지금 등록 하여 Microsoft 디지털 방어 보고서 2024의 인사이트를 제공하는 주문형 웹 세미나를 시청하세요.

동일한 표적, 새로운 플레이북: 고유한 방법을 사용하는 동아시아 위협 행위자

분홍색 배경에 그래픽 빨간색 원과 검은색 메시 요소가 있는 해군 함정의 추상적인 일러스트레이션.

Microsoft는 2023년 6월 이후 중국과 북한의 사이버 및 영향력 동향을 관찰한 결과, 익숙한 표적을 두 배로 늘렸을 뿐만 아니라 목표를 달성하기 위해 더 정교한 영향력 기술을 사용하려는 시도를 보여주는 몇 가지 주목할 만한 사이버 및 영향력 동향을 발견했습니다.

중국 사이버 행위자들은 지난 7개월 동안 크게 다음과 같은 세 가지 목표 영역을 선택했습니다.

한 그룹의 중국 행위자들은 광범위한 남태평양 제도의 기관을 표적으로 삼았습니다.
두 번째 중국 활동 그룹은 남중국해 지역 적대 세력을 향한 사이버 공격을 그치지 않았습니다.
한편, 세 번째 중국 행위자들은 미국의 방위 산업 기지를 파괴했습니다.

중국의 영향력 행위자들은 공격 대상의 범위를 지리적으로 넓히기보다는 기술을 연마하고 새로운 미디어를 실험했습니다. 중국의 영향력 캠페인은 AI 생성 콘텐츠 또는 AI 지원 콘텐츠를 지속적으로 개선했습니다. 이러한 캠페인 배후에 있는 영향력 행위자들은 전략적 내러티브에 도움이 되는 AI 생성 미디어를 확대하고, 자체 동영상, 밈, 오디오 콘텐츠를 제작하려는 의지를 보였습니다. 이러한 전술은 미국 내 분열을 조장하고 대만, 일본, 한국을 포함한 아시아 태평양 지역의 균열을 악화시키는 캠페인에 사용되었습니다. 이러한 캠페인은 단일 공식 없이 일관된 청중의 참여를 유도하는 다양한 수준의 반향을 일으켰습니다.

북한 사이버 행위자들은 지난 한 해 동안 소프트웨어 공급망 공격과 암호화폐 절도를 확대하며 주요 기사를 장식했습니다. 한반도를 연구하는 연구자들을 노린 전략적 스피어 피싱 캠페인이 꾸준히 이어졌지만, 북한 위협 행위자들은 합법적인 소프트웨어를 더 많이 사용하여 더 많은 피해자를 공격하는 것으로 나타났습니다.

남태평양 제도 전반의 정부, IT, 다국적 기업을 목표로 삼는 Gingham Typhoon

2023년 여름, Microsoft 위협 인텔리전스는 거의 모든 남태평양 섬 국가를 표적으로 삼은 중국 기반 스파이 그룹 Gingham Typhoon의 광범위한 활동을 관찰했습니다. Gingham Typhoon은 이 지역에서 가장 활발하게 활동하면서 국제 조직, 정부 기관 및 IT 부문을 공격하는 복잡한 피싱 캠페인을 실시하고 있습니다. 피해자들 중에는 중국 정부에 대한 비판적인 목소리를 내는 이들도 포함되어 있습니다.

최근 Gingham Typhoon의 활동으로 피해를 입은 중국의 외교 동맹국에는 정부 기관, 무역 관련 부서, 인터넷 서비스 제공업체, 운송 업체 등이 있습니다.

해당 지역내 지정학적, 외교적 경쟁이 치열해진 것이 이러한 공격적인 사이버 활동을 촉발하였을 수 있습니다. 중국은 남태평양 섬 국가들과 전략적 파트너십을 맺어 경제 관계를 확대하고 외교 및 안보 협정을 중개하고 있습니다. 이 지역의 중국 사이버 스파이도 경제 파트너를 따라 활동합니다.

예를 들어, 중국 행위자들은 파푸아뉴기니 정부 청사와 수도의 주요 도로를 연결하는 주요 고속도로 건설 등 여러 일대일로 이니셔티브(BRI) 프로젝트의 혜택을 받고 있으며 오랜 외교 파트너인 파푸아뉴기니의 다국적 조직을 대규모로 표적으로 삼았습니다.¹

태평양 섬 국가의 표적 사이버 위협의 빈도를 더 큰 원으로 나타내는 지도

이미지 1: 2023년 6월부터 2024년 1월까지 Gingham Typhoon에서 관찰된 사건입니다. 이 활동은 남태평양 섬 국가에 대한 지속적인 관심을 강조합니다. 그러나 이 표적의 대부분은 해당 지역에 대한 수년간의 관심을 반영하여 지속적으로 진행되어 왔습니다. 지리적 위치와 기호의 지름은 대표성을 나타냅니다.

