중국 지원 스파이 활동, 언론인과 활동가를 표적으로 삼다

중국 국가 지원 해커들, 언론인과 시민사회 단체를 표적으로 삼다

Citizen Lab과 국제탐사보도언론인협회(ICIJ)의 연구원들이 언론인, 위구르 및 티베트 활동가, 대만 정부 관리들을 체계적으로 표적으로 삼은 중국 연계 대규모 디지털 스파이 작전을 폭로했다. 이 캠페인은 100개 이상의 악성 도메인과 AI가 생성한 피싱 메시지를 활용해 로그인 자격 증명을 탈취하고 이메일 계정, 파일, 연락처 목록에 무단으로 접근하도록 설계되었다.

이 작전의 규모와 정교함은 최근 몇 년간 기록된 국가 지원 감시 캠페인 중에서도 가장 중요한 사례 중 하나로 꼽힌다. 또한 일상적으로 국가의 압력 아래 활동하는 시민사회 단체, 독립 미디어 기관, 소수민족 커뮤니티의 취약성에 대한 심각한 의문을 제기한다.

공격 방식

공격자들은 신뢰할 수 있는 서비스나 연락처를 사칭해 표적이 자신의 사용자 이름과 비밀번호를 내어주도록 속이는 방법인 피싱에 크게 의존했다. 이 캠페인을 주목하게 만드는 점은 AI가 생성한 메시지의 활용이다. AI를 통해 공격자들은 문법적으로 정확하고 매우 설득력 있는 메시지를 대규모로 생산할 수 있으며, 이는 효과적인 피싱의 전통적인 장벽 중 하나를 낮춘다.

자격 증명이 확보되면 공격자들은 명확한 경고를 유발하지 않고도 이메일 수신함에 조용히 접근하고, 연락처 목록을 수집하며, 민감한 파일을 열람할 수 있었다. 이러한 접근은 취재원 통신과 미공개 문서가 노출될 수 있는 탐사 언론인에게 특히 치명적이며, 연락처 네트워크 전체가 식별되어 위험에 처할 수 있는 활동가들에게도 마찬가지다.

100개 이상의 악성 도메인 사용은 충분한 자원을 갖춘 작전임을 시사한다. 여러 도메인에 걸쳐 인프라를 분산시키면 보안팀이 단일 출처를 표적으로 삼아 캠페인을 차단하기가 더 어려워지며, 개별 도메인이 탐지되더라도 공격자들이 신속하게 전환할 수 있게 해준다.

표적이 된 대상과 그 중요성

이 캠페인의 표적들에는 공통점이 있다. 모두 중국 당국이 감시할 강력한 정치적 동기를 가진 집단이라는 점이다. ICIJ는 파나마 페이퍼스와 판도라 페이퍼스를 포함한 주요 금융 탐사 보도를 발표한 것으로 가장 잘 알려져 있다. 위구르 및 티베트 커뮤니티는 오랫동안 디지털 감시의 대상이 되어 왔으며, Citizen Lab은 두 집단 모두를 겨냥한 여러 이전 캠페인을 문서화한 바 있다. 대만 정부 관리들은 지속되는 양안 긴장 관계를 고려할 때 지정학적으로 민감한 표적이다.

이것은 고립된 사건이 아니다. 토론토 대학교에 기반을 둔 Citizen Lab은 수년에 걸쳐 중국과 관련된 반체제 인사, 언론인, 소수 집단을 표적으로 삼은 수십 건의 캠페인을 문서화해 왔다. 이번 최신 사례가 보여주는 것은 그 방법이 진화하고 있다는 사실이다. 피싱 작전에 AI 도구가 도입됨으로써 디지털 보안에 주의를 기울이는 표적조차 악성 메시지와 정상적인 메시지를 구별하기가 더욱 어려워질 수 있다.

시민사회 단체에 미치는 영향은 개인 계정을 넘어선다. 언론인의 수신함이 침해되면 취재원이 식별될 수 있다. 활동가의 연락처 목록이 수집되면 네트워크 전체가 적대적인 국가 행위자에게 노출된다. 피해는 직접 공격받은 사람에게만 국한되는 경우가 거의 없다.

당신에게 의미하는 바

언론, 활동가 활동, 또는 민감한 커뮤니케이션이 일상적인 분야에서 일하고 있다면, 이 캠페인은 자격 증명 탈취가 국가 지원 공격자들이 활용할 수 있는 가장 효과적인 수단 중 하나라는 사실을 명확히 상기시켜 준다. 광범위한 감시망에 휘말리기 위해 주요 표적이 될 필요는 없다.

몇 가지 실질적인 조치를 취하면 노출 위험을 의미 있게 줄일 수 있다:

• 하드웨어 보안 키 또는 앱 기반 이중 인증을 사용하라. 비밀번호를 탈취하는 피싱 공격은 로그인을 완료하기 위해 두 번째 인증 수단이 필요할 때 훨씬 덜 효과적이다. 특히 하드웨어 키는 피싱에 매우 강한 저항성을 보인다.
• 예상치 못한 로그인 요청에 의심을 품어라. AI가 생성한 피싱 메시지는 설득력 있어 보일 수 있지만, 자격 증명 확인이나 낯선 링크를 통한 로그인을 요청하는 행위 자체가 위험 신호다.
• 민감한 대화에는 암호화된 커뮤니케이션 도구를 사용하라. 이메일은 본질적으로 보안이 어렵다. 종단 간 암호화된 메시징 애플리케이션은 취재원 통신과 민감한 조율에 훨씬 강력한 보호를 제공한다.
• 계정 접근 권한을 정기적으로 감사하라. 어떤 기기와 애플리케이션이 이메일 및 클라우드 저장소에 접근하고 있는지 확인하라. 낯선 항목은 즉시 취소하라.
• 공용 또는 신뢰할 수 없는 네트워크에서 민감한 계정에 접근할 때는 VPN 사용을 고려하라. VPN이 피싱을 막아주지는 않지만, 위협 모델에 국가급 행위자가 포함될 경우 중요한 네트워크 수준에서의 트래픽 도청으로부터 보호해 준다.

이와 같은 국가 지원 피싱 캠페인은 눈에 띄지 않도록 설계되어 있다. 자격 증명이 탈취되고, 접근이 조용히 유지되며, 표적들은 상당한 피해가 이미 발생한 후에야 자신이 침해당했다는 사실을 알게 되는 경우가 많다. 이러한 작전이 어떻게 작동하는지 이해하는 것이 자신과 자신의 네트워크를 보호하기 위한 첫걸음이다.

언론인, 활동가, 그리고 그 일로 인해 동기 부여된 적대자의 표적이 되는 누구에게든 디지털 보안은 기술적인 부차 사항이 아니다. 그것은 안전하게 활동하기 위한 핵심 요소다. 사건이 발생하기 전, 지금 당장 인증 방식과 커뮤니케이션 습관을 점검하는 것이 가장 효과적인 방어책이다.