넘어서야 하는 선거를 노린 사이버 위협
Mandiant
작성자: Kelli Vanderlee, Jamie Collier
* 본 아티클의 원문은 2024년 4월 26일 Google Cloud 블로그(영문)에 게재되었습니다.
전 세계 선거 관련 사이버 보안 환경
-
전 세계 선거를 둘러싼 사이버 보안 환경은 다양한 목표, 전술 및 위협으로 특징지어집니다. 선거는 국가 지원 해커, 사이버 범죄자, 해커 운동가, 내부자, 정보 조작 서비스 제공 업체 등 다양한 위협 행위자의 활동을 유발합니다. Mandiant는 국가 지원 해커가 선거에 가장 심각한 사이버 보안 위협을 가한다고 높은 확신을 가지고 평가합니다
-
선거 관련 인프라를 대상으로 하는 작전은 사이버 침투 활동, 파괴적인 기능 및 정보 조작을 결합할 수 있으며, 여기에는 대중에게 공개되는 광고 및 위협 활동 주장의 증폭 요소가 포함됩니다. 성공적인 표적 공격이 항상 큰 영향을 미치는 것은 아닙니다. 많은 위협 행위자들이 최선을 다했음에도 불구하고 선거에 상당한 영향을 미치거나 원하는 결과를 달성하는 데 어려움을 겪었습니다.
-
전 세계를 살펴보면 선거의 공격 표면에는 투표 기계 및 유권자 등록부 외에도 다양한 주체가 포함된다는 것을 알 수 있습니다. 실제로 과거 선거 주기를 관찰한 결과, 사이버 작전은 실제 선거 인프라보다 선거 운동, 정당, 뉴스 및 소셜 미디어에 관련된 주요 주체를 더 자주 표적으로 삼았습니다.
-
선거 보안을 위해서는 DDoS(분산 서비스 거부), 데이터 탈취, 딥페이크 등 2024년 선거에 영향을 미칠 가능성이 있는 다양한 유형의 위협과 전술에 대한 포괄적인 이해가 필요합니다. 관련 위협 벡터의 다양성과 이들의 관계를 이해하고 잠재적인 활동의 전체 범위를 해결하기 위한 완화 전략을 마련하는 것이 중요합니다.
-
선거 관련 조직은 일반적인 공격으로부터 인프라를 강화하기 위한 조치를 고려하고 Google의 고도화된 보안 프로그램과 같은 계정 보안 도구를 사용하여 고위험 계정을 보호해야 합니다.
2024년 글로벌 선거 사이버 보안 환경
2024년 글로벌 선거 사이버 보안 환경은 다양한 목표, 전술 및 위협으로 특징지어집니다. 광범위한 시스템, 관리자, 선거 운동 인프라, 대중 커뮤니케이션 채널 등은 다양한 운영자와 방법에 대한 보안을 확보해야 합니다. 모든 선거 사이버 보안 전략은 더욱 능동적이고 맞춤화된 보안 태세를 구축하기 위해 위협 환경 조사부터 시작해야 합니다.
2024년에는 20억 명 이상의 유권자가 투표에 참여할 것으로 예상됨에 따라 사이버 보안 커뮤니티는 이에 대한 준비를 철저히 해야 합니다. 약 50개국 이상에서 선거가 예정되어 있으며, 민주주의에 대한 위협이 어떻게 진화하는지 역동적으로 추적할 수 있는 기회입니다. 한 국가를 대상으로 하는 위협 방식을 이해하면 전 세계적으로 다가오는 선거를 더 잘 예측하고 준비할 수 있습니다. 동시에, 우리는 각국의 고유한 상황도 고려해야 합니다. 남아프리카 공화국, 인도, 미국의 선거 위협은 필연적으로 어느 정도 차이가 있을 것입니다. 어떤 경우든, 우리는 정보를 활용하여 준비할 수 있는 기회를 갖게 됩니다.
