콘텐츠로 이동하기
위협 인텔리전스

GLASSBRIDGE: PR & 디지털 마케팅 회사를 활용해 중국의 정치적 이익에 부합하는 가짜 정보를 확산한 정보 작전 캠페인 분석

2024년 11월 28일
Google Threat Intelligence Group

* 해당 블로그의 원문은 2024년 11월 23일 Google Cloud 블로그(영문)에 게재되었습니다. 


작성자: Vanessa Molter

이 조사 과정에 기여해주신 Mandiant의 Ryan Serabian에게 특별히 감사드립니다.


이번 포스팅에서는 GLASSBRIDGE로 알려진 그룹에 대해 알아보겠습니다. 이 그룹은 여러 홍보(PR) 회사를 통해 만들고 운영하는 뉴스 사이트를 거점으로 삼아 거대한 규모로 가짜 뉴스를 만들어내고 있습니다. 구글 위협 인텔리전스 그룹(Google Threat Intelligence Group)은 GLASSBRIDGE가 운영 중인 가짜 뉴스 사이트와 뉴스 배포 네트워크를 추적하고 습니다. 참고로 구글 위협 인텔리전스 그룹은 구글 위협 분석 그룹(이하 구글 TAG)와 맨디언트(Mandiant)로 구성된 조직입니다. GLASSBRIDGE는 수백 개의 도메인을 확보한 다음 진짜 뉴스를 제공하는 것처럼 보이게 하기 위해 여러 국가에서 수많은 웹사이트를 만들었습니다. 그리고 이 웹사이트들을 통해 중국 정부의 정치적 이익에 부합하는 특정 내러티브를 강조하는 가짜 뉴스를 퍼뜨렸습니다. 2022년 이후 구글은 GLASSBRIDGE가 운영하는 많은 웹사이트들이 거짓 정보를 퍼뜨리거나, 정보를 투명하게 공개하지 않는 등의 잘못된 행동을 하고 있다고 판단했습니다. 이에 구글은 이러한 웹사이트들이 구글 뉴스(Google News)와 구글 디스커버(Google Discover)에 나오지 않도록 1,000개 이상의 웹사이트를 대상으로 차단 조치를 취했습니다.

어떤 사람 혹은 단체가 PR 회사를 고용해 사이트들을 만들고 운영했는지 정확히 밝혀지지 않았습니다. PR 회사들은 누군가의 지시를 받고 중국에 좋은 내용만 담긴 친중국(Pro-PRC) 성향의 가짜 뉴스를 퍼뜨리고 있는 것으로 보입니다. 왜냐하면 각각의 PR 회사가 비슷한 일을 하고 있고, 이들에게 지시를 내리는 사람이 같을 가능성이 높기 때문입니다.

이 캠페인은 PR 회사가 정치적인 목적을 위해 어떻게 이용될 수 있는지를 보여주는 또 다른 사례입니다. 이 캠페인에서 PR 회사는 중국의 정치적인 목적을 위해 가짜 뉴스를 퍼뜨리는 역할을 했습니다. GLASSBRIDGE는 PR 회사를 하여 정보 작전(Information Operation)의 배후에 누가 있는 지를 은폐하였습니다. 누군가가 PR 회사가 뉴스 사이트를 통해 배포한 정보에 문제를 제기해도, 이 회사는 "우리는 단지 고객의 의뢰를 받아 일을 했을 뿐이다"라고 주장하며 책임을 회피할 수 있습니다. 즉, GLASSBRIDGE는 가짜 정보 배포의 책임 회피를 위해 PR 회사를 활용했다고 볼 수 있습니다.

