
이란 그룹은 보다 구체적이면서 믿음을 주는 페르소나를 개발하여 이란의 아군과 적을 모두 사칭하면서 오랜 사칭 기법을 활용하고 있습니다. 이란의 과거 공작 및 페르소나 상당수는 팔레스타인을 위해 활동하는 운동가를 가장했습니다.²⁷ 최근 Microsoft에서 Cotton Sandstorm이 운영하는 것으로 추정하는 한 페르소나의 공작은 하마스의 군사 부문인 al-Qassam Brigades의 이름과 로고를 활용하여 가자에 붙잡힌 인질에 대한 거짓 메시지를 퍼뜨리고 이스라엘인들에게 협박 메시지를 전송했습니다. 이스라엘군 병력을 협박하고 이들의 개인 정보를 유출한 또 다른 Telegram 채널도 al-Qassam Brigades의 로고를 사용했습니다. Microsoft는 MOIS 그룹이 이 채널을 운영한다고 추정합니다. 이란이 하마스의 동의 하에 활동하고 있는지는 명확하지 않습니다.

이와 유사하게 이란은 이스라엘 정치 스펙트럼의 좌우 진영에서 아주 그럴듯한 가상의 이스라엘 운동가 조직을 만들었습니다. 이란은 이 가짜 운동가들을 통해 이스라엘 공동체에 침투하여 신뢰를 얻고 불화를 조장하고자 합니다.

이스라엘의 활동 자극 
4월과 11월에 이란은 이스라엘인들을 부지불식간에 이란의 거짓 공작을 옹호하는 현장 활동에 참여하게 만드는 데 여러 번 성공했습니다. 최근의 한 작전인 ‘Tears of War’에서 이란 측은 이스라엘인을 설득하여 AI로 생성된 것으로 보이는 네타냐후의 이미지가 그려진 Tears of War 브랜드 깃발을 이스라엘 마을에 걸고 네타냐후의 사퇴를 촉구하는 활동을 하게 만든 것으로 알려졌습니다(이미지 11 참조).²⁸

문자 및 전자 메일을 통한 증폭의 빈도와 정교함 증가 
이란의 영향력 공작이 대상 그룹에 도달하기 위해 계속해서 조직적인 거짓 소셜 미디어 증폭에 크게 의존하는 가운데, 이란은 사이버 지원 영향력 공작의 심리적 효과를 강화하기 위해 대량의 문자 메시지와 전자 메일을 더 많이 활용하고 있습니다. 다중 계정을 사용한 소셜 미디어에서의 증폭 활동이 발휘하는 영향력은 개인의 받은 편지함이나 휴대폰에 표시되는 메시지와 다릅니다. Cotton Sandstorm은 2022년부터 활용된 이 기법의 과거 성공을 바탕으로²⁹ 8월부터 최소 6개 공작에서 대량의 문자 메시지와 전자 메일을 보내고 있습니다. 이러한 기법의 활용이 증가한 것은 그룹이 이 기법을 효과적이라고 보고 역량을 더욱 개발했음을 시사합니다. 지난 10월 Cotton Sandstorm의 ‘Cyber Flood’ 공작은 이스라엘인들에게 최대 3개 세트의 문자 메시지 및 전자 메일을 대량으로 발송하여 사이버 공격 주장을 증폭하거나 디모나 인근의 이스라엘 핵 시설에 대한 하마스의 공격을 거짓으로 경고했습니다.³⁰최소 한 사례에서 이들은 침해된 계정을 활용하여 전자 메일의 진정성을 강화했습니다.

국영 매체 활용 
이란은 공개, 비공개 IRGC 연계 매체를 활용하여 사이버 공작 주장을 증폭하고 때로는 그 효과를 과장했습니다. 지난 9월 Cyber Avengers가 이스라엘 철도에 대한 사이버 공격을 주장한 뒤 IRGC 연계 매체는 거의 즉시 이를 증폭하며 그들의 주장을 과장했습니다. IRGC 연계 Tasnim News Agency는 다른 사건에 대한 이스라엘 언론 보도를 부정확하게 인용하며 이를 사이버 공격의 증거로 들었습니다.³¹ 이 보도는 다른 이란 국영 및 이란 연계 매체를 통해 더욱 증폭되어 사이버 공격 주장을 뒷받침하는 증거가 부족하다는 사실을 숨겼습니다.³²

영향력 공작을 위한 최신 AI 채택 
MTAC는 이스라엘과 하마스의 전쟁이 발발한 이후 이란 행위자가 AI 생성된 이미지 및 비디오를 사용하는 것을 관찰했습니다. Cotton Sandstorm과 Storm-1364, 헤즈볼라 및 하마스 연계 뉴스 매체는 AI를 활용하여 위협을 강화하고 네타냐후와 이스라엘 지도부를 비판하는 이미지를 만들었습니다.

1. 공동 작업 본격화 
이스라엘과 하마스의 전쟁이 시작되고 몇 주 동안 Microsoft는 이란 연계 그룹들이 상호 공동 작업을 통해 행위자의 성과를 강화하는 사례들을 관찰했습니다. 공동 작업은 진입 장벽을 낮춰 각 그룹이 기존 역량에 기여하도록 지원하며, 각 그룹이 도구나 기법 전체를 모두 개발하지 않아도 되도록 만듭니다.

