2020년 미국 대통령 선거에 대한 러시아 관련 위협

편집자 주: 다음 게시물은 보고서 전문에서 발췌한 내용입니다. 전체 분석 내용을 읽으려면 여기를 클릭하여 보고서를 PDF로 다운로드하세요.

이 보고서에서는 2020년 미국 대선과 관련된 러시아-넥서스 사이버 스파이 활동과 영향력 행사 활동에 대한 개요를 제공하며, 여기에는 지능형 지속 위협(APT) 그룹, 정보 운영(IO) 단체는 물론 대통령 후보, 정당, 선거 인프라, 미디어 플랫폼, 투표 활동, 미국 국민 전체를 겨냥한 것으로 보이는 전면 단체 및 비국가 단체의 활동도 포함됩니다. 이 보고서에 제공된 평가는 2020년 1월 1일부터 2020년 8월 25일까지 소셜 미디어 사이트, 지역 및 지역 뉴스 사이트, 학술 연구, 정보 보안 보고 및 기타 오픈 소스의 데이터와 Recorded Future Platform(® )의 콘텐츠를 기반으로 합니다. 이를 과거 데이터와 비교하여 전술, 기법 및 절차(TTP)의 변화를 파악하여 사이버 위협, 정보 작전(IO), 사이버와 IO 활동의 측면을 모두 포함하는 하이브리드 위협을 밝혀냈습니다.

Executive Summary

다가오는 선거의 위협 환경은 2016년과 2018년과 다르며, 이전에 선거를 노렸던 위협 행위자 및 활동 그룹은 대부분 방관자적 태도를 유지하고 있습니다. 그러나 2016년과 2018년과 마찬가지로 러시아는 피싱 및 사이버 공격 작전의 과거 성공, 미국의 민주주의 기관과 조직을 직접 표적으로 삼는 끈질긴 집요함, 재래식 및 소셜 미디어를 통해 미국 유권자를 대상으로 한 정보 작전 수행 등을 바탕으로 2020년 미국 대통령 선거에 가장 큰 위협이 될 수 있다는 점은 변함이 없습니다.

최근 러시아가 주도하는 대미 정보 작전은 적어도 2016년부터 계속되고 있으며, 그 활동은 국제적으로 더욱 광범위하게 이루어지고 있습니다. 또한 러시아 위협 활동 그룹은 계속해서 인프라를 확장하고 멀웨어와 익스플로잇을 개발하고 있지만, 선거 관련 단체를 표적으로 삼는 활동은 덜 활발하게 이루어지고 있습니다. 2020년 1월 이후 러시아 국가가 후원하는 해킹 및 유출 활동은 관찰되지 않았지만, 2016년 투표를 앞두고 이러한 활동이 얼마나 큰 피해를 입혔는지를 고려할 때 11월 선거 전에 유출이 나타날 가능성을 배제할 수 없습니다. 러시아 위협 행위자와 활동 그룹은 선거일까지, 심지어 선거일 이후에도 미국 유권자를 대상으로 사이버 공격을 계속하고 정보 작전을 추구할 가능성이 높습니다.

선거에 대한 원인 불명의 위협도 여전히 심각한 문제로 남아 있으며, 그중 가장 두드러진 것은 급성장하는 음모론과 그 지지자들인 QAnon 및 부갈루 운동의 형태입니다. 또한 사이버 범죄 또는 기타 요소의 비귀속적 활동은 미국 선거를 방해하거나 해를 끼칠 수 있으므로 다크 웹 및 지하 정보원에 대한 지속적인 경계가 필요합니다.