배경 정보

GLASSBRIDGE가 배후에 있는 뉴스 사이트들은 PR 회사들에 의해 운영됩니다. GLASSBRIDGE는 여러 개의 PR 회사들을 이용하여 마치 다양한 곳에서 뉴스가 나오는 것처럼 보이게 합니다. 진짜 뉴스처럼 보이기 위해 다른 뉴스 기사를 복사해서 조금씩 꿔서 올리기도 합니다. 또한, 중국 정부가 내놓은 내용을 그대로 또는 비슷하게 바꿔서 자기들 뉴스처럼 올립니다. 다른 홍보 회사에서 만든 광고나 홍보 글도 자기들 뉴스처럼 올리기도 합니다. 이외에도 구글 TAG가 추적하는 가장 활발한 정보 작전 행위자인 DRAGONBRIDGE라는 또 다른 가짜 뉴스 조직과 함께 일하며, 더욱 큰 규모로 가짜 뉴스를 퍼뜨리기도 합니다.

이 포스팅에서 언급하는 PR 회사는 서로 독립적인 회사이지만, 비슷한 방법으로 가짜 뉴스를 만들어 퍼뜨리고 있습니다. 이들은 많은 수의 웹사이트 주소인 도메인을 만들어 운영하고 있습니다. 각 웹사이트에서 비슷한 주제의 거짓 정보를 게시하고 있습니다. 중국뿐만 아니라 호주, 오스트리아, 체코, 이집트, 프랑스, 독일, 헝가리, 케냐, 인도, 인도네시아, 일본, 룩셈부르크, 마카오, 말레이시아, 뉴질랜드, 나이지리아, 폴란드, 포르투갈, 카타르, 러시아, 사우디아라비아, 싱가포르, 한국, 스페인, 스위스, 대만, 태국, 터키, 미국, 베트남, 그리고 중국어를 사용하는 해외 디아스포라를 대상으로 가짜 뉴스를 퍼뜨리고 있습니다.

참고로 뉴스 배포 서비스를 활용하는 것은 모든 캠페인에서 공통적으로 사용되는 전술입니다. 이 캠페인의 경우 PR 회사 중 두 곳에서 뉴스 배포 서비스를 직접 운영하고 통제하였습니다.

https://storage.googleapis.com/gweb-cloudblog-publish/original_images/glassbridge-fig1a.gif

그림 1: GLASSBRIDGE는 가짜 뉴스 컨텐츠를 게시하는 회사들과 뉴스 배포 서비스로 구성된 하나의 생태계를 보여줍니다.

가장 활발히 활동한 PR & 마케팅 회사 - 상하이 하이쉰 테크놀로지

상하이 하이쉰 테크놀로지(SHANGHAI HAIXUN TECHNOLOGY CO., LTD), 또는 ‘하이쉰’은 구글이 확인한 친중국 정보 작전 캠페인을 지원하는 PR 및 마케팅 회사 중 가장 활발히 활동하는 회사입니다. 구글 TAG가 하이쉰을 추적한 이후 구글은 이 회사와 연관된 600개 이상의 정책 위반 도메인을 구글 뉴스에서 제거했습니다. 이 사이트들은 영어와 중국어 사용자를 주요 대상으로 하며, 브라질, 인도, 일본, 케냐, 한국, 말레이시아, 사우디아라비아, 싱가포르, 스페인, 러시아, 태국, 카타르, 베트남 등 다양한 국가의 청중도 겨냥하고 있습니다. 또한, 구글은 하이쉰과 관련된 일부 정책 위반 유튜브 채널도 차단한 바 있습니다.

2023년 7월 맨디언트는 하이쉰이 정보 조작 활동을 벌였다는 사실을 밝혀냈습니다. 하이쉰은 타임즈 뉴스와이어(Times Newswire)와 월드 뉴스와이어(World Newswire)와 같은 합법적인 뉴스 배포 서비스를 이용하여 중국 정부의 입장을 지지하는 내용의 글이나 기사를 만들어서 마치 유명한 뉴스 매체에서 나온 것처럼 보이게 만들었습니다. 하이쉰은 유명한 신문사의 서브 도메인을 만들어서 마치 해당 언론사에서 나온 기사인 것처럼 속이려는 수법도 동원하였습니다. 또한, Fiverr와 같은 플랫폼을 통해 돈을 주고 사람들을 고용하여 가짜 뉴스를 소셜에 퍼뜨리도록 했습니다.