서방의 군사 훈련 속에서도 남중국해에 집중하는 중국 위협 행위자들

중국에 기반을 둔 위협 행위자들은 지속적으로 남중국해와 그 주변에서 중국의 경제적, 군사적 이익 관련 단체를 표적으로 삼았습니다. 이러한 행위자들은 동남아시아 국가 연합(ASEAN)의 정부 및 통신 피해자들을 기회주의적으로 공격했습니다. 중국 국가 연계된 사이버 행위자들은 특히 이 지역에서 실시된 수많은 미군 군사 훈련 관련한 표적에 관심을 보이는 것으로 나타났습니다. 2023년 6월, 중국 기반 둔 국가 단위 활동 그룹인 Raspberry Typhoon은 인도네시아, 중국, 미국이 참여하는 드문 다자간 해군 훈련을 앞두고 인도네시아의 군 및 행정 기관과 말레이시아의 해양 시스템을 표적으로 삼는 데 성공했습니다.

마찬가지로 미국-필리핀 군사 훈련 관련 기관들은 또 다른 중국 사이버 행위자인 Flax Typhoon의 표적이 되었습니다. 한편, 중국에 기반을 둔 또 다른 위협 행위자인 Granite Typhoon은 이 기간에 이 지역의 통신 기관을 주로 공격하여 인도네시아, 말레이시아, 필리핀, 캄보디아, 대만에서 피해자가 발생했습니다.

Flax Typhoon에 대한 Microsoft의 블로그 게시 이후 2023년 초가을과 겨울에 필리핀, 홍콩, 인도, 미국에서 새로운 Flax Typhoon 표적이 관찰되었습니다.² 이 공격자는 통신 분야를 자주 공격하며 종종 많은 다운스트림 결과를 초래할 때도 많습니다.

아시아에서 가장 표적이 되는 지역에 대한 Microsoft 위협 인텔리전스 데이터를 표시하는 지도,

이미지 2: Flax Typhoon, Granite Typhoon, Raspberry Typhoon가 남중국해 또는 그 주변 국가를 대상으로 하는 관측된 이벤트. 지리적 위치와 기호의 지름은 대표성을 나타냅니다.

전 세계 외교 기관을 공격한 Nylon Typhoon

중국에 기반을 둔 위협 행위자인 Nylon Typhoon은 오랫동안 전 세계 각국의 외교 기관을 표적으로 삼아 왔습니다. 2023년 6월부터 12월까지 Microsoft는 브라질, 과테말라, 코스타리카, 페루 등 남미 지역의 정부 기관에서 Nylon Typhoon을 관찰하였습니다. 유럽에서도 포르투갈, 프랑스, 스페인, 이탈리아, 영국의 정부 기관을 공격하는 위협 행위자가 관찰되었습니다. 유럽 표적은 대부분 정부 기관이었지만, 일부 IT 기업도 피해를 입었습니다. 이러한 표적 공격의 목적은 정보 수집입니다.

미국의 군사 기관과 핵심 인프라를 표적으로 삼는 중국 위협 그룹

마지막으로 Storm-0062는 2023년 가을과 겨울에 갑자기 왕성하게 활동했습니다. 이 활동의 대부분은 미국 국가 안보에 중요한 항공우주, 국방, 천연자원 관련 기술 엔지니어링 서비스를 제공하는 계약업체 등 미국 국방 관련 정부 기관을 공격하는 것이었습니다. 또한 Storm-0062는 미국의 군사 기관을 반복적으로 표적으로 삼았지만, 이 그룹이 공격 시도에 성공했는지는 불분명합니다.

미국 방위 산업 기지도 계속해서 Volt Typhoon의 표적이 되고 있습니다. 2023년 5월, Microsoft는 미국의 주요 인프라 조직에 대한 공격이 중국에 기반을 둔 국가 지원 행위자인 Volt Typhoon의 행이라고 밝혔습니다. Volt Typhoon은 Living-off-the-land 기법과 직접 키보드 작업을 통해 조직의 네트워크에 액세스했습니다.³ 이러한 전술을 통해 Volt Typhoon은 표적 네트워크에 대한 무단 액세스를 은밀하게 유지할 수 있었습니다. 2023년 6월부터 2023년 12월까지 Volt Typhoon은 계속해서 중요 인프라를 표적으로 삼을 뿐 아니라 미국 전역의 소규모 사무실 및 홈 오피스(SOHO) 기기를 손상시켜 리소스 개발에 힘쓰기도 했습니다.

