파이어아이, 이란발 의혹 받는 가짜 뉴스 사이트와 SNS 계정의 여론조작 활동 공개

인텔리전스 기반 보안업체 파이어아이(FireEye: https://www.fireeye.kr)는 미국, 영국, 중남미 및 중동 지역을 대상으로 진행된 이란발(發) 영향공작(influence operation)으로 의심되는 활동을 밝혔다. 해당 활동은 가짜 뉴스 사이트 네트워크와 여러 소셜 미디어 플랫폼에 걸친 관련 계정을 통해 이란의 이익에 부합하는 정치 담론을 홍보하는 데 영향을 미친 것으로 나타났다.

이러한 담론은 주로 반(反)사우디아라비아, 반이스라엘, 친(親)팔레스타인 관련 주제뿐만 아니라, 미국의 이란 핵협정(JCPOA: 포괄적공동행동계획) 등 이란에 우호적인 특정 미국 정책에 대한 지원도 다루었다. 파이어아이가 확인한 이번 활동은 사이버 공격 현황에서 상당한 의의를 지니며, 러시아계가 아닌 공격자가 정치 담론을 형성하기 위해 온라인과 소셜 미디어를 기반으로 한 영향공작에 지속해 관여하고 있다는 사실을 나타낸다.

이란 관련 의혹받는 가짜 사이트와 소셜 미디어 계정의 활동

파이어아이가 콘텐츠를 퍼뜨린 가짜 뉴스 사이트와 SNS 계정들이 이란에 기반하고 있다는 사실을 추적해냈으며, 이러한 활동이 적어도 2007년부터 지속되어 왔을 것으로 판단하고 있다. 파이어아이는 현재도 지속적으로 관련 타 소셜 미디어 계정과 웹사이트를 조사 및 식별하고 있으며, 예로 이러한 활동의 일부로 의심되는 아랍어 권의 중동 지역에 기반한 다수의 사이트도 확인했다.

파이어아이는 출처와 소속처가 명확하지 않거나, 출처를 감추기 위해 과도한 작업을 거치는 사이트, 콘텐츠를 홍보할 때 종종 거짓된 소셜 미디어 계정을 사용하는 사이트를 일컬어 ‘가짜(inauthentic)’ 사이트라고 명명한다. 이렇듯 다양한 가짜 사이트에 게재된 콘텐츠는 다른 웹사이트의 콘텐츠와 기사를 도용했거나, 편집된 내용으로 구성된다.

주체와 목적

파이어아이 인텔리전스(FireEye Intelligence)의 정보작전(Information Operations) 분석팀은 각종 사이트 등록 정보, 소셜 미디어 계정에 이란계 연락처가 연결된 상황, 이란의 정치적 이해관계와 부합하는 콘텐츠 홍보 등 다양한 지표에 기반해 이번 활동이 이란에서 비롯되었다고 추측한다. 이에 대한 일부 근거는 다음과 같다.

  • '리버티 프론트 프레스(Liberty Front Press)'와 '인스티튜토 만께우에(Instituto Manquehue)’라는 사이트의 등록업체 이메일이 각 이란의 수도 테헤란(Tehran) 내 웹 디자이너, 이란계 사이트인 ‘gahvare.com’과 연결된 점 확인
  • 해당 사이트에 직접 연결된 다수의 트위터 계정 및 관련 계정이 이란의 국가번호(+98)와 연결
  • 버니 샌더스(Bernie Sanders) 미국 상원의원을 지지하는 미국 자유주의자로 가장한 가짜 SNS 계정이 이스라엘에 대한 팔레스타인 저항의 날로 1979년 이란에서 지정된 ‘쿠즈의 날(Quds Day)’을 적극적으로 홍보

다만, ‘영향공작’은 합법적인 온라인 활동을 최대한 유사하게 모방해 기만하는 것이 목적이기에 이란에서 비롯되었다는 의혹도 변경될 여지가 있다. 현재까지 확인된 증거를 감안하면 이란발일 가능성이 높으나, 여전히 다른 지역 내 발생, 별도의 목적을 위해 공격이 설계된 여지, 또는 가짜가 아닌 온라인 행동이 포함될 가능성이 남아 있다. 현재 이러한 활동의 배후에 있는 특정 공격자, 조직 또는 실체에 대해서 명확하게 확인되지 않았다. 이전에 이란과 연계되어 일명 ‘뉴스캐스터(Newscaster)’라 불리는 APT35가 용이한 사이버 첩보 활동을 위해 가짜 뉴스 사이트와 소셜 미디어 계정을 사용했지만, 이번 활동과 APT35와의 연관성은 확인되지 않았다.

전반적으로 이번 활동의 목적은 반사우디아라비아, 반이스라엘, 친팔레스타인과 같은 이란의 정치적 이익 증진인 것으로 확인된다. 동시에 JCPOA와 같이 이란에 유리한 특정 미국 정책에 대한 지원도를 높이기 위한 것으로도 파악된다. 특히 미국 관련 활동의 경우, 반(反)트럼프 관련 주요 메시지 전파 활동과 미국 자유주의 성향을 보이는 소셜 미디어 계정의 생성을 들 수 있다. 그러나 이번 활동은 미국 이용자와 미국 정치를 넘어 광범위하게 활동해, 미국의 2018년 중간선거에 영향력을 행사하려 한 것은 아닌 것으로 보인다는 점이 주목된다.

결론

파이어아이가 확인한 이번 사항은 정치 담론을 형성하기 위해 다수의 공격자가 온라인과 소셜 미디어 위주의 영향공작을 지속적으로 활용하고 있다는 사실이다. 이러한 공작 활동은 최근 몇 년간 정보작전 관련 주요 연구대상이었던 러시아계의 활동을 훌쩍 뛰어넘는다. 파이어아이의 조사는 영향공작의 위협이 점진적으로 어떻게 진화할지, 특정한 정치적 또는 이념적 목표와 상관없이 유사한 영향력 전술(influence tactics)이 어떻게 전개될 수 있는지 소개한다.

전수홍 파이어아이 코리아 지사장은 “온라인 채널과 소셜 플랫폼은 대중적인 공론의 장이 될 수도 있지만, 동시에 여론조작 세력에게 남용될 수 있다. 파이어아이가 밝혀낸 이번 사항은 국내에서도 논란거리인 가짜 뉴스가 정치적인 목적으로 사용된 대표적인 사례로 남을 것이다”라며 “국내도 지난 지방선거 당시 정부가 SNS와 언론을 가장한 가짜 뉴스에 대해 무관용 원칙을 선언하는 등, 가짜 뉴스가 지닌 정치적인 영향력에 대해 인식이 높아지고 있다. 이에 파이어아이는 앞으로도 자사의 위협 인텔리전스를 통해, 그릇된 사이버 활동에 대한 방지와 대책 수립에 기여할 것이다”라고 밝혔다.

 

해당 내용의 원문과 리포트는 파이어아이 공식 영문 블로그

에서 확인할 수 있다.