하이쉰이 운영하는 가짜 뉴스 사이트들에 올라오는 컨텐츠는 내용이 부실하고, 비슷한 내용의 글이 여러 사이트에 반복해서 게시되었습니다. 그리고 메타 버스 같이 유행하는 주제로 억지로 내용을 끼워 맞춘 글도 있었습니다. 이외에도 중국 국영 매체인 글로벌 타임즈(Global Times)의 기사를 그대로 베끼거나 비슷한 내용으로 바꿔서 올리기도 합니다. 이를 통해 중국 주장을 강조합니다. 예를 들어 남중국해, 대만, ASEAN, 파룬궁, 신장, COVID-19 팬데믹 등 중국 정부가 중요하게 생각하는 문제에 대해 중국 정부의 입장을 그대로 전달합니다.

https://storage.googleapis.com/gweb-cloudblog-publish/images/glassbridge-fig2.max-1100x1100.png

그림 2: 하이쉰의 허위 뉴스 사이트는 메타 버스와 같은 다양한 주제의 컨텐츠와 함께 중국 정부의 입장을 반영한 내러티브 및 글로벌 타임즈 기사를 혼합하여 게시하고 있습니다.

타임즈 뉴스와이어와 하이쉰 

2024년 2월, 구글은 가짜 뉴스를 퍼뜨리는 조직으로 Citizen Lab이 보고한 PAPERWALL을 발견하고 이들이 운영하는 웹사이트들을 구글 뉴스에서 차단했습니다. PAPERWALL은 중국 정부의 영향을 받아 만들어진 것으로 추정되는 거대한 가짜 뉴스 공장입니다. 이들은 전 세계 30개국 이상에서 100개가 넘는 가짜 뉴스 웹사이트를 운영하며, 마치 진짜 지역 뉴스 매체처럼 보이게 만들었습니다. 이러한 허위 뉴스 사이트들은 실제 지역 뉴스 매체에서 기사를 복사해 와서 마치 자기들이 만든 것처럼 속였습니다. 중국 국영 매체에서 나온 기사나 중국 정부의 입장을 대변하는 내용은 그대로 올렸습니다. 특정 사람을 비난하고 공격하는 글이나 특정 사람이나 단체에 대한 허위 정보를 퍼뜨리기도 했습니다.

구글 TAG는 기술적 분석을 통해 타임즈 뉴스와이어가 PAPERWALL이라는 가짜 뉴스 네트워크를 직접 운영하고 있다는 사실을 밝혀냈습니다. 타임즈 뉴스와이어는 앞서 언급한 하이쉰이라는 회사를 대신하여 가짜 뉴스를 배포해 온 것으로 드러났습니다. 타임즈 뉴스와이어는 또 다른 중국 미디어 기업인 하이마이(Haimai)에 의해 운영되는 것으로 밝혀졌습니다. 하이마이는 글로벌 미디어 사업을 한다고 주장하지만, 실제로는 가짜 뉴스 유포에 관여하고 있었습니다.

이 허위 뉴스 사이트들에 게시된 음모론 및 특정인을 비방하는 컨텐츠는 이전에 관찰된 친중국 정보작전 캠페인의 내용과 유사합니다. 예를 들어 중국 출신 바이러스학자 옌리멍(Yan Limeng)에 대한 인신 공격이나, 미국이 인간을 대상으로 생물학적 실험을 진행하고 있다는 주장 등이 포함되어 있습니다. 이러한 비방 컨텐츠는 대부분 짧은 기간 동안 게시된 후 삭제되는 경향을 보였습니다.

