2020년 미국 대통령 선거에 대한 러시아 관련 위협

2020년 미국 대통령 선거에 대한 러시아 관련 위협

insikt-group-logo-updated-3-300x48.png
편집자 주: 다음 게시물은 보고서 전문에서 발췌한 내용입니다. 전체 분석 내용을 읽어보려면 여기를 클릭하세요, Click Here 를 클릭하여 보고서를 PDF로 다운로드하세요.

이 보고서에서는 2020년 미국 대선과 관련된 러시아-넥서스 사이버 스파이 활동과 영향력 행사 활동에 대한 개요를 제공하며, 여기에는 지능형 지속 위협(APT) 그룹, 정보 운영(IO) 단체는 물론 대통령 후보, 정당, 선거 인프라, 미디어 플랫폼, 투표 활동, 미국 국민 전체를 겨냥한 것으로 보이는 전면 단체 및 비국가 단체의 활동도 포함됩니다. 이 보고서에 제공된 평가는 2020년 1월 1일부터 2020년 8월 25일까지 소셜 미디어 사이트, 지역 및 지역 뉴스 사이트, 학술 연구, 정보 보안 보고 및 기타 오픈 소스의 데이터와 Recorded Future Platform(® )의 콘텐츠를 기반으로 합니다. 이를 과거 데이터와 비교하여 전술, 기법 및 절차(TTP)의 변화를 파악하여 사이버 위협, 정보 작전(IO), 사이버와 IO 활동의 측면을 모두 포함하는 하이브리드 위협을 밝혀냈습니다.

Executive Summary

다가오는 선거의 위협 환경은 2016년과 2018년과 다르며, 이전에 선거를 노렸던 위협 행위자 및 활동 그룹은 대부분 방관자적 태도를 유지하고 있습니다. 그러나 2016년과 2018년과 마찬가지로 러시아는 피싱 및 사이버 공격 작전의 과거 성공, 미국의 민주주의 기관과 조직을 직접 표적으로 삼는 끈질긴 집요함, 재래식 및 소셜 미디어를 통해 미국 유권자를 대상으로 한 정보 작전 수행 등을 바탕으로 2020년 미국 대통령 선거에 가장 큰 위협이 될 수 있다는 점은 변함이 없습니다.

최근 러시아가 주도하는 대미 정보 작전은 적어도 2016년부터 계속되고 있으며, 그 활동은 국제적으로 더욱 광범위하게 이루어지고 있습니다. 또한 러시아 위협 활동 그룹은 계속해서 인프라를 확장하고 멀웨어와 익스플로잇을 개발하고 있지만, 선거 관련 단체를 표적으로 삼는 활동은 덜 활발하게 이루어지고 있습니다. 2020년 1월 이후 러시아 국가가 후원하는 해킹 및 유출 활동은 관찰되지 않았지만, 2016년 투표를 앞두고 이러한 활동이 얼마나 큰 피해를 입혔는지를 고려할 때 11월 선거 전에 유출이 나타날 가능성을 배제할 수 없습니다. 러시아 위협 행위자와 활동 그룹은 선거일까지, 심지어 선거일 이후에도 미국 유권자를 대상으로 사이버 공격을 계속하고 정보 작전을 추구할 가능성이 높습니다.

선거에 대한 원인 불명의 위협도 여전히 심각한 문제로 남아 있으며, 그중 가장 두드러진 것은 급성장하는 음모론과 그 지지자들인 QAnon 및 부갈루 운동의 형태입니다. 또한 사이버 범죄 또는 기타 요소의 비귀속적 활동은 미국 선거를 방해하거나 해를 끼칠 수 있으므로 다크 웹 및 지하 정보원에 대한 지속적인 경계가 필요합니다.

주요 판단

러시아가 후원하는 선거 방해 활동: 2016년 및 2018년

2016년과 2018년, 러시아 정부 후원 위협 행위자들은 미국 대통령 선거와 중간 선거를 대상으로 전례 없는 캠페인을 전개했으며, 이 과정에서 정치 정당, 후보자, 투표와 관련된 인프라를 표적으로 삼았습니다. 미국 정부 조사 결과, 로버트 뮬러 3세가 진행한 침입, 정보 작전(IO) 및 관련 활동에 대한 조사에서 해당 활동은 주로 주정보국(GRU, 주정보국[GU]로도 불림)과 연관된 단체들이 주도했으며, 정보 연구 기관(IRA)과 같은 조직들의 지원을 받았음이 밝혀졌습니다. 러시아 연방군 총참모부 소속 러시아 주간 정보국(Main Directorate/Main Intelligence Directorate)은 러시아 연방 내 주요 군사 정보 기관입니다. 이 기관은 러시아 정부를 위해 전략적 및 전술적 외국 정보 수집 임무를 수행합니다. 이 조직은 여러 하위 단위로 구성되어 있으며, 이 중 일부는 암호화, 신호 정보, 허위 정보, 및 침투 활동에 관여하고 있습니다. IRA는 소셜 미디어 영향력 조작 활동을 전문으로 하는 상업적 미디어 기업입니다.