여러 공격자들은 대상 선거에 대한 공격 목표를 다양한 사이버 위협 벡터에 노출시킵니다. Mandiant가 일반적으로 사이버 침투 활동과 관련된 피싱, 인터넷 노출 시스템 악용, 데이터 절도 등의 전술 외에도, 선거 사이버 위협 활동은 여론과 유권자 선택에 영향을 미치는 것을 목표로 합니다. 이러한 공개적인 목표를 달성하기 위한 전술은 종종 웹 변조, DDoS 공격, 유출 사이트 또는 소셜 미디어 캠페인을 통한 침입 및 도난 데이터 공개와 같은 파괴적인 전술을 활용합니다. 외국 정부와 연계된 정보 작전은 웹사이트 및 소셜 미디어에 콘텐츠를 유포합니다. 이는 종종 대상 집단을 오도하거나 사회적 분열을 조장하고 지도자와 제도에 대한 불신을 조장하기 위한 의도입니다.
선거 생태계가 직면한 다양한 사이버 보안 문제에도 불구하고, 보안 커뮤니티는 보다 냉정하게 사태를 파악해야 합니다. 정보 작전과 파괴적인 사이버 캠페인은 그 영향이 과장될 때 더욱 활성화됩니다. 따라서 객관적이고 데이터 기반 분석이 필수적입니다. 다양한 선거 사이버 위협 벡터는 매우 복잡할 수 있지만, 직접적인 선거 결과 조작 시도는 전체 위협 환경에서 차지하는 비중이 다소 작습니다.
전체 선거 생태계 보호
선거의 공격 표면에는 다양한 주체들이 포함됩니다. 여기에는 선거 시스템 및 인프라, 선거 관리자, 선거 운영 관련 기관, 정치 캠페인 관련 조직(뉴스 및 미디어 조직 포함)이 포함됩니다 (Figure 1). 표적 공격의 용이성과 사이버 위협 활동의 특성(사이버 간첩 행위, 정보 작전, 갈취 등)은 이러한 범주 내의 주체마다 다를 수 있습니다.
Figure 1: 사이버 위협 활동이 2024년 다양한 선거 관련 대상에 영향을 미칠 수 있습니다. 과거 사례를 보면 선거 캠페인과 유권자가 가장 자주 표적이 되었습니다.
여러 위협 벡터의 활용한 다양한 전술
선거 관련 인프라에 영향을 미치는 다양한 사이버 위협 벡터가 존재하므로, 방어하는 입장에서는 어떤 시나리오가 가장 가능성이 높은지 파악하는 것이 중요합니다.
Figure 2는 Figure 1에서 설명된 세 가지 유형의 선거 관련 목표물에 대해 특정 사이버 위협 전술이 사용될 가능성과 그 영향력에 대한 저희의 최선의 평가를 보여줍니다. 가능성 평가는 과거 선거 주기 동안 이러한 전술이 얼마나 자주 사용되었는지 관찰하거나 추론한 빈도를 기반으로 합니다. 영향력 평가는 이러한 전술이 사용된 사건으로부터 복구하는 데 조직이 소비하는 평균 시간과 노력, 그리고 과거 사건에 대한 공식적인 대응의 강도를 반영합니다.
이러한 평가는 각 전술을 개별적으로 고려한 것입니다. 그러나 Mandiant는 여러 전술이 단일 사건에서 결합될 경우, 캠페인의 심각성이 높아질 가능성이 있다고 제안합니다. 지난 10년 동안 선거를 겨냥한 가장 심각한 사이버 위협 사건에서 이러한 패턴이 나타났기 때문입니다. 해킹 및 유출은 이러한 사례의 오래된 예입니다. 네트워크 침입을 통해 도난당한 민감한 정보는 사회적 혼란을 극대화하기 위해 진짜 문서를 활용할 수 있는 후속 정보 작전의 효과를 높입니다.
Figure 2: 2024년 공격 대상이 되는 전 세계 선거와 관련된 TTPs
Mandiant가 추적한 선거를 겨냥한 가장 중요한 사이버 사건들에서, 위협 행위자들은 의도적으로 하이브리드 작전에 여러 전술을 계층화하여 각 구성 요소의 효과를 증폭시켰습니다.