Microsoft는 MOIS 연계 그룹인 Storm-0861과 Storm-0842가 10월 말 이스라엘에서 있었던 파괴적 사이버 공격과 12월 말 알바니아에서의 사이버 공격을 공동으로 작업했다고 추정합니다. 두 사례에서 Storm-0861이 네트워크에 대한 액세스를 제공하고 Storm-0842가 와이퍼 맬웨어를 실행한 것으로 보입니다. 이와 유사하게 2022년 7월에도 알바니아 정부에서 Storm-0861이 액세스를 획득한 뒤 Storm-0842가 와이퍼 맬웨어를 실행했습니다.

지난 10월 또 다른 MOIS 연계 그룹인 Storm-1084는 Storm-0842가 ‘BiBi’ 와이퍼를 배포한 이스라엘의 한 조직에 대한 액세스를 확보한 것으로 보입니다 ‘BiBi’라는 이름은 맬웨어가 삭제한 파일의 이름을 ‘BiBi’라는 문자열로 바꾸는 데서 유래한 것입니다. 이 파괴적 공격에서 Storm-1084가 수행한 역할은 명확하지 않습니다. Storm-1084는 또 다른 MOIS 연계 조직인 Mango Sandstorm(또 다른 이름은 MuddyWater)의 지원을 받아 2023년 초 다른 이스라엘 조직에 대해 파괴적 사이버 공격을 수행했습니다.³³

개전 이후 Microsoft 위협 인텔리전스는 MOIS 연계 그룹 Pink Sandstorm과 헤즈볼라 사이버 부서 간의 공동 작업도 탐지했습니다. Microsoft는 인프라의 중복과 도구 공유를 관찰했습니다. 이란과 헤즈볼라의 사이버 공작 공동 작업은 전례가 없는 것은 아니지만 상당히 우려가 되는 사항입니다. 전쟁으로 인해 이러한 그룹들의 운영이 더욱 긴밀해질 수 있기 때문입니다.³⁴ 이번 전쟁에서 이란의 사이버 공격은 모두 영향력 공작과 결합되어 있으며, 이란이 본토 아랍어 화자를 활용하여 거짓 페르소나의 진정성을 강화함으로써 영향력 공작을 개선하고 도달 범위를 확장할 가능성이 있습니다.

2. 이스라엘에 대한 초점 강화 
이스라엘에 대한 이란 사이버 행위자들의 초점이 더욱 뚜렷해졌습니다. 이란은 오래 전부터 미국과 함께 자신들의 주적으로 여기는 이스라엘에 주목해 왔습니다. Microsoft 위협 인텔리전스 데이터에 따르면 지난 수년간 이스라엘과 미국 기업은 거의 항상 이란의 주된 표적이었습니다. 전쟁이 발발할 때까지 이란 행위자들은 이스라엘에 가장 중점을 두고 활동했으며, UAE와 미국이 그 뒤를 이었습니다. 전쟁 발발 이후 이스라엘에 대한 집중이 크게 강화됐습니다. Microsoft에서 추적한 이란의 국가 단위 사이버 활동 중 43%가 이스라엘을 겨냥한 것으로, 이는 차상위 14개 국가에 대한 사이버 활동을 모두 합한 것보다 많습니다.

이란의 사이버 및 영향력 공작이 제기하는 위협은 이스라엘과 하마스의 갈등이 지속됨에 따라 점점 더 커질 것이며, 특히 추가적인 전장에서 긴장이 고조되는 이 시점에는 더욱 그렇습니다. 이란 그룹은 전쟁 초기에 서둘러서 공작을 수행하거나 단순히 위조하는 데 그쳤지만, 최근 공작의 속도를 늦추면서 보다 시간을 들여 원하는 액세스를 확보하고 보다 정교한 영향력 공작을 개발하고 있습니다. 이 보고서에서 설명한 전쟁 단계를 통해 이란 사이버 및 영향력 공작이 점차 표적이 뚜렷하고, 협업적이고, 파괴적인 공작으로 천천히 발전해 왔음을 알 수 있습니다.

또한 이란 행위자는 표적 공격에서 갈수록 대담해졌으며, 특히 병원을 대상으로 사이버 공격을 수행하며 미국 정부의 인내심을 테스트하는 모습은 반발을 우려하지 않는 것으로 보입니다. IRGC의 미국 수자원 제어 체계 공격은 기회주의적이었지만 이스라엘에서 만든 장비를 공격함으로써 정당성을 주장하면서 미국을 시험하는 영리한 작전이었습니다.

2024년 11월 미국 선거를 앞두고 이란 정부와 이란 연계 그룹 간의 공동 작업이 증가하면서 선거 방어에 참여하는 이들에게 더 큰 과제로 떠오르고 있습니다. 이제 방어자들은 소수의 그룹을 추적하는 데 만족해서는 안 됩니다. 액세스 대리인, 영향력 그룹, 사이버 행위자들이 갈수록 증가하면서 보다 복잡하게 얽힌 위협 환경을 조성하고 있습니다.