위협 행위자

2016년 미국 대선을 앞두고 러시아 국가가 후원하는 3개의 지능형 지속 위협(APT) 그룹이 표적 침입 활동에 관여했으며, 이러한 위협 행위자 중 일부는 표적 침입뿐만 아니라 정보 작전에도 관여하여 '하이브리드 위협'으로도 활동했습니다. 주요 위협 행위자는 APT28, APT29, 그리고 샌드웜으로 추적되는 GRU/GU(주정보국/주정보국) 74455 유닛으로 확인되었습니다.

미국-선거-러시아-위협-1-1.png

2016년 선거 개입에 관여한 GRU/GU 부서의 조직도 (출처: Ars Technica)

APT28과 APT29는 민주당 전국위원회(DNC), 민주당 전국위원회 선거위원회(DCCC) 및 기타 선거 관련 개인과 단체를 대상으로 한 표적 침투 공격을 수행했습니다. 또한, GRU/GU 부대 26165 소속 인원이 법무부(DoJ)의 기소장에서 APT28 활동과 연관되어 있으며, 별도의 정보 작전 활동에도 관여한 것으로 확인되었습니다. GRU/GU 부대 74455 소속 인원 — 샌드웜 활동과 연관된 조직 —은 선거 개입 활동(해킹 및 유출 작전 등)에 참여한 혐의로 법무부(DoJ)로부터 기소되었습니다. 그러나 샌드웜에게 귀속된 맞춤형 악성 소프트웨어는 침입으로 영향을 받은 네트워크에서 발견되지 않았습니다. 그 이유로, 이 조직이 2016년 선거에 개입하기 위해 수행한 활동은 위협 활동 그룹 지정자(Sandworm)가 아닌 부대 이름(Unit 74455)으로 식별됩니다.

그 외에도 여러 러시아 단체가 선거 개입 활동과 연관되어 있습니다:

2018년, 이러한 동일한 위협 활동 그룹과 영향력 작전 그룹 중 일부는 미국 중간선거를 표적으로 삼았습니다. APT28은 입법부 선거에 출마한 3명의 후보를 대상으로 한 스피어 피싱 공격을 수행했습니다. 이 노력들이 성공적이었는지 여부는 명확하지 않지만, 마이크로소프트는 이 활동의 주요 표적이 미국 상원, 정치 싱크탱크, 그리고 정치 비영리 단체라고 밝혔습니다. 미국 법무부(DoJ)는 러시아의 영향력 조작 단체들에 대해 "소셜 미디어 플랫폼에서의 광고, 도메인 이름 등록, 프록시 서버 구매, 소셜 네트워크에서의 뉴스 게시물 홍보" 등을 포함한 혐의로 형사 고발을 제기했습니다. 미국은 후자를 억제하기 위해 상트페테르부르크에 본사를 두고 있는 IRA를 표적으로 삼아 일시적으로 서비스를 중단시켰다고 보도되었습니다. 일부 운영이 방해받았다고 주장되었지만, 러시아의 미국 민주적 절차 표적화 노력은 대부분 방해받지 않았으며, 그 당시에도 러시아 국가 후원 위협 행위자들이 전략을 조정하고 있다는 것이 분명했습니다.

전술, 기법 및 절차(TTP)

2016년과 2018년 선거에서 이러한 위협 그룹이 수행한 주요 TTP는 다음과 같이 세분화할 수 있습니다:

미국-선거-러시아-위협-2-1.png

피해자학

이 단체들은 미국 민주주의 기관의 다양한 분야를 표적으로 삼았습니다. 2016년 대통령 선거에서 위협 행위자들은 정치 정당, 후보자선거 캠프 직원, 선거 관련 계약업체(예: VR Systems), 주 선거 관리위원회, 유권자 등록 데이터, 자선 재단, 싱크탱크, 그리고 미국 국민 전체를 대상으로 공격을 가했습니다. 2018년 중간선거에서 표적화 범위는 주로 후보자와 선거 운동 직원, 그리고 소셜 미디어상의 미국인들로 크게 축소되었습니다. 표적 범위의 축소는 취약한 선거 인프라 주변의 보안 강화로 인해 위협 행위자의 운영에 제한이 가해졌기 때문일 수 있습니다. 이는 중간 선거가 위협 행위자에게 덜 중요한 것으로 여겨졌기 때문일 수도 있으며, 또는 필요성의 부족(즉, 유권자 등록 데이터를 호스팅하는 인프라에 대한 침투를 자주 수행할 필요가 없을 수 있음. 해당 정보는 짧은 기간 내에 급격히 변하지 않기 때문) 때문일 수도 있습니다.