러시아가 후원하는 선거 방해 활동: 2016년 및 2018년

2016년과 2018년에 러시아 국가가 후원하는 위협 행위자들은 미국 대선 및 중간선거에 대한 전례 없는 캠페인을 진행하여 정당, 후보자, 투표와 관련된 인프라를 표적으로 삼았습니다. 로버트 뮬러 3세가 실시한 침입, 정보 작전(IO) 및 기타 대응 활동에 대한 미국 정부의 조사에 따르면, 이러한 활동은 주로 정보조사국(IRA)과 같은 조직의 지원을 받아 중앙정보국(GRU, 중앙정보국[GU]이라고도 함)과 관련된 기관이 주도한 것으로 밝혀졌습니다. 러시아군 총참모부 중앙정보국/중앙정보국은 러시아 연방 내 주요 군사 정보 기관입니다. 이 조직은 러시아 정부를 위해 전략 및 전술적 해외 정보 업무를 수행합니다. 하위 단위로 구성되며, 그 중 일부는 암호화, 신호 인텔리전스, 허위 정보 및 침입 활동에 관여합니다. IRA는 소셜 미디어 영향력 운영을 전문으로 하는 상업적 미디어 단체입니다.

위협 행위자

2016년 미국 대선을 앞두고 러시아 국가가 후원하는 3개의 지능형 지속 위협(APT) 그룹이 표적 침입 활동에 관여했으며, 이러한 위협 행위자 중 일부는 표적 침입뿐만 아니라 정보 작전에도 관여하여 '하이브리드 위협'으로도 활동했습니다. 주요 위협 행위자는 APT28, APT29, 그리고 샌드웜으로 추적되는 GRU/GU(주정보국/주정보국) 74455 유닛으로 확인되었습니다.

2016년 선거 개입에 연루된 GRU/GU 부대의 조직도 (출처: 아르스 테크니카)

APT28과 APT29는 DNC, DCCC 및 기타 선거 관련 개인과 조직에 대한 표적 침입에 관여했습니다. 또한, GRU/GU 26165 부대의 요원들은 APT28 활동과 관련하여 별도의 정보 작전 활동에 관여한 혐의로 법무부(DoJ) 기소장에서 확인되었습니다. 샌드웜 활동과 관련된 조직인 GRU/GU 74455 부대의 요원들도 선거 방해 활동(해킹 및 유출 작전 등)에 관여한 혐의로 법무부에 의해 기소되었지만, 침입의 영향을 받은 네트워크에서 샌드웜의 사용자 지정 멀웨어가 확인된 것은 없었습니다. 따라서 이 조직이 수행한 2016년 선거 방해 활동은 위협 활동 그룹 명칭(샌드웜)이 아닌 부대명(74455부대)으로 식별됩니다.

그 외에도 여러 러시아 단체가 선거 개입 활동과 연관되어 있습니다:

• 2018년 1월 25일, 네덜란드 정보국(AIVD)은 민주당 전당대회(DNC)에 대한 침입에 관여한 APT29 운영자를 식별하고 이를 러시아 대외정보국(SVR)과 연결한 정보를 공개적으로 공유했습니다. SVR은 해외 스파이 활동, 적극적 조치, 외국에서의 전자 감시 수행 등을 담당합니다.
• 또한 2018년 에스토니아 정보국은 APT29 작전이 SVR 및 러시아 연방보안국(FSB)과 관련이 있다는 보고서를 발표했습니다.
• 법무부 기소장에 따르면, APT28 및 샌드웜과 관련된 두 개의 GRU/GU 군부대인 26165부대와 74455부대는 각각 거짓 전위 조직인 DCLeaks, Guccifer 2.0, AnPoland를 사용하고 위키리크스를 고용하여 유출된 데이터를 세탁하고 목표 자원에 대한 침입에 책임을 주장하기 위해 활동한 것으로 나타났습니다.
• 마지막으로 러시아에 기반을 둔 트롤 팜, 특히 인터넷 리서치 에이전시(IRA)는 선거를 앞두고 미국 국내 사회 환경을 불안정하게 만들기 위해 허위 정보나 선동적인 자료를 대량 유포하여 APT28, 샌드웜, APT29가 수행한 다른 작전의 병력 증식 역할을 수행했습니다.

