러시아의 2016년 미국 대선 개입, 조직적이고 광범위했다

시만텍이 트위터가 공개한 데이터셋 분석했더니, 알려진 것보다 더 조직적
스탠포드 대학 측은 보고서 통해 정부를 위한 제안서 발표...두 번째 공격 막아야

[보안뉴스 문가용 기자] 러시아의 인터넷 조사 에이전시(Internet Research Agency)가 2016년 미국 대선에 개입한 것에 대한 새로운 보고서가 발표됐다. 보안 업체 시만텍(Symantec)이 공개한 것으로, 이전에 알려졌던 것보다 훨씬 더 조직적이고 광범위하게 작전이 수행되었다고 한다. 스탠포드대학도 이 사건과 관련된 새로운 보고서를 통해 2020년 대선에서 러시아의 유사 행위를 막을 수 있는 방법을 제시했다.

[이미지 = iclickart]

이중 스탠포드대학이 발표한 보고서는 “미국의 선거 보호하기(Securing American Elections)”로, “사이버 보안, 소셜 미디어, 선거 감독, 러시아 전문가들이 힘을 합해 작성한 것”이라고 한다. 전문가들은 이 보고서를 통해 미국 정부가 취할 수 있는 일들을 상당 수 제안했다.

이 제안들은 총 7개 항목으로 나뉜다.
1) 선거 기반 시설 강화하기
2) 온라인 정치 관련 광고 규제하기(외국 단체가 내는 광고)
3) 해외 미디어의 선거 관련 여론 개입 행위에 대응하기
4) 국가가 지원하는 허위 정보 유포 캠페인에 맞서기
5) 해외 세력의 개입 시도에 대한 투명성 확보하기
6) 규범 정의하기
7) 미래에 있을 공격 약화시키기

선거 기반 시설 강화하기 항목에서는 다음과 같은 것들이 제안됐다.
1) 유권자들이 확인할 수 있는 서면 감사 추적 시스템 도입
2) 위험을 제한하는 감사
3) 해외 적대 세력의 입장에서 선거 시스템 평가
4) 선거 캠페인 관리자들의 디지털 공간에서의 행동 규범 정의
5) 선거의 사이버 기능을 강화하기 위한 주기적인 투자
6) 선거 시스템을 미국의 주요 사회 기반 시설로 지위 높이기
7) 정당들과 정치인 개인(선거에 참가하는)에 디지털 도움 제공

이번 보고서에서 제안된 내용 중 획기적인 것 중 하나는, “미국 정부가 가지고 있는‘용인 제한선’을 높이라”는 것이다. 해외의 정부 단체의 행동이 미국 정부가 정한 수위를 넘으면 정부 차원에서 행동을 취할 수 있다고 결정된 것이 있는데, 이 수위의 수준을 낮춤으로써 잠재적 공격자들에게 부담을 가중시키라는 것이다. “적대 세력의 위협적인 행위를 효과적으로 제어하려면, 가장 먼저 ‘정부가 가만히 있지 않겠다’는 의지를 보여줘야 합니다. 물론 이제는 사이버 공간 안에서의 행동도 간과해서는 안 되겠죠. 미국 정부는 ‘디지털 공간 안에서 이렇게 저렇게 행동하면 미국 정부가 움직인다’는 것을 세계에 천명해야 합니다.”

이번 보고서에는 러시아의 ATP 그룹들이 미국 민주당 전국회의와 힐러리 클린턴(Hilary Clinton) 당시 대선 후보의 이메일을 해킹해 그 내용을 폭로한 사건이 언급되기도 한다. 그리고 비슷한 일이 발생하는 걸 막으려면 “전 세계 민주주의 국가에서 활동하는 정당들과 정치 후보자들 전부가 허위 정보 전파 및 폭로전에 대항하기 위한 규범을 정해야 한다”고 제안했다. 인터넷 공간에서 가짜 정보가 유통되고 선거에 영향을 주는 행위는 국경을 쉽게 넘나들기 때문이다.