2020년 1월 이후 위협 행위자 활동

2020년 1월부터 여러 러시아 APT 그룹이 선거와 관련이 없는 미국 기반 단체와 선거와 연관 가능성이 있는 국제 단체를 대상으로 활동했습니다. 2020년 대선을 앞두고 미국 선거 인프라, 후보자, 정당 또는 투표 활동에 대한 위협 활동 단체의 직접적인 침입 활동은 이 글을 쓰는 시점에서 확인되지 않았지만, 그렇다고 해서 그러한 활동이 실현될 가능성을 배제할 수는 없습니다. 레코디드 퓨처는 같은 기간 동안 러시아 APT 그룹이 선거 관련 단체를 공격하는 데 사용될 수 있는 멀웨어를 개발해 왔다는 사실을 발견했습니다. 또한 레코디드 퓨처는 같은 기간 동안 인프라 개발, 진화하는 TTP, 멀웨어의 변화도 확인했습니다.

러시아 위협 공격자들이 운영을 개선했을 가능성이 매우 높지만, 이러한 위협 그룹은 과거에 적용했던 것과 동일한 침입 방식을 계속 사용하고 있습니다. 따라서 작전의 변화와 행동의 변화는 이전 도구를 완전히 포기한 것이 아니라 필요에 따라 작전을 조정하는 유연성과 임무를 성공적으로 완수하기 위한 실용성을 모두 보여주는 예일 가능성이 높습니다.

후보자 및 정당을 대상으로 하는 활동

위협 행위자들은 후보자, 그들의 관련 단체, 그리고 미국 정치 정당 전반에 대해 지속적인 관심을 유지하고 있을 가능성이 높습니다. 이는 그들이 선거 캠페인에서扮演한 역할이나 선거에 관여한 인물들과의 관계 때문입니다. 이 평가는 부분적으로 러시아 정부가 2020년 미국 대통령 선거에 개입하려 시도하고 있다는 내용을 담은 보고서에 근거하고 있습니다. 보고서는 간섭 노력의 구체적인 내용을 상세히 설명하지 않았습니다. 그러나 Recorded Future는 2020년 1월부터 현직 대통령 도널드 트럼프, 그의 가족, 또는 캠페인과 관련된 주요 인사들을 대상으로 한 러시아 정부 후원 위협 행위자의 활동을 검색했으나, 이 글 작성 시점까지 이와 관련된 어떠한 노력에 대한 언급도 발견하지 못했습니다. 오픈소스 검색 역시 관련 콘텐츠를 찾을 수 없었습니다. 우리는 또한 2020년 1월 이후 러시아 정부 후원 위협 행위자들이 전 부통령 조 바이든, 상원의원 카말라 해리스, 바이든 가족, 해리스 가족 또는 캠페인과 관련된 다른 유명 인사들을 대상으로 한 활동을 검색했습니다. 이 개인들에 대한 침입 활동의 징후는 발견되지 않았습니다.

2020년 1월 이후 공화당 전국위원회(RNC), 전국 공화당 의회 위원회(NRCC), 전국 공화당 상원 위원회(NRSC)를 표적으로 삼은 러시아 APT의 징후는 발견되지 않았습니다. 러시아 APT 그룹이 민주당전국위원회(DNC)나 민주당전당대회위원회(DNCC)를 표적으로 삼은 사례에 대한 유사한 연구 결과, 총 20건이 확인되었지만 모두 과거에 발생한 것으로, 현재 또는 임박한 위협을 시사하는 사례는 없었습니다. 이 글을 쓰는 현재로서는 이러한 검색을 통해 정당에 대한 지속적이거나 임박한 위협이 드러나지는 않았지만, 잠재적 위협 목록에서 이러한 노력을 배제할 수도 없습니다. 이러한 참고 자료는 일반적으로 다음과 같이 요약할 수 있습니다:

위협 행위자

APT28

2020년 1월부터 APT28은 인프라 개발, 스피어 피싱 시도, 악성 소프트웨어 개발 등 다양한 활동을 전개해 왔습니다. 이 중에서는 스피어 피싱만 선거와 연관될 가능성이 있으며, 구체적으로는 Burisma Holdings를 대상으로 한 것으로 추정되는 피싱 공격이 해당됩니다.