2014년 5월 우크라이나 대통령 선거 기간 동안, 친러시아 해커 그룹 CyberBerkut은 우크라이나 중앙선거관리위원회(CEC)를 대상으로 시스템 침해, 투표 집계 소프트웨어를 포함한 중요 데이터 및 시스템 파괴, 데이터 유출, DDoS 공격, CEC 웹사이트에 가짜 선거 결과를 게재하려는 시도 등 일련의 악의적인 활동에 대한 책임을 주장했습니다. 우크라이나 당국은 해당 시스템에서 러시아 정부 지원 사이버 스파이 운영자의 것으로 확실하게 확인된 악성코드가 발견되었다는 점을 근거로, 이 작전이 독립적인 핵티비스트 그룹에 의해 수행되지 않았다고 의심하고 있습니다.
Figure 3: 전통적인 사이버 침입 및 IO 전술을 결합할 가능성이 높은 공격
2020년에 이란의 공격자들은 여러 미국 주 유권자 등록 또는 정보 웹사이트를 침해하려고 시도했습니다. 그들은 탈취한 유권자 연락처 정보를 사용하여 "Proud Boys"를 사칭하는 피싱 이메일과 소셜 미디어 계정에 직접 메시지를 보내 미국 공무원과 유권자를 위협했습니다. 이 작전은 도난당한 유권자 데이터가 포함된 비디오를 사용하여 미국 선거 시스템의 약점에 대한 거짓 정보를 퍼트렸습니다(Figure 4). 선거일에 공격자들은 이전에 침해된 미디어 매체에 로그인하려고 시도했으며, 액세스 권한을 사용하여 추가적인 거짓 정보를 유포하려고 했을 가능성이 있습니다. 미국 당국은 해당 공격자들이 이란 정부와 계약을 맺은 이란 회사인 Emennet Pasargad의 소행으로 보고 있습니다.
Figure 4: 공격자 비디오 스크린샷
Mandiant는 현재 진행 중인 러시아-우크라이나 전쟁에서 이와 유사한 형태의 하이브리드 작전이 자주 나타나는 것을 관찰했습니다.
예를 들어, 2022년 2월 러시아 군대가 진격하기 직전에 DDoS 공격으로 우크라이나 정부 기관 및 금융 서비스 기관의 웹사이트와 일부 온라인 서비스가 마비되었습니다. 미국과 영국 정부는 이러한 DDoS 공격을 러시아군 총정보국(GRU)의 소행으로 판단했습니다. 같은 날, 우크라이나 국민들은 ATM 서비스가 오작동한다는 내용의 SMS 메시지를 받았는데, 이는 우크라이나 사이버 경찰이 사실이 아니라고 밝혔습니다. DDoS 공격은 온라인 뱅킹 서비스에 단기적인 기술적 장애만 일으켰지만, 이러한 공격의 궁극적인 목표는 물리적 충돌이 발생하기 전에 우크라이나 금융 서비스 산업의 무결성에 대한 대중의 신뢰를 약화시키고 공황을 유발하는 것이었습니다.
사실 사이버 및 정보 작전을 혼합하는 것은 러시아 전략의 핵심 축입니다. 이는 정찰, 기술적 교란 효과, 심리 작전을 결합한 러시아의 정보 대결 교리에 반영되어 있습니다(그림 5). 이러한 접근 방식은 GRU가 우크라이나에서 수행한 와이퍼 공격에서도 잘 드러납니다. 러시아 위협 행위자들은 표적 시스템에서 데이터를 훔치고 와이퍼 악성코드를 배포한 다음, 텔레그램 채널을 통해 피해를 알리고 도난당한 자료를 증거로 제시하여 공격 성공을 알립니다.
Figure 5: The GRU’s Disruptive Playbook
우크라이나에서의 러시아의 와이퍼 공격 접근 방식은 공격자의 관점에서 위협을 이해하는 것이 중요하다는 것을 강조합니다. 국가 위협의 교리 및 사이버 전략을 이해함으로써 선거 관련 절차를 어떻게 공격하려고 할지 더 잘 이해할 수 있습니다.