2023년 9월 보고서에서는 중국의 영향력 운영(IO) 자산이 생성형 AI를 사용하여 세련되고 매력적인 시각적 콘텐츠를 제작하기 시작한 방법을 자세히 설명했습니다. 여름 내내 Microsoft 위협 인텔리전스는 논란의 여지가 있는 국내 이슈를 증폭시키고 현 행정부를 비판하는 미국을 겨냥한 AI 생성 밈을 지속적으로 발견했습니다. 중국과 연계된 IO 행위자들은 연중 내내 그 규모와 빈도가 증가하는 영향력 캠페인에 AI 지원 미디어와 AI 생성 미디어(이하 'AI 콘텐츠')를 계속 사용했습니다.

AI 폭증(그래도 흔들리지 않음)

AI 콘텐츠를 가장 많이 사용하는 행위자는 중국 공산당(CCP)과 연계된 행위자로 흔히 “스팸메일” 또는 “드래곤브릿지”로 알려진 Storm-1376(Microsoft가 지정한 중국 공산당 연계 행위자)입니다. 겨울이 되자 다른 중국 공산당과 연계된 행위자들은 온라인 IO를 강화하기 위해 더욱 다양한 AI 콘텐츠를 사용하기 시작했습니다. 이 중 1월 13일 대통령 선거와 입법원 선거를 앞두고 대만 정치인이 등장하는 콘텐츠가 눈에 띄게 증가했습니다. Microsoft 위협 인텔리전스가 외국 선거에 영향을 미치기 위해 AI 콘텐츠를 사용하는 국가 단위 행위자를 목격한 것은 이번이 처음입니다.

AI 생성 오디오: 대만 선거일에 Storm-1376은 2023년 11월 대만 대선 경선에서 중도 사퇴한 대만 독립당 후보이자 폭스콘 소유주 Terry Gou의 AI 생성 오디오 클립을 게시했습니다. 이 오디오 녹음에는 대선 경선에서 다른 후보를 지지하는 Gou의 목소리가 담겨 있었습니다. Gou는 그런 발언을 한 적이 없기 때문에 녹취록에 등장하는 Gou의 목소리는 AI가 생성하였을 것입니다. YouTube는 이 콘텐츠가 상당수의 사용자에게 도달하기 전에 신속한 조치를 했습니다. 이 동영상은 같은 후보를 지지하는 Terry Gou의 가짜 편지가 온라인에 유포된 지 며칠 후 제작되었습니다. 대만의 주요 사실 확인 기관은 이 편지를 반박했습니다. Gou의 선거 캠프도 이 편지가 가짜이며 관련하여 법적 조치를 취할 것이라고 밝혔습니다.⁴ Gou는 이번 선거에서 어떤 대통령 후보도 공식적으로 지지하지 않았습니다.

중국어 텍스트와 전경에 오디오 파형 그래픽이 있는 단상에서 연설하고 있는 양복을 입은 남자

이미지 3: Storm-1376이 게시한 동영상은 Terry Gou의 AI 생성 음성 녹음을 사용하여 그가 다른 후보자를 지지하는 것처럼 보이게 했습니다.

AI 생성 앵커: 중국 기술 기업 ByteDance의 Capcut 도구를 사용하여 다른 기술 기업에서 생성한 AI 생성 뉴스 앵커는 미얀마에 대한 메시지뿐만 아니라 대만 관리들이 등장하는 다양한 캠페인에 등장했으며,⁵ Storm-1376은 적어도 2023년 2월부터 이러한 AI 생성 뉴스 앵커를 활용하고 있고,⁶ 최근 몇 달 이러한 앵커가 등장하는 콘텐츠 양이 증가했습니다.

이미지 4: Storm-1376은 미얀마의 불안이 미국과 인도의 책임이라고 주장하는 동영상을 중국어와 영어로 게시했습니다. 이러한 동영상 중 일부에는 동일한 AI 생성 앵커가 사용되고 있습니다.

AI 지원 동영상: 캐나다 정부와 다른 연구자들이 공개한 바와 같이, 캐나다 의원을 대상으로 한 캠페인에서 캐나다에 거주하는 중국 반체제 인사의 모습을 담은 AI 지원 동영상이 사용되었습니다.⁷. 이 동영상은 소셜 미디어 계정에서 캐나다 정치인을 괴롭히는 다중 플랫폼 캠페인의 일부로, 반체제 인사가 캐나다 정부에 대해 선동적인 발언을 하는 모습을 거짓으로 묘사했습니다. 이전에도 이 반체제 인사에 대해 유사한 AI 지원 동영상이 사용된 적이 있습니다.

이미지 5: 반체제 인사가 종교를 경멸하는 방식으로 말하는 AI 기반 딥페이크 동영상입니다. 캐나다 캠페인과 유사한 전술을 사용하지만 이러한 동영상은 내용 측면에서 관련이 없어 보입니다.