2018년에는 이러한 위협 활동 그룹과 영향력 행사 활동 중 일부가 미국 중간 선거를 표적으로 삼았습니다. APT28은 국회의원 선거에 출마한 세 명의 후보를 노린 스피어피싱 작전을 수행했습니다. 이러한 노력이 성공적이었는지는 확실하지 않지만, Microsoft는 이러한 활동의 표적이 미국 상원, 정치 싱크 탱크 및 정치 비영리 단체일 가능성이 높다는 정보를 공개했습니다. 법무부는 또한 "...소셜 미디어 플랫폼 광고, 도메인 이름 등록, 프록시 서버 구매, 소셜 네트워크에 뉴스 게시물을 홍보"한 혐의로 러시아 영향력 운영 단체를 형사 고소했습니다. 미국은 상트 페테르부르크에 기반을 둔 IRA를 표적으로 삼아 일시적으로 오프라인 상태로 전환하여 후자를 억제하기 위한 조치를 취한 것으로 알려졌습니다. 일부 작전이 중단된 것으로 알려졌지만, 미국의 민주적 절차를 표적으로 삼으려는 러시아의 노력은 크게 저지되지 않았으며 당시에도 러시아 국가가 후원하는 위협 행위자들이 전략을 조정하고 있음이 분명했습니다.

전술, 기법 및 절차(TTP)

2016년과 2018년 선거에서 이러한 위협 그룹이 수행한 주요 TTP는 다음과 같이 세분화할 수 있습니다:

피해자학

이 그룹은 미국의 다양한 민주적 기관을 표적으로 삼았습니다. 2016년 대선에서 위협 행위자들은 정당, 후보자 및 선거 운동 직원, 선거 계약업체(예: VR 시스템), 주 선거관리위원회, 유권자 등록 데이터, 자선 재단, 싱크탱크, 미국 국민 전체를 대상으로 공격했습니다. 2018년 중간선거에서는 타겟팅 범위가 후보자와 선거 운동원, 소셜 미디어를 사용하는 미국인으로 크게 좁혀졌습니다. 표적 범위가 좁아진 것은 취약한 선거 인프라에 대한 보안 강화로 인해 위협 행위자의 활동이 제한되었거나, 중간 선거가 위협 행위자에게 덜 중요하게 여겨지는 부산물이거나, 필요성 부족의 결과(즉, 유권자 등록 정보가 단기간에 크게 변하지 않으므로 유권자 등록 데이터를 호스팅하는 인프라에 자주 침입할 필요가 없을 수 있음)일 수 있습니다.

2020년 1월 이후 위협 행위자 활동

2020년 1월부터 여러 러시아 APT 그룹이 선거와 관련이 없는 미국 기반 단체와 선거와 연관 가능성이 있는 국제 단체를 대상으로 활동했습니다. 2020년 대선을 앞두고 미국 선거 인프라, 후보자, 정당 또는 투표 활동에 대한 위협 활동 단체의 직접적인 침입 활동은 이 글을 쓰는 시점에서 확인되지 않았지만, 그렇다고 해서 그러한 활동이 실현될 가능성을 배제할 수는 없습니다. 레코디드 퓨처는 같은 기간 동안 러시아 APT 그룹이 선거 관련 단체를 공격하는 데 사용될 수 있는 멀웨어를 개발해 왔다는 사실을 발견했습니다. 또한 레코디드 퓨처는 같은 기간 동안 인프라 개발, 진화하는 TTP, 멀웨어의 변화도 확인했습니다.

러시아 위협 공격자들이 운영을 개선했을 가능성이 매우 높지만, 이러한 위협 그룹은 과거에 적용했던 것과 동일한 침입 방식을 계속 사용하고 있습니다. 따라서 작전의 변화와 행동의 변화는 이전 도구를 완전히 포기한 것이 아니라 필요에 따라 작전을 조정하는 유연성과 임무를 성공적으로 완수하기 위한 실용성을 모두 보여주는 예일 가능성이 높습니다.