다양한 유형의 공격 플레이어 등장
선거는 Mandiant가 추적하는 거의 모든 종류의 위협 행위자(동기, 능력 및 의도 측면에서)의 사이버 위협 활동을 유발합니다. Mandiant는 국가 지원 사이버 위협 행위자가 선거에 가장 심각한 위험을 초래한다고 확신하며, 특히 이러한 작전이 국가 수준의 자원을 기존 사이버 침입 활동, 파괴적이고 파괴적인 능력, 정보 작전 및 해커 스타일 전술, 공개적으로 위협 활동 주장을 광고하고 증폭하는 요소와 결합할 때 더욱 그렇습니다.
-
정부 지원 공격 그룹: 정부 기관을 대신하여 활동하는 조직들은 선거에 가장 지속적인 위협이 됩니다. 군대 및 보안 서비스는 선거 관련 목표에 대한 사이버 간첩 정보 수집 임무를 정기적으로 수행하며, 정보 작전 및 선거 개입은 점차 표준 관행이 되어가고 있습니다. 또한, 국가 언론 서비스는 정보 작전에서 중요한 역할을 합니다. 이러한 행위자들의 작전은 긴 계획 주기, 상당한 자원, 특정 전문 지식으로 인해 종종 이점을 얻습니다. 이전에 관찰된 선거 전 활동을 기반으로, 이러한 작전은 다양한 목적으로 수행되지만, 투표 과정 및 결과 집계에 직접적인 영향을 미치려는 시도는 거의 없습니다.
-
사이버 범죄: 금전적 이익을 추구하는 행위자들은 선거 자체에 특별한 관심이 없음에도 불구하고 선거에 영향을 미칠 수 있습니다. 랜섬웨어 및 갈취 작전은 단순히 돈을 지불할 능력이 있는 피해자를 대상으로 합니다. 사이버 범죄자들이 선거 관련 조직의 데이터나 접근 권한을 탈취하여 지하 포럼에서 판매하는 것은 흔한 일입니다. 선거 관련 조직과 시스템이 많다는 점은 관련 범죄 사건의 가능성을 크게 높입니다.
-
핵티비스트:
이념적 또는 정치적 동기에 의한 독립 행위자들은 여러 차례 선거 관련 목표물에 대한 공격을 감행했습니다. 이러한 활동은 종종 산발적으로 발생하며, 외국 분쟁이나 국내 논쟁과 관련이 있으며, 일반적으로 선거 관련 웹사이트의 일시적인 중단과 같은 표면적인 영향만을 초래합니다.
-
내부자 위협:
내부자 위협은 내부 직원이 가진 특권적인 접근 권한으로 인해 선거 관리들에게 우려되는 문제가 되었습니다. 악의적인 내부자는 데이터를 훔치거나 조직을 파괴하려는 직원과 같은 경우입니다. 의도하지 않은 내부자는 실수를 하거나 피싱 공격의 피해자가 되는 직원과 같은 경우입니다.
-
정보 작전 서비스 (Information operations as-a-service): Mandiant와 공개 출처는 선거 기간 동안 PR 회사들이 후보자나 쟁점을 지지하거나 비판하는 메시지를 홍보하기 위해 기만적인 정보 작전 전술을 사용하는 사례를 문서화했습니다. 이러한 전술에는 조직적인 가짜 소셜 미디어 활동, 댓글 조작, 그리고 가짜 계정 운영 등이 포함됩니다. Mandiant는 HaiEnergy 및 Doppelganger 캠페인과 같은 여러 가지 주목할 만한 사례들을 추적하고 있으며, 이러한 활동들이 국가를 대신하여 수행되었을 것으로 의심하거나 확인했습니다.