AI 생성 밈: Storm-1376은 12월에 당시 대만 민진당(DPP) 대선 후보였던 William Lai의 AI 생성 밈 시리즈를 홍보하며 민진당이 권좌에서 물러날 때까지 “X일”이라는 카운트다운 테마로 홍보했습니다.

두 개의 이미지가 나란히 있는 그래픽 표현(동일한 두 그림으로, 하나는 빨간색 x 표시가 있고 다른 하나는 x 표시가 없음)

이미지 6: AI가 생성한 밈이 대만 민진당 William Lai 대통령 후보가 대만의 미래 지향적인 인프라 개발 프로그램의 자금을 횡령했다고 비난합니다. 이러한 밈은 간체자(중국에서는 사용되지만, 대만에서는 사용되지 않음)를 사용하고 있으며 매일 "민진당을 권력에서 몰아내기 위한 카운트다운"을 보여주는 시리즈의 일부였습니다.

Storm-1376은 때때로 음모론적 내러티브를 담아 대응하는 메시지를 계속 보냅니다.

175개 이상의 웹사이트와 58개 언어로 영향력을 행사하는 Storm-1376은 특히 미국을 불리하게 묘사하거나 아시아 태평양 지역에서 중국 공산당의 이익을 증진하는 지정학적 사건에 대응하는 메시지 캠페인을 자주 벌여왔습니다. 2023년 9월의 마지막 보고서 이후, 이러한 캠페인은 AI 생성 사진을 사용하여 청중을 오도하고, 특히 미국 정부에 대한 음모성 콘텐츠를 자극하며, 한국과 같은 새로운 인구를 대상으로 현지화된 콘텐츠를 제공하는 등 중요한 방법으로 진화하고 있습니다.

1. 미국 정부의 “기상 무기”가 하와이 산불을 일으켰다는 주장

2023년 8월, 하와이 마우이 북서쪽 해안에서 산불이 발생했을 때 Storm-1376은 여러 소셜 미디어 플랫폼에 음모론을 퍼뜨릴 기회로 삼았습니다. 이러한 게시물은 미국 정부가 군사 등급의 “기상 무기”를 시험하기 위해 고의로 화재를 일으켰다는 주장을 펼쳤습니다. Storm-1376은 수십 개의 웹사이트와 플랫폼에 최소 31개 언어로 글을 게시할 뿐 아니라, AI로 해안 도로와 주택이 불타는 이미지를 생성 및 사용하여 더욱 눈길을 끌었습니다.⁸

이미지 8: Storm-1376은 산불이 발생한 지 며칠 만에 이 화재가 미국 정부의 "기상 무기" 테스트의 결과라고 주장하는 음모의 게시물을 올렸습니다. 이러한 게시물에는 AI가 생성한 대규모 화재 사진이 자주 첨부되어 있었습니다.

2. 일본의 핵폐수 처리에 대한 분노 증폭

Storm-1376은 2023년 8월 24일 일본이 처리된 방사성 폐수를 태평양에 방류하기 시작한 후 일본 정부를 비판하는 공격적인 메시지 캠페인을 대규모로 펼쳤습니다.⁹ Storm-1376의 콘텐츠는 방사성 폐기물 처리가 안전하다는 국제원자력기구(IAEA)의 과학적 평가에 의문을 제기했습니다. Storm-1376은 소셜 미디어 플랫폼에서 일본어, 한국어, 영어 등 다양한 언어를 사용하여 무차별적으로 메시지를 보냈습니다. 일부 콘텐츠는 미국이 “물 패권”을 유지하기 위해 의도적으로 다른 국가를 오염시켰다는 비난을 했습니다. 이 캠페인에 사용된 콘텐츠는 AI 생성으로 인한 특징이 나타납니다.

Storm-1376은 중국 국영 미디어 계열 소셜 미디어 인플루언서 등 중국 선전 생태계의 다른 주체들이 사용하는 콘텐츠를 재활용하기도 합니다.¹⁰. Storm-1376에 소속된 인플루언서와 자산은 후쿠시마 폐수 방출을 비판하는 세 개의 동일한 동영상을 업로드했습니다. 서로 다른 활동가들이 같은 콘텐츠를 사용하는 것처럼 보이는 이러한 사례는 2023년 내내 증가했으며, 이는 메시지 조정 또는 방향을 나타내기도 합니다.

풍자적인 일러스트와 고질라를 묘사한 동영상 스크린샷, 소셜 미디어 게시물의 합성 이미지

이미지 9: 중국 비밀 정보기관(왼쪽)과 중국 정부 관계자(가운데)가 후쿠시마 폐수 처리를 비판하는 AI 생성 밈과 이미지. 중국 국영 미디어에 소속된 인플루언서들도 해당 방류를 비판하는 메시지를 증폭시켰습니다(오른쪽).