스피어피싱 활동 시도

2020년 1월 13일, 사이버 보안 기업 Area 1은 "Phishing Burisma Holdings"라는 제목의 보고서를 발표했습니다. 이 보고서는 우크라이나 키예프에 본사를 두고 있는 에너지 기업 Burisma Holdings를 대상으로 한 GRU/GU로 추정되는 스피어 피싱 공격 시도를 상세히 설명했습니다. 보고서에 따르면, 2019년 11월 이후 활동해 온 이 캠페인은 Burisma Holdings와 연관된 합법적인 파트너나 자회사들이 사용한 도메인을 모방한 도메인을 활용했습니다. Burisma Holdings는 특히 주목받고 있습니다. 이는 조 바이든의 아들 헌터 바이든이 과거 Burisma Holdings의 이사회 멤버로 재직했기 때문입니다. 워싱턴 포스트가 보도한 바와 같이, 피싱 시도와 무관한 동시 진행된 노력에서 현재 미국 행정부와 연관된 단체들이 전 우크라이나 대통령 페트로 포로셴코와 관련된 바이든의 음성 녹음에 대한 정보를 수집하기 위해 여러 차례 시도한 사실이 밝혀졌습니다. 이 활동에는 러시아 친화적 단체들과 연관된 우크라이나 국회의원 안드레이 데르카치로부터 정보 수집이 포함되었습니다.

영역 1 보고서에 설명된 TTP 중 하나는 여러 공격 표면에서 실제 로그인 페이지를 미러링하는 웹사이트를 사용하여 공격 대상의 자격 증명을 획득하는 것입니다(예: Roundcube 설치 및 Sharepoint를 통한 Outlook 365 로그인을 모방). 이 TTP는 2018년 미국 중간선거와 2016년 미국 대선에서 APT28이 사용한 이전 방법론과 일치합니다. 캠페인 과정에서 위협 행위자는 다양한 이메일 관련 인증 기술을 활용하여 합법성을 입증했습니다. 특히, 위협 행위자는 수신자가 발신자의 신원을 확인하기 위해 사용하는 발신자 정책 프레임워크(SPF)와 도메인키 식별 메일(DKIM)(암호화 해시)을 사용했습니다. 이 과정에서 위협 행위자는 yandex[.] MX(메일 교환) 레코드를 통해 러시아에 기반을 둔 위협 행위자가 이 작업을 수행했음을 알 수 있습니다.

APT28은 과거에 "해킹 및 유출" 유형의 작전을 수행해 왔으며, 특정 기관을 표적으로 삼아 민감한 정보를 획득한 후 이를 유출하여 표적 기관이나 관련 조직 및 개인에게 피해를 입히기 위해 노력해 왔습니다. 이에는 2016년 미국 대통령 선거 기간 중 전 국무장관 힐러리 클린턴의 선거 운동에 대한 대응 조치들이 포함되었으며, 2016년 올림픽 기간 중 국제 스포츠와 관련된 단체들도 포함되었습니다. 이 위협 활동 그룹이 이러한 캠페인에 관여했으며, Burisma Holdings와 미국 및 우크라이나의 정치적 환경 간의 연관성을 고려할 때, 이 그룹이 이 캠페인을 진행하는 것이 정보 수집을 목적으로 하며, 이를 나중에 정보 작전의 일환으로 배포하기 위한 시도일 가능성이 약 50%입니다.

미국-선거-러시아-위협-3-1.jpg

SharePoint, ADFS, OneDrive 도메인 및 인증서 등록 화면 캡처 (출처: Recorded Future)

전망

미국 관리 또는 조직은 2020년 11월 선거에 대한 외국의 간섭 가능성을 더 잘 인식하고 이에 대비하고 있습니다. 러시아의 위협 행위자나 활동 그룹은 미국이 2020년 선거를 방어하기 위해 취한 조치에 민감하게 반응하고 이를 계산에 반영할 가능성이 높습니다. 이러한 변화를 고려할 때 2020년 미국 대선에 대한 러시아의 위협 활동은 과거와는 다른 양상으로 나타날 가능성이 높습니다.