HaiEnergy, 미국의 뉴스 매체를 와이어 서비스를 통해 악용하고 현장 시위를 조작하다
Mandiant는 중국 친중 성향의 HaiEnergy IO 캠페인이 중국 PR 회사인 상하이 하이쉰 테크놀로지(上海海讯社科技有限公司)와 연관되어 있다고 믿고 있습니다. HaiEnergy는 "Times Newswire" 및 "World Newswire"라는 두 개의 자칭 "보도 자료" 서비스와 미국에 기반을 둔 합법적인 뉴스 매체의 수십 개 하위 도메인을 사용하여 신뢰할 수 있는 출처에서 나온 것처럼 보이는 캠페인 자료를 배포했습니다. 이 콘텐츠는 추가적인 가짜 뉴스 사이트와 관련 소셜 미디어 계정을 통해 더욱 증폭됩니다. Mandiant는 해당 뉴스 사이트들이 다양한 국가 및 언어로 운영되는 독립적인 뉴스 기관인 것처럼 보이지만, 모두 Haixun 소유의 인프라에서 호스팅되고 동일한 중국어 HTML 템플릿을 사용하며 네트워크 내 다른 웹사이트의 링크를 자주 포함하거나 동일한 콘텐츠를 재게시한다는 점을 근거로 가짜라고 평가했습니다.
홍보 기사들은 중국을 칭찬하고 미국의 외교 정책과 정치인들을 비판하며, 인종 갈등이나 성 불평등과 같은 국내 문제를 강조합니다. Mandiant는 HaiEnergy가 대만 총통 라이칭더(관찰 당시 후보)를 비판하는 기사를 홍보하며, 그를 정치적 통찰력이 부족하다고 묘사하고 민진당(DPP)을 내부 갈등과 일련의 스캔들로 얼룩진 정당으로 묘사하는 것을 관찰했습니다. 또한 HaiEnergy 자산들은 홍콩 구의회 선거를 앞두고 중국이 시행한 선거 제도 변경을 긍정적으로 묘사하는 내용을 홍보했습니다.
특히, Mandiant는 HaiEnergy가 워싱턴 D.C.에서 최소 두 차례의 소규모 시위를 조작하고 자금을 지원했다는 증거를 발견했습니다. 이는 친중 행위자들이 사용하는 전술이 크게 확대되었음을 보여줍니다. 2022년 6월과 9월경에 발생한 두 시위는 모두 비디오로 기록되었고, 이후 HaiEnergy 자산 및 인프라에서 게시된 이야기를 뒷받침하는 자료로 사용되었습니다 (Figure 6).
Figure 6: HaiEnergy 계정, Times Newswire 기사와 워싱턴 D.C. 시위 영상에서 동일한 텍스트 홍보
국가 연계 활동
정부 지원 사이버 위협 행위자들은 다양한 이유로 선거 관련 인프라를 목표로 삼지만, 선거 결과에 직접적인 영향을 미치거나 투표를 방해하려는 시도는 거의 없습니다. 선거에 직접적으로 개입하는 것은 보복 및 확전 위험이 크기 때문에 대부분의 국가들은 활동을 자제합니다. 따라서 선거 관련 목표에 대한 활동은 종종 다음과 같은 다른 목표를 달성하기 위한 것입니다:
-
특정 문제에 대해 다른 정부에게 압력을 가하거나 외교 정책 결과에 영향을 미치려는 시도.
-
양국 간 이전 분쟁에 대한 보복.
- 자국의 국익과 일치하는 외국의 문제 및 원인을 증폭
Mandiant는 2024년 선거 관련 조직을 표적으로 삼을 가능성이 높다고 평가되는 국가 연계 사이버 위협 행위자 및 페르소나 목록을 작성했습니다 (Figure 7). 침투 활동에 집중하는 위협 행위자 외에도 해킹 및 유출, 정보 작전과 같이 광범위한 대중을 대상으로 하는 사이버 위협 활동에 가담하는 그룹도 포함했습니다. 이는 이러한 대중에게 공개되는 캠페인이 종종 은밀한 침투 활동을 보완하는 목표를 달성하며, 경우에 따라서는 조직적으로 이루어지기 때문입니다.
Mandiant는 활동 가능성을 평가하기 위해 다양한 위협 행위자가 선거 관련 단체를 표적으로 삼을 가능성과 그들이 수행하는 활동 유형을 고려했습니다. 이 목록은 정부, 시민 사회, 언론 또는 기술 조직을 대상으로 하는 것으로 관찰된 그룹을 기반으로 합니다.