3. 한국 내 불화 조장

후쿠시마 원전 폐기물 관련하여, Storm-1376은 후쿠시마 원전 폐기물에 반대하는 시위를 증폭시키는 현지화된 콘텐츠와 일본 정부를 비판하는 콘텐츠를 사용하여 한국을 집중 공략했습니다. 이 캠페인에는 카카오 스토리, 티스토리, Velog.io¹¹ 등 한국의 소셜 미디어 사이트를 포함한 여러 플랫폼과 웹사이트에 수백 개의 한국어 게시물이 포함되었습니다.

Storm-1376은 이러한 표적 캠페인의 일환으로 민주당 지도자이자 2022년 대선 후보였던 이재명(이재명, 李在明)의 발언과 행동을 적극적으로 증폭시켰습니다. 이 후보는 일본의 조치를 “오염수 테러”이자 “제2의 태평양 전쟁”에 해당한다고 비판했습니다. 그는 또한 한국의 현 정부 가 일본의 결정을 “뒷받침하는 공범”이라고 비난하며 항의로 단식 투쟁을 시작했는데 이는 24일간 지속되었습니다¹².

환경 오염과 이로 인한 해양 생물의 영향을 다루는 네 개의 패널로 구성된 만화.

이미지 10: 한국의 블로그 플랫폼인 Tistory에서 후쿠시마 폐수 처리에 대한 불만을 증폭시키는 한국어로 된 밈.

4. 켄터키 탈선

2023년 11월 추수감사절 연휴 기간에는 켄터키주 록캐슬 카운티에서 용융 유황을 운반하던 열차가 탈선했습니다. Storm-1376은 탈선 사고 약 1주일 후에 탈선 사고를 증폭시키고 반미 정부 음모론을 퍼뜨리며 미국 유권자들의 정치적 분열을 강조하는 소셜 미디어 캠페인을 시작하여 궁극적으로 미국 정부에 대한 불신과 환멸을 조장했습니다. Storm-1376은 시청자들에게 미국 정부가 탈선을 일으켰을 수도 있으며 “고의적으로 무언가를 숨기고 있는 것은 아닌지” 생각해 볼 것을 촉구했습니다.¹³ 일부 메시지는 탈선 사고를 9/11 테러와 진주만 은폐설에 비유하기도 했습니다.¹⁴

미국 정치 주제에 대한 관점을 찾는 중국 IO 꼭두각시 계정

2023년 9월 보고서에서는 중국 공산당과 연계된 소셜 미디어 계정이 다양한 정치적 스펙트럼에서 미국인으로 위장하고 실제 사용자의 댓글에 응답함으로써 미국 유권자를 사칭하기 시작했다는 점을 중점적으로 다루었습니다.¹⁵ 2022년 미국 중간선거에 영향을 미치기 위한 이러한 활동은 관찰된 중국 IO 중 첫 사례입니다.

Microsoft 위협 분석 센터(MTAC)는 중국 공산당이 운영할 것이라고 어느 정도의 확신을 가지고 평가하는 추가적인 꼭두각시 계정이 작지만 꾸준히 증가하는 것을 관찰했습니다. 이러한 계정은 X(이전의 트위터)에서 빠르면 2012년 또는 2013년에 생성되었지만 2023년 초에야 현재의 페르소나로 게시하기 시작했으며, 이는 최근에 계정을 인수했거나 용도가 변경되었다는 것입니다. 이 꼭두각시 계정들은 자체 제작한 동영상, 밈, 인포그래픽뿐만 아니라 다른 유명 정치 계정에서 재활용한 콘텐츠도 게시합니다. 이러한 계정은 주로 미국의 마약 사용, 이민 정책, 인종 갈등 등 미국 국내 이슈에 대한 게시물을 주로 올리지만, 후쿠시마 폐수 투기나 중국 반체제 인사 등 중국의 관심 주제에 대해서 댓글을 달 때도 있습니다.

전쟁과 갈등, 마약 문제, 인종 관계 등의 텍스트가 있는 컴퓨터의 스크린샷

이미지 11: 여름과 가을 내내 중국의 가짜 계정과 페르소나는 미국 정치 문제와 시사 문제를 논의할 때 게시물에 시선을 사로잡는 시각적 요소(때때로 생성형 AI를 통해 강화됨)를 자주 사용했습니다.