후보자 및 정당을 대상으로 하는 활동

위협 행위자는 선거운동에서의 역할 또는 선거 관련자들과의 관계로 인해 후보자, 그 계열사 및 미국 정당에 대한 지속적인 관심을 유지할 가능성이 높습니다. 이 평가는 부분적으로는 러시아 정부가 2020년 미국 대통령 선거에 개입하려 한다는 보고서를 기반으로 합니다. 이 보고서는 어떤 방해 활동이 수반되는지에 대해 자세히 설명하지 않았지만, 레코디드 퓨처는 2020년 1월부터 현직 도널드 트럼프 대통령, 그의 가족 또는 선거와 관련된 유명 인사를 겨냥한 러시아 국가 지원 위협 행위자의 활동을 검색했지만 이 글을 쓰는 현재까지 그러한 활동에 대한 언급은 발견하지 못했습니다. 오픈 소스 검색 역시 관련 콘텐츠를 찾아내지 못했습니다. 또한 2020년 1월 이후 조 바이든 전 부통령, 카말라 해리스 상원의원, 바이든 가족, 해리스 가족 또는 캠페인과 관련된 기타 유명 인사들을 겨냥한 러시아 국가 후원 위협 행위자들의 활동도 검색했습니다. 이 개인들에 대한 침입 활동의 징후는 없었습니다.

2020년 1월 이후 공화당 전국위원회(RNC), 전국 공화당 의회 위원회(NRCC), 전국 공화당 상원 위원회(NRSC)를 표적으로 삼은 러시아 APT의 징후는 발견되지 않았습니다. 러시아 APT 그룹이 민주당전국위원회(DNC)나 민주당전당대회위원회(DNCC)를 표적으로 삼은 사례에 대한 유사한 연구 결과, 총 20건이 확인되었지만 모두 과거에 발생한 것으로, 현재 또는 임박한 위협을 시사하는 사례는 없었습니다. 이 글을 쓰는 현재로서는 이러한 검색을 통해 정당에 대한 지속적이거나 임박한 위협이 드러나지는 않았지만, 잠재적 위협 목록에서 이러한 노력을 배제할 수도 없습니다. 이러한 참고 자료는 일반적으로 다음과 같이 요약할 수 있습니다:

• 소셜 미디어에서 2016년 민주당 중앙위원회 침입과 관련된 과거 보도가 언급된 것은 두 가지 결과였습니다.
• 이러한 언급 중 최소 6건은 2016년 미국 대선 개입 작전을 러시아 APT 그룹의 소행으로 돌리는 정보 커뮤니티와 정보 보안 업계의 평가와 결과에 이의를 제기하는 포럼 게시물에서 발견되었습니다.
• 한 지역 뉴스 웹사이트에서도 정보 커뮤니티의 조사 결과에 대해 이의를 제기했습니다.
• 10건은 2016년 미국 대선에 대한 러시아 APT 활동 보고와 관련된 뉴스 웹사이트 또는 법원 문서에 대한 언급이었습니다.
• 이 활동을 언급했던 한 항목은 이후 소셜 미디어에서 삭제되었습니다.

위협 행위자

APT28

2020년 1월부터 APT28은 인프라 개발, 스피어피싱 시도, 멀웨어 개발 등 다양한 활동에 참여했습니다. 이 중 선거와 연관성이 있는 것은 스피어피싱, 특히 부리스마 홀딩스에 대한 피싱 공격으로 추정되는 사건뿐입니다.