이 목록은 포괄적인 것으로 간주되어서는 안 됩니다. 추가로 알려진 행위자 또는 이전에 관찰되지 않은 그룹이 2024년 선거와 관련된 사이버 위협 활동에 참여할 가능성도 있습니다. 그러나 방어 전략 및 헌트 임무의 우선순위를 정하는 데 유용한 지침이 될 수 있습니다.
Figure 7: 2024년 글로벌 선거 위협 모델링
러시아
Mandiant는 러시아 정부 지원 사이버 위협 활동이 러시아가 면밀히 주시하는 지역, 즉 미국, 영국, EU의 선거에 가장 큰 위험을 초래한다고 높은 확신을 가지고 평가합니다. 다수의 러시아 그룹이 과거 미국, 프랑스, 우크라이나 선거를 표적으로 삼았으며, 이러한 그룹은 직간접적으로 선거를 표적으로 삼을 수 있는 능력과 의도를 계속해서 보여주고 있습니다. 그러나 우크라이나에서의 러시아 작전 속도가 2024년 선거를 표적으로 삼는 결정 및 가용 자원에 어떤 영향을 미칠지는 알 수 없습니다.
Figure 8: UNC4057 유출 웹사이트, 브렉시트 관련 대중 논쟁 부추기려 시도
이란
맨디언트는 이슬람 공화국이 관심을 갖는 주요 국가(핵 협상이 현재 중단된 국가 및 가자 전투 중 이스라엘을 지원하는 국가 등)에서 선거가 다가옴에 따라 이란의 사이버 스파이 및 사이버 영향력 캠페인 위험이 중간 수준의 신뢰도로 상승할 것으로 평가합니다. 과거 이란은 주로 미국 선거를 표적으로 침투 활동, 온라인 서사 촉진, 데이터 유출 주장, 유권자 협박 시도 등을 감행했습니다. 하지만 현재 관찰 결과는 이란 사이버 위협 집단이 국내 감시, 가자 전투, 이란 반대 조직인 메카(MEK)에 집중하고 있어 2024년 세계 선거 개입 시도는 대규모로 이루어질 가능성이 낮아질 수 있다는 것을 시사합니다.
중국
Mandiant는 중국 정부 지원 해킹 그룹이 정보 수집을 목적으로 선거 관련 기관을 대상으로 침투 시도를 집중할 것으로 예상하며, 친중국 성향의 정보 조작 활동은 일반적으로 중국을 칭찬하고 적대 세력을 약화시키는 데 주력할 것으로 전망합니다. Mandiant는 미국, 대만, 홍콩 등에서 친중국 정보 조작 활동 캠페인이 선거 관련 활동을 벌이는 것을 목격했습니다. 이러한 캠페인은 AI 생성 이미지 및 동영상 콘텐츠를 활용하고, 합법적인 조직이나 실존 인물로 위장하여 실제 사용자를 표적화하고 교류하는 등 점점 더 정교한 전술을 사용하여 어느 정도 성공을 거두었습니다. 이러한 활동의 일부는 실제 계정으로 보이는 계정의 댓글, 좋아요 및/또는 공유 형태로 잠재고객 참여를 증가시킨 것으로 보입니다. Mandiant는 보고서 작성 시점까지 중국 정부 지원 해킹 그룹이 침투 활동과 정보 조작 활동을 결합한 사례를 관찰하지 못했지만, 친중국 성향의 해킹 그룹이 위조된 유출 자료를 사용하여 캠페인을 벌이는 것을 관찰했습니다.
2024년 1월 대만 선거 기간 동안 관찰된 위협 행위
- 사이버 스파이 활동: Mandiant는 TEMP.Hex와 다른 중국 사이버 스파이 활동 조직들이 2024년 1월 대만 선거 전후 몇 주 동안 교육, 기술, 정부 및 통신 분야의 대만 조직을 표적으로 삼았다고 밝혔습니다. 여름 후반, TAG는 세 정당 모두 TPP, DPP 및 KMT 회원들을 대상으로 하는 여러 중국 APT 피싱 캠페인을 추적했습니다. 더 광범위하게는, TAG는 2022년에 비해 2023년에 대만을 겨냥한 중국 사이버 스파이 활동이 상당히 증가했음을 확인했습니다.