이러한 계정은 팔로워에게 정치적 동기가 있는 인포그래픽이나 동영상에 동의하는지를 묻기도 합니다. 이러한 계정 중에는 다양한 대선 후보에 대한 게시물을 올린 후 팔로워들에게 지지 여부를 댓글로 달라고 요청하기도 합니다. 이러한 전략은 더 많은 참여를 유도하거나 미국인들의 미국 정치에 대한 견해를 파악하기 위함일 수 있습니다. 미국 내 주요 투표층에 대한 정보 수집을 늘리기 위해 더 많은 계정이 운영되고 있을 수도 있습니다.

분할 화면 이미지 비교: 왼쪽은 항공모함에서 이륙하는 군용 제트기, 오른쪽은 장벽 뒤에 있는 한 무리의 사람들

이미지 12: 중국 가짜 계정이 X에서 다른 사용자에게 정치적 주제에 대한 의견을 구하는 모습

북한 사이버 위협 공격자들은 2023년에 수억 달러의 암호화폐를 훔치고, 소프트웨어 공급망 공격을 단행했으며, 국가 안보의 적으로 인식되는 국가를 표적으로 삼았습니다. 이들의 활동은 북한 정부, 특히 무기 프로그램을 위한 수익을 창출하고 미국, 한국, 일본에 대한 정보를 수집합니다.¹⁶

이미지 13: Microsoft 위협 인텔리전스 국가 단위 알림 데이터를 기반으로 2023년 6월부터 2024년 1월까지 북한이 가장 많이 표적으로 삼은 분야와 국가.

북한 사이버 범죄자들은 기록적인 양의 암호화폐를 탈취하여 국가 수익을 창출하고 있습니다.

유엔은 2017년 이후 북한 사이버 공격자들이 30억 달러 이상의 암호화폐를 훔친 것으로 추정합니다.¹⁷ 2023년에만 총 6억~10억 달러에 달하는 절도 사건이 발생했습니다. 이렇게 훔친 자금이 북한 핵과 미사일 프로그램의 절반 이상을 충당하므로 제재가 가해졌음에도 불구하고 북한의 무기 확산과 실험이 가능한 것으로 알려졌습니다.¹⁸ 북한은 지난 한 해 동안 수많은 미사일 시험과 군사 훈련을 실시했고 2023년 11월 21일에는 군 정찰 위성을 우주로 발사하기도 했습니다.¹⁹

Microsoft가 추적한 세 위협 행위자(Jade Sleet, Sapphire Sleet, and Citrine Sleet)는 2023년 6월 이후 그 무엇보다 암호화폐 표적에 집중했습니다. Jade Sleet은 대규모 암호화폐 절도를 수행했으며, Sapphire Sleet은 소규모이지만 더 자주 암호화폐 절도 작전을 수행했습니다. Microsoft는 2023년 6월 초 에스토니아에 본사를 둔 암호화폐 기업에서 최소 3,500만 달러를 도난당한 사건을 Jade Sleet의 소행으로 지목했습니다. Microsoft는 또한 한 달 후 싱가포르에 기반을 둔 암호화폐 플랫폼에서 1억 2,500만 달러 이상을 도난당한 사건도 Jade Sleet의 소행이라 보았습니다. Jade Sleet은 2023년 8월부터 온라인 암호화폐 카지노를 공격하기 시작했습니다.

Sapphire Sleet은 암호화폐, 벤처 캐피털 및 기타 금융 기관의 경영진과 개발자를 포함한 수많은 직원을 지속적으로 공격했습니다. Sapphire Sleet은 공격자 도메인으로 연결되는 링크가 포함된 가짜 가상 회의 초대장을 보내고 가짜 구인 웹사이트를 등록하는 등 새로운 기법을 개발하기도 했습니다. Citrine Sleet은 2023년 3월 3CX 공급망 공격의 후속 조치로 튀르키예에 기반을 둔 암호화폐 및 디지털 자산 기업을 감염시켰습니다. 피해자는 공급망 공격과 연결된 취약한 버전의 3CX 애플리케이션을 호스팅했습니다.