2016년과 2018년에 정당과 후보자를 대상으로 침입과 작전을 수행했던 러시아 위협 활동 그룹은 이 글을 쓰는 현재 대부분 활동을 자제하고 있습니다. 선거 관련 단체에 대한 러시아 위협 활동 그룹의 활동은 아직 확인되지 않았지만, 미국 내 다른 단체에 대한 멀웨어 개발 및 침입과 관련하여 이러한 그룹의 활동이 있었습니다. 또한 민주당 대선 후보인 조 바이든과 연관되어 선거와 연관성이 있는 해외 단체에 스피어피싱을 시도한 사례도 있었습니다. 이러한 노력이 성공적이었는지는 현재로서는 불분명합니다. 레코디드 퓨처는 별도의 노력으로 바이든과 관련된 것으로 보이는 일부 오디오 콘텐츠가 공개되기 시작했지만, 이 콘텐츠는 제3자에 의해 진본 또는 변조되지 않은 것으로 검증되지 않았다고 지적합니다. APT28과 같은 위협 활동 그룹이 이전에 표적 침입을 통해 획득한 정보를 공개할 때까지 기다렸다가 영향력을 극대화한 적이 있다는 점을 고려할 때, 선거를 앞두고 정보 공개 지연과 유사한 접근 방식이 발생할 수 있습니다.

정보 작전은 위협 행위자의 익명성에 훨씬 더 취약하고 대응하기가 매우 어렵습니다. 레코디드 퓨처는 이러한 작전이 2020년 미국 대선에 대한 지속적이고 실질적인 위협으로 남아 있다고 관측합니다. 레코디드 퓨처는 원 아프리카, 원 석세스 왓츠앱 그룹, EBLA, 나이지리아와 가나의 트롤 농장에서 수행된 러시아의 국내외 작전을 통해 중앙집중적이고 통제된 운영에서 분산되고 탄력적인 정보 운영 네트워크로의 전환이 어떻게 이루어지고 있는지를 확인했습니다. 이러한 공격 중 상당수가 확인되어 제거되었지만, 아직 보이지 않는 곳에서 활동하는 공격이 더 있을 수 있습니다. 이러한 작전의 파편화는 2018년 미국 중간선거 기간 동안 IRA의 영향력 행사를 방해하려는 미국의 작전이 성공했음을 의미할 수도 있지만, 단기적으로는 이러한 작전의 지속성과 탄력성이 어느 정도인지를 보여줄 수도 있습니다.

러시아 위협 행위자 또는 활동 그룹은 미국 내 자산을 적극적으로 사용하여 점점 더 어려워지는 소셜 미디어의 외국인에 대한 광고 제한을 우회하고, 허위 인물 또는 악의적인 목적의 영향을 받은 인물을 정확하게 탐지하는 데 어려움을 가중시키려고 노력했습니다. 소셜 미디어 플랫폼이 외국인이 미국 정치 담론에 참여할 수 있는 광고와 능력을 계속 제한함에 따라, 러시아 영향력 운영 자산이 광고 제한을 우회하고 정보 자산을 구축하며 분열을 조장하는 콘텐츠를 통해 미국인들과 소통하는 것이 계속 우선순위로 남을 것으로 예상합니다.

QAnon과 같은 음모 단체나 부갈루 운동과 같은 반정부 단체의 확장은 선거에 추가적인 위협이 되고 있습니다. 이러한 리더가 없는 단체는 선거를 방해하려는 외국의 위협 행위자가 침투하여 조직적으로 활동할 가능성이 있습니다. QAnon 음모 지지자들은 이미 '정보 전쟁'에 참여하려는 의지를 보여 왔으며, 몇몇 추종자들은 범죄 행위를 저지른 바 있습니다. 비슷한 방식으로 부갈루 운동 지지자 중 일부는 반정부 신념을 행동으로 옮기고 제2의 미국 내전을 일으키기 위해 살인을 저지르거나 살인 미수, 국내 테러를 시도하기도 했습니다. 이 단체는 최근 '재개장' 및 BLM 시위에서 방탄복을 입고 중무장한 채 등장하여 눈에 띄는 존재감을 드러냈습니다. 이 그룹은 선거 관련 자산이나 투표소를 표적으로 삼을 경우 선거 보안에 대한 물리적 위협이 될 수 있으며, 온라인에서 허위 정보를 유포하여 결국 반정부적인 이야기로 선거 관련 주제를 왜곡할 수 있는 위협이 될 수도 있습니다.

편집자 주 이 게시물은 전체 보고서에서 발췌한 내용입니다. 전체 분석을 읽으려면, Click Here 를 클릭하여 보고서를 PDF로 다운로드하세요.