- 정보 작전: Mandiant는 2024년 1월 13일에 열린 대만 총통 선거를 전후하여 선거와 관련된 다양한 내용을 홍보하는 친중국 정보 작전 (IO) 활동의 증가를 관찰했습니다. Mandiant는 유포된 콘텐츠 및/또는 유출된 정보를 활용하여 차이잉원 전 총통과 라이칭더 당선인에 대한 인신공격적인 내용을 담은 이야기를 홍보하는 세 가지 주목할만한 작전을 확인했습니다. 유출된 것으로 추정되는 자료에는 라이칭더 당선인에게 사생아가 있다는 주장을 뒷받침하는 DNA 보고서와, 라이칭더 당선인이 DPP 관계자들을 감시하는 정부 정보원으로 활동했다는 주장을 뒷받침하는 증거로 비디오에 인용된 문서 및 녹음 파일이 포함되었습니다. 우리는 유출된 것으로 추정되는 정보의 진위를 독립적으로 검증하지 않았습니다. 그러나 공식 성명 및 신뢰할 수 있는 언론 보도를 포함한 여러 출처에서 다양한 유출 의혹 정보가 거짓일 가능성이 높다고 밝혔습니다.
Figure 9: 2024년 대만 대통령 선거를 겨냥한 DRAGONBRIDGE 계정의 샘플 게시물과 대만 시민의 DPP 투표를 방해하려는 중국어 게시물
북한
2024년 4월 10일 총선 이전에, Mandiant는 조선민주주의인민공화국(북한) 정부와 연계된 해커들이 2024년 대한민국 국회의원 선거를 둘러싸고 대한민국 정부 기관, 정당, 기술 및 제조 기업으로부터 관련 정보를 수집하는 활동을 수행할 것으로 예측했습니다. 2024년 초, Mandiant는 한국 시민 사회, 비영리 단체, 언론 매체 및 기타 조직을 대상으로 하는 여러 북한의 위협 단체와 관련된 활동을 추적했습니다.
마치며
이러한 공격 활동으로 선거에 미치는 영향이 높은 것은 아닙니다. 앞서 언급한 많은 위협 행위자들이 최선을 다했음에도 불구하고 선거 결과에 영향을 미치거나 상당한 효과를 거두는 데에는 실패하였습니다. 경계심이 높고 경험이 풍부한 방어자들과 더불어 시민들은 어려운 목표물이며, 획기적인 방법이 없이는 쉽게 성공하지 못 할 것입니다.
Google 내부에서는 TAG, Mandiant, VirusTotal, Google Cloud, Trust & Safety 등 다양한 부서에서 위협 환경에 대한 각기 다른 관점을 종합적으로 분석하고 있습니다. 또한 Google Safety Engineering Centers, Mandiant 보고서, 분기별 TAG 게시판 등 다양한 채널을 통해 보안 커뮤니티 및 일반 대중과 정보, 인사이트, 그리고 Google이 차단하는 조직적인 영향력 행사 캠페인에 대한 조치 내용들을 공유하고 있습니다.
추가 리소스
리스크를 줄이고 보안 강화를 이해 다음의 정보들을 확인해 볼 것은 권장합니다.
-
Mandiant의 정보 작전 인텔리전스를 이해하고 조치하는 방법 (블로그)
-
파괴적인 공격으로부터 보호하기 위한 사전 준비 및 강화 (백서)
-
악성코드 및 파괴적인 공격으로부터 보호하기 위한 Linux 엔드포인트 강화 (백서)
-
분산 서비스 거부(DDoS) 공격 방어 권장 사항 (백서)
Google은 정치인, 언론인, 캠페인 등이 가장 취약한 표적 공격으로부터 고위험 사용자를 보호하는 데 도움이 되는 다양한 무료 도구를 제공합니다. 예를 들어 고급 보호 프로그램으로 계정을 표적 공격으로부터 보호하고 Project Shield로 캠페인 웹사이트를 DDoS 공격으로부터 보호합니다. 올해 미국, 인도 및 EU 선거를 지원하는 Google의 방법에 대한 자세한 내용은 링크된 블로그 게시물을 검토하세요.