스피어 피싱과 소프트웨어 공급망 공격으로 IT 부문을 위협하는 북한 사이버 행위자들

북한 위협 행위자들은 IT 기업에 대한 소프트웨어 공급망 공격도 수행하여 다운스트림 고객사에 대한 접근 권한을 확보했습니다. Jade Sleet은 암호화폐 및 기술 조직의 직원을 대상으로 한 소셜 엔지니어링 스피어 피싱 캠페인에서 GItHub 리포지토리와 무기화된 npm 패키지를 사용했습니다.²⁰ 공격자들은 개발자 또는 채용 담당자를 사칭하여 표적에게 GitHub 리포지토리에 협업을 초대하고 악성 npm 패키지가 포함된 콘텐츠를 복제 및 실행하도록 유도했습니다. Diamond Sleet은 2023년 8월 독일에 기반을 둔 IT 기업의 공급망을 공격했으며, 2023년 11월에는 대만에 기반을 둔 IT 기업의 애플리케이션을 무기화하여 공급망 공격을 수행했습니다. Both Diamond Sleet과 Onyx Sleet은 모두 2023년 10월에 공격자가 원격 코드 실행 공격을 수행하고 서버의 관리 권한을 획득할 수 있는 TeamCity CVE-2023- 42793 취약점을 악용했습니다. Diamond Sleet은 이 기법을 사용하여 미국과 영국, 덴마크, 아일랜드, 독일을 포함한 유럽 국가의 다양한 산업 분야에서 수백 명의 피해자를 감염시켰습니다. Onyx Sleet은 동일한 취약점을 악용하여 호주의 소프트웨어 공급업체와 노르웨이의 정부 기관 등 10곳 이상에서 피해자를 감염시켰으며, 감염 후 툴링을 사용하여 추가 페이로드를 실행했습니다.

미국과 한국, 그리고 그 동맹국을 표적으로 삼은 북한 사이버 행위자들

북한 위협 행위자들은 계속해서 국가 안보의 적으로 인식되는 국가들을 표적으로 삼았습니다. 이러한 사이버 활동은 미국, 한국, 일본 간의 3국 동맹에 대항하려는 북한의 지정학적 목표를 잘 보여줍니다. 3국 정상은 2023년 8월 캠프 데이비드 정상회담에서 이러한 파트너십을 공고히 했습니다.²¹ Ruby Sleet 및 Onyx Sleet은 미국과 한국의 항공우주 및 방위 기관을 표적으로 삼는 추세를 이어갔습니다. Emerald Sleet은 정부, 싱크탱크/NGO, 미디어, 교육 분야의 외교관 및 한반도 전문가들에게 정찰 및 스피어피싱 캠페인을 지속했습니다. Pearl Sleet은 2023년 6월에도 탈북자 및 북한 인권 문제에 중점을 둔 활동가들과 교류하는 한국 단체를 대상으로 활동을 이어갔습니다. Microsoft는 이러한 활동의 동기가 정보 수집이라고 평가합니다.

합법적인 소프트웨어에 백도어를 구현하는 북한 행위자

북한의 위협 행위자들은 기존 소프트웨어의 취약점을 이용하여 합법적인 소프트웨어에 백도어를 사용하기도 했습니다. 2023년 상반기에 Diamond Sleet은 무기화된 VNC 맬웨어를 자주 사용하여 피해자들을 감염시켰습니다. Diamond Sleet은 또한 2023년 7월에 무기화된 PDF 리더 악성코드를 다시 사용했는데, 이 기술은 Microsoft 위협 인텔리전스가 2022년 9월 블로그 게시물에서 분석한 기술입니다.²² Ruby Sleet은 2023년 12월에도 한국 전자 문서 프로그램의 백도어 설치 프로그램을 사용한 것으로 보입니다.

악의적인 사이버 활동을 위해 AI 도구를 활용한 북한

북한의 위협 행위자들은 AI 시대에 적응하고 있습니다. 이들은 더 효율적이고 효과적인 운영을 위해 AI 대규모 언어 모델(LLM) 기반 도구를 사용하는 방법을 배우고 있습니다. 예를 들어, Microsoft와 OpenAI는 Emerald Sleet이 LLM을 활용하여 한반도 전문가를 대상으로 한 스피어피싱 캠페인을 강화하는 것을 관찰했습니다.²³ Emerald Sleet은 LLM을 사용하여 취약점을 조사하고 북한 관련 조직과 전문가를 정찰하는 데 주력했습니다. Emerald Sleet은 또한 기술 문제를 해결하고, 기본적인 스크립팅 작업을 수행하고, 스피어 피싱 메시지의 콘텐츠 초안을 작성하는 데에도 LLM을 사용했습니다. Microsoft는 OpenAI와 협력하여 Emerald Sleet과 관련된 계정 및 자산을 비활성화했습니다.

중국은 10월에 중화인민공화국 건국 75주년을 기념하며, 북한은 주요 첨단 무기 프로그램을 계속 추진할 것입니다. 한편, 인도, 한국, 미국의 유권자들이 투표장으로 향하면서 중국의 사이버 및 영향력 행위자들과 어느 정도는 북한의 사이버 활동가들이 이러한 선거를 목표로 활동할 것으로 보입니다.

중국은 최소한 이 중요한 선거에서 자국의 입지에 도움이 되는 AI 생성 콘텐츠를 제작하고 이를 확대할 것입니다. 이러한 콘텐츠가 유권자의 마음을 움직이는 데 미치는 영향은 아직 적지만, 밈, 동영상, 오디오를 증강하는 중국의 실험은 계속될 것이며, 향후에는 효과가 입증될 수도 있습니다. 중국의 사이버 행위자들은 오랫동안 미국 정치 기관에 대한 정찰을 수행해 왔지만, 우리는 영향력 있는 행위자들이 미국인들과 교류하고 미국 정치에 대한 관점을 연구하는 것을 볼 준비가 되어 있습니다.