스피어피싱 활동 시도

2020년 1월 13일, 사이버 보안 업체 Area 1은 우크라이나 키예프에 있는 에너지 회사인 부리스마 홀딩스를 대상으로 한 GRU/GU의 스피어피싱 시도를 설명하는 '부리스마 홀딩스 피싱' 보고서를 발표했습니다. 보고서에 따르면, 적어도 2019년 11월부터 활동한 이 캠페인은 합법적인 파트너 또는 부리스마 홀딩스와 연결된 자회사가 사용하는 도메인을 모방한 도메인을 사용했습니다. 부리스마 홀딩스는 조 바이든의 아들 헌터 바이든이 이전에 부리스마 홀딩스의 이사로 재직했기 때문에 특히 관심을 끄는 회사입니다. 워싱턴 포스트에 보도된 바와 같이, 피싱 시도와는 무관한 동시적인 노력에서 현 미국 행정부 산하 기관들이 페트로 포로셴코 전 우크라이나 대통령과 관련된 바이든의 오디오 녹음에 관한 정보를 요청하려는 시도가 여러 차례 있었다는 사실이 밝혀졌습니다. 이 활동에는 러시아에 동조하는 단체와 연관이 있는 우크라이나 국회의원 안드리 데르카흐의 정보 요청이 포함되었습니다.

영역 1 보고서에 설명된 TTP 중 하나는 여러 공격 표면에서 실제 로그인 페이지를 미러링하는 웹사이트를 사용하여 공격 대상의 자격 증명을 획득하는 것입니다(예: Roundcube 설치 및 Sharepoint를 통한 Outlook 365 로그인을 모방). 이 TTP는 2018년 미국 중간선거와 2016년 미국 대선에서 APT28이 사용한 이전 방법론과 일치합니다. 캠페인 과정에서 위협 행위자는 다양한 이메일 관련 인증 기술을 활용하여 합법성을 입증했습니다. 특히, 위협 행위자는 수신자가 발신자의 신원을 확인하기 위해 사용하는 발신자 정책 프레임워크(SPF)와 도메인키 식별 메일(DKIM)(암호화 해시)을 사용했습니다. 이 과정에서 위협 행위자는 yandex[.] MX(메일 교환) 레코드를 통해 러시아에 기반을 둔 위협 행위자가 이 작업을 수행했음을 알 수 있습니다.

APT28은 이전에 '해킹 및 유출' 유형의 작전을 수행하여 기업을 표적으로 삼아 민감한 정보를 획득한 후 표적 기업이나 관련 조직 및 개인에게 해를 끼치기 위해 유출한 적이 있습니다. 여기에는 2016년 미국 대선 당시 힐러리 클린턴 전 국무장관의 선거운동에 반대하는 활동과 2016년 올림픽 기간 동안 국제 스포츠 관련 단체가 포함되었습니다. 부리스마 홀딩스와 미국 및 우크라이나 정치 환경의 연관성을 고려할 때, 이 위협 활동 그룹이 정보 작전의 일환으로 추후 배포할 정보를 얻기 위해 이 캠페인을 진행하고 있을 가능성도 있습니다.

Sharepoint, ADFS, OneDrive 도메인 및 인증서 등록 스크린샷(출처: Recorded Future)

전망

미국 관리 또는 조직은 2020년 11월 선거에 대한 외국의 간섭 가능성을 더 잘 인식하고 이에 대비하고 있습니다. 러시아의 위협 행위자나 활동 그룹은 미국이 2020년 선거를 방어하기 위해 취한 조치에 민감하게 반응하고 이를 계산에 반영할 가능성이 높습니다. 이러한 변화를 고려할 때 2020년 미국 대선에 대한 러시아의 위협 활동은 과거와는 다른 양상으로 나타날 가능성이 높습니다.

2016년과 2018년에 정당과 후보자를 대상으로 침입과 작전을 수행했던 러시아 위협 활동 그룹은 이 글을 쓰는 현재 대부분 활동을 자제하고 있습니다. 선거 관련 단체에 대한 러시아 위협 활동 그룹의 활동은 아직 확인되지 않았지만, 미국 내 다른 단체에 대한 멀웨어 개발 및 침입과 관련하여 이러한 그룹의 활동이 있었습니다. 또한 민주당 대선 후보인 조 바이든과 연관되어 선거와 연관성이 있는 해외 단체에 스피어피싱을 시도한 사례도 있었습니다. 이러한 노력이 성공적이었는지는 현재로서는 불분명합니다. 레코디드 퓨처는 별도의 노력으로 바이든과 관련된 것으로 보이는 일부 오디오 콘텐츠가 공개되기 시작했지만, 이 콘텐츠는 제3자에 의해 진본 또는 변조되지 않은 것으로 검증되지 않았다고 지적합니다. APT28과 같은 위협 활동 그룹이 이전에 표적 침입을 통해 획득한 정보를 공개할 때까지 기다렸다가 영향력을 극대화한 적이 있다는 점을 고려할 때, 선거를 앞두고 정보 공개 지연과 유사한 접근 방식이 발생할 수 있습니다.