DURINBRIDGE

DURINBRIDGE는 중국 정부의 입장을 지지하는 가짜 뉴스를 만들어 퍼뜨리는 회사 중 하나입니다. DURINBRIDGE는 200개가 넘는 웹사이트를 운영하며, 마치 진짜 뉴스 매체처럼 보이게 합니다. 정치, 경제, 사회 등 다양한 주제의 기사를 올려서 마치 진짜 뉴스를 다루는 곳처럼 보이게 합니다. 올리는 기사 대부분이 중국 정부의 입장을 지지하는 내용입니다. 구글의 규정을 어겼기 때문에 구글 뉴스와 디스커버에서 더 이상 볼 수 없게 되었습니다.

중요한 점은 DURINBRIDGE는 직접적으로 가짜 뉴스를 만들고 퍼뜨리는 주체라기 보다 다른 회사나 단체를 대신하여 이러한 일을 해주는 중간 역할을 했을 가능성이 높다는 것입니다. DURINBRIDGE 웹사이트에는 진짜 뉴스처럼 보이는 다양한 종류의 컨텐츠가 함께 존재합니다. 하지만 일부는 중국 정부를 지지하는 가짜 뉴스이기도 합니다. DURINBRIDGE는 하이쉰, DRAGONBRIDGE와 같은 다른 정보 작전 조직과 연관이 있으며, 하이마이가 운영하는 타임즈 뉴스와이어의 기사와 이미지를 사용하고 있습니다.

구글은 DURINBRIDGE의 뉴스 사이트에서 DRAGONBRIDGE가 만들어낸 기사들을 발견했습니다. 이 기사들은 망명한 기업가인 궈원구이(Guo Wengui)를 비난하는 내용을 담고 있으며, 이는 DRAGONBRIDGE가 반복적으로 사용하는 주제입니다. 또한, 대만의 대통령 선거를 앞두고 DRAGONBRIDGE가 퍼뜨린 가짜 뉴스도 DURINBRIDGE 사이트에서 발견되었습니다. 

DURINBRIDGE는 표면적으로 독립적 미디어처럼 보이는 웹사이트를 통해 다양한 컨텐츠를 게시하며, 일부는 친중국 정보 작전과 직접 연결되어 있습니다.

https://storage.googleapis.com/gweb-cloudblog-publish/images/glassbridge-fig3.max-1300x1300.png

그림 3: DURINBRIDGE가 운영하는 가짜 뉴스 사이트에 게시된 DRAGONBRIDGE 컨텐츠

https://storage.googleapis.com/gweb-cloudblog-publish/images/glassbridge-fig4.max-1100x1100.png

그림 4: DURINBRIDGE 운영 가짜 뉴스 사이트에 게시된 차이잉원의 비밀 역사

https://storage.googleapis.com/gweb-cloudblog-publish/images/glassbridge-fig5.max-1000x1000.png

그림 5: 대만 대통령 선거를 앞두고 당시 후보였던 라이칭더(Lai Ching-te)에 대한 내러티브를 DRAGONBRIDGE가 확산시킨 사례

Shenzhen Bowen Media

구글은 2024년 초, Shenzhen Bowen Media라는 또 다른 중국 기업이 가짜 뉴스 유포에 연루되어 있음을 밝혀냈습니다. Shenzhen Bowen Media는 중국에 기반을 둔 마케팅 회사로, 유럽, 아메리카, 아시아, 호주 등 전 세계 여러 국가를 대상으로 100개가 넘는 가짜 뉴스 웹사이트를 운영했습니다. 이들은 자신들이 운영하는 웹사이트를 마치 진짜 뉴스 매체처럼 위장하여 사람들을 속였습니다. 이러한 행위는 구글의 정책을 위반했으며, 결국 구글 뉴스와 디스커버리에서 차단되었습니다. 참고로 Shenzhen Bowen Media는 하이쉰이 사용했던 월드 뉴스와이어라는 서비스를 운영하며, 하이쉰과 유사한 합법적인 언론사 사이트의 서브 도메인에 컨텐츠를 배치하는 방식으로 가짜 뉴스를 유포했습니다.