마지막으로, 북한이 새로운 정부 정책에 착수하고 야심찬 무기 실험 계획을 추진함에 따라 국방 부문을 겨냥한 암호화폐 절도 및 공급망 공격이 점점 더 정교해져 정권에 자금을 유입하고 새로운 군사 능력 개발을 촉진하는 역할을 할 것이라 예상할 수 있습니다.

[1]

archive.is/0Vdez
[2]

“합법적 인 소프트웨어를 사용하여 대만 조직에 조용히 액세스하는 Flax Typhoon”, 2023년 8월 24일
[3]

LOTL 기술로 미국의 중요 인프라를 표적으로 삼는 Volt Typhoon, 2023년 5월 24일
[4]

錯誤】網傳「台灣阿銘的公開信」？集中投給特定陣營？非郭台銘發出”, 1 January 2024, mygopen.com/2024/01/letter.html “【假借冠名】網傳「
台灣阿銘的公開信」？”, 11 January 2024, tfc-taiwan.org.tw/articles/10143
[5]

taipeitimes.com/News/front/archives/2024/01/11/2003811930>“China is posting fake videos of president: sources”, 11 January 2024
[6]

“Deepfake It Till You Make It”, February 2023
[7]

“중국의 “스팸메일” 캠페인이 캐나다 국회의원 수십 명을 대상으로 허위 정보 캠페인을 벌인 것으로 추정”, 2023년 10월,
[8]

“중국, 새로운 기술을 사용하여 하와이 화재에 대한 허위 정보를 뿌리다,” 2023년 9월 11일
[9]

2011년 후쿠시마 제1 원전 사고로 인한 일본의 핵폐수 처리 결정에 대한 국제사회의 분노를 이끌어내기 위한 중국 정부의 지속적인 선전 캠페인이 여러 경로를 통해 문서화되었습니다. 참고 자료: 중국의 허위 정보, 후쿠시마 방류에 대한 분노를 부추기다”, 2023년 8월 31일, “중국의 선전과 은밀한 온라인 캠페인의 표적이 된 일본”, 2023년 6월 8일
[10]

“중국 국영 미디어의 글로벌 인플루언서 작전”, 2022년 1월 31일
[11]

web.archive.org/web/*/https:/gdfdhgkjhk.tistory.com/
[12]

이러한 작전은 한국 정보기관이 중국 공산당과 연계된 선전을 퍼뜨리는 별도의 웹사이트 네트워크를 공개하기 몇 달 전에 발생했으며, 한국 국가정보원(국정원)은 중국 홍보 기업 두 곳인 Haixun과 Haimai의 소행으로 보았습니다. 참고 자료: “(NCSC 합동분석협의체) 중국의 언론사 위장 웹사이트를 악용한 영향력 활동”, 2023년 11월 13일
[13]

archive.is/2pyle
[14]

471802-train-derailment-america-s-environmental-conspiracybafybeibubf4ivvsadcgy4kjvbwynjk24rmkn7h7grtado4yvetd7c2ajbe
[15]

“Sophistication, scope, and scale: 더 넓은 범위와 높은 효율성을 보이는 동아시아의 디지털 위협”, 2023년 9월
[16]

“북한 사이버 위협 개요 및 주의보”cisa.gov/topics/cyber-threats-and-advisories/advanced-persistent-threats/north-korea
[17]

“단독: 유엔 전문가들, 북한의 30억 달러 상당의 사이버 공격 58건 조사”, 2024년 2월 8일, “북한 해커, 2023년에 6억 달러의 암호화폐 절도”, 2024년 1월 5일,
[18]

“백악관, 북한 미사일 프로그램의 절반은 사이버 공격과 암호 화폐 절도로 자금을 조달한다고 밝혀”, 2023년 5월 10일
[19]

“북한, 첫 스파이 위성을 발사했다며, 앞으로 더 많은 것이 있을 것이라 주장”, 2023년 11월 22일
[20]

“보안 경고: 기술 업계 직원을 대상으로 하는 소셜 엔지니어링 캠페인”, 2023년 7월 18일
[21]

“팩트 시트: 캠프 데이비드에서 열린 삼자 정상 회담”, 2023년 8월 18일
[22]

“오픈 소스 소프트웨어를 무기화하는 ZINC”, 2022년 9월 29일
[23]

위협 행위자보다 앞서 나가기

사이버 영향력 공작 국가 단위 국가 단위 보고서 소셜 엔지니어링 위협 행위자