정보 작전은 위협 행위자의 익명성에 훨씬 더 취약하고 대응하기가 매우 어렵습니다. 레코디드 퓨처는 이러한 작전이 2020년 미국 대선에 대한 지속적이고 실질적인 위협으로 남아 있다고 관측합니다. 레코디드 퓨처는 원 아프리카, 원 석세스 왓츠앱 그룹, EBLA, 나이지리아와 가나의 트롤 농장에서 수행된 러시아의 국내외 작전을 통해 중앙집중적이고 통제된 운영에서 분산되고 탄력적인 정보 운영 네트워크로의 전환이 어떻게 이루어지고 있는지를 확인했습니다. 이러한 공격 중 상당수가 확인되어 제거되었지만, 아직 보이지 않는 곳에서 활동하는 공격이 더 있을 수 있습니다. 이러한 작전의 파편화는 2018년 미국 중간선거 기간 동안 IRA의 영향력 행사를 방해하려는 미국의 작전이 성공했음을 의미할 수도 있지만, 단기적으로는 이러한 작전의 지속성과 탄력성이 어느 정도인지를 보여줄 수도 있습니다.

러시아 위협 행위자 또는 활동 그룹은 미국 내 자산을 적극적으로 사용하여 점점 더 어려워지는 소셜 미디어의 외국인에 대한 광고 제한을 우회하고, 허위 인물 또는 악의적인 목적의 영향을 받은 인물을 정확하게 탐지하는 데 어려움을 가중시키려고 노력했습니다. 소셜 미디어 플랫폼이 외국인이 미국 정치 담론에 참여할 수 있는 광고와 능력을 계속 제한함에 따라, 러시아 영향력 운영 자산이 광고 제한을 우회하고 정보 자산을 구축하며 분열을 조장하는 콘텐츠를 통해 미국인들과 소통하는 것이 계속 우선순위로 남을 것으로 예상합니다.

QAnon과 같은 음모 단체나 부갈루 운동과 같은 반정부 단체의 확장은 선거에 추가적인 위협이 되고 있습니다. 이러한 리더가 없는 단체는 선거를 방해하려는 외국의 위협 행위자가 침투하여 조직적으로 활동할 가능성이 있습니다. QAnon 음모 지지자들은 이미 '정보 전쟁'에 참여하려는 의지를 보여 왔으며, 몇몇 추종자들은 범죄 행위를 저지른 바 있습니다. 비슷한 방식으로 부갈루 운동 지지자 중 일부는 반정부 신념을 행동으로 옮기고 제2의 미국 내전을 일으키기 위해 살인을 저지르거나 살인 미수, 국내 테러를 시도하기도 했습니다. 이 단체는 최근 '재개장' 및 BLM 시위에서 방탄복을 입고 중무장한 채 등장하여 눈에 띄는 존재감을 드러냈습니다. 이 그룹은 선거 관련 자산이나 투표소를 표적으로 삼을 경우 선거 보안에 대한 물리적 위협이 될 수 있으며, 온라인에서 허위 정보를 유포하여 결국 반정부적인 이야기로 선거 관련 주제를 왜곡할 수 있는 위협이 될 수도 있습니다.

편집자 주 이 게시물은 보고서 전문에서 발췌한 것입니다. 전체 분석 내용을 읽으려면 여기를 클릭하여 보고서를 PDF로 다운로드하세요.