https://storage.googleapis.com/gweb-cloudblog-publish/images/glassbridge-fig6.max-1600x1600.png

그림 6: 브라질과 독일을 대상으로 현지 컨텐츠를 게시한 Shenzhen Bowen과 관련된 사이트들

Shenzhen Bowen Media는 단순히 가짜 뉴스를 퍼뜨리는 것을 넘어, 매우 정교한 방식으로 정보 작전을 수행하고 있습니다. Shenzhen Bowen Media는 마치 다국적 언론사처럼 운영되고 있습니다. 각 국가와 도시에 맞는 뉴스를 제공하며, 현지 언어로 작성된 기사를 통해 마치 해당 지역의 실제 언론사처럼 보이도록 합니다. 하지만 이들은 실제로는 중국 정부의 입장을 대변하는 가짜 뉴스를 퍼뜨리는 목적으로 운영되는 것입니다.

Shenzhen Bowen Media는 특정 국가나 도시의 지역 뉴스 매체처럼 위장하여 비즈니스, 스포츠, 정치 관련 기사를 게시하여 신뢰성을 높이고 있습니다. 중국어뿐만 아니라 영어, 프랑스어, 독일어, 일본어, 태국어 등 다양한 언어로 콘텐츠를 제공하여 더욱 넓은 지역에 영향을 미치려고 합니다. 지역 정보와 함께 하이쉰이 운영하는 월드 뉴스와이어를 통해 제공되는 자료를 활용하여 중국 정부의 입장을 대변하는 내용을 담은 기사도 홍보합니다. 구글 TAG와 맨디언트는 Shenzhen Bowen Media의 웹사이트에서 DRAGONBRIDGE와 관련된 내용을 발견헀는데, 이는 두 조직이 긴밀하게 협력하고 있음을 시사합니다.

Shenzhen Bowen Media는 지역 언어와 주제를 활용하여 현지 독자들에게 친중국적 메시지를 전달하는 한편, DRAGONBRIDGE와 같은 정보 작전 캠페인의 컨텐츠를 배포하는 데 기여하고 있습니다.

https://storage.googleapis.com/gweb-cloudblog-publish/images/glassbridge-fig7.max-1000x1000.png

그림 7: Shenzhen Bowen Media와 연결된 Boston Journal 웹사이트에 게시된 DRAGONBRIDGE 컨텐츠

결론

GLASSBRIDGE는 가짜 뉴스를 퍼뜨리는 데 있어 더욱 정교하고 은밀한 방법을 사용하고 있으며, 이는 러시아이란과 같은 국가들이 사용하는 정보 작전 기법과 유사합니다. GLASSBRIDGE는 소셜 미디어뿐만 아니라, 지역 뉴스 매체처럼 위장한 웹사이트를 통해 가짜 뉴스를 퍼뜨리고 있습니다. 또한, 자신들이 운영하는 웹사이트를 마치 지역 기반의 독립적인 뉴스 매체처럼 위장하여 신뢰성을 높이고 있습니다.

GLASSBRIDGE는 배후를 숨기기 위해 PR 및 뉴스 배포 회사를 활용하여 가짜 뉴스를 제작하고 배포합니다. GLASSBRIDGE가 제작하는 컨텐츠는 대부분 중국 정부를 지지하는 내용을 담고 있으며, 이는 특정 고객의 지시에 따른 것으로 추정됩니다.

구글은 GLASSBRIDGE와 같은 조직의 활동을 지속적으로 추적하고 있으며, 구글 플랫폼에서 허위 정보를 차단하기 위해 노력하고 있습니다. 더불어 TAG Bulletin을 통해 최신 집행 조치와 관련된 내용을 정기적으로 공개하고 있습니다.

게시 위치