스탠포드 보고서는 “앞으로 선거 방해 행위는 단순 여론 조작만이 아니라 실제 득표수 조작이나 투표 기계 파괴 등도 포함할 것”이라고 예측하고 있기도 하다. 또한 딥페이크(Deepfake)와 같은 기술과, 인공지능 텍스트 생성 엔진들이 개발되고 사용됨에 따라 선거는 더 복잡한 문제들과 엮일 것이라고 경고하기도 했다.

기존에 러시아가 사용했던 타국 선거 개입 전략은 다른 나라들도 따라할 것이라는 전망이 나오기도 했다. “가짜 정보를 유포하는 공격을 따라하는 국가가 많아질 것이라는 건데, 앞으로 이 전략은 좋은 컴퓨터 시설이나 기능, 기술적인 면보다는 가짜 행위 배포 전략들을 유연하게 바꿔가면서 사용하는 능력과 자연스러운 영어 및 표적이 되는 국가의 공용어를 구사하는 것, 유권자들 사이의 심리적 취약점을 파악하고 공격하는 능력에 대한 의존도가 더 높아질 것입니다. 즉 기술 싸움보다는 심리와 사회 공학적 싸움이 될 공산이 커졌다는 것이죠.”

보고서 작성에 참여했던 마이클 맥폴(Michael McFaul) 전 러시아 주재 미국 대사는 “지금의 우리는 러시아의 2016년 선거 개입에 대해 훨씬 더 많은 것들을 알고 있다”며 “그 지식을 활용해 다시 한 번 똑같은 일이 일어나는 걸 막는 데 주력해야 한다”고 말했다. “이건 특정 IT 기술 업체나 산업 분야에서 단독으로 책임을 져야 하는 게 아니라 관련 정책을 강화하고 규정도 정비해야 하는 일입니다.”

그렇다면 미국은 정확히 뭘 더 알게 된 걸까? 그건 시만텍이 낸 보고서, ‘트위터봇 : 프로파간다 캠페인의 해부(Twitterbots : Anatomy of a Propaganda Campaign)’를 통해 상세히 드러난다. 이 보고서는 가짜 트위터 계정들에 대한 데이터셋을 분석해서 작성된 것이다. 이 데이터셋은 2018년 10월에 트위터가 공개한 것으로 약 1천만 개의 트윗, 3836개의 트위터 계정으로 구성되어 있다. 이 계정들은 평균 6.4명의 팔로워를 보유하고 있었고, 총 320만 개 계정을 팔로우 하고 있었다. 이런 가짜 계정들의 활동은 2013년부터 시작됐다.

이 계정들은 거의 대부분 선거 개입 행위가 있기 한참 전부터 만들어져 있었다. 즉 러시아 공격자들이 한참 전부터 미국 대선을 노리기 위한 전략을 세웠다는 것이다. 이 계정들에서 첫 번째 공격용 포스트가 올라온 건, 계정 생성일로부터 평균 177일이 지난 후였다. 가짜 계정의 평균 수명은 429일이었다. 이 계정들은 크게 두 개의 그룹으로 나뉘어 있었다. 주 계정과 부 계정이었다.

주 계정은 전부 123개로 대부분 2014년 5월과 8월 사이에 만들어졌다. 주 계정의 역할은 새로운 포스트를 올리고, 이 포스트를 리트윗할 수 있는 팔로워들을 대규모로 수집하는 것이었다. 주로 지역 신문이나 정치 전문 매체인 것처럼 위장하고 있었다. 시만텍의 분석에 의하면 이 계정들의 대다수(96%)는 자동화 기술로 운영되어 있었다고 한다. “블로그 활동에 대한 모니터링과 새로운 포스트를 트위터에 자동으로 업로드하는 것이 자동으로 처리되더군요. 하지만 일부 공격자들이 필요에 따라 수동으로 미세한 조정을 하기도 했습니다.” 이번 연구에 참여한 질리안 클리어리(Gillian Cleary)의 설명이다.

부 계정은 총 3713개로, 일반인들로 위장되어 있었다. 새로운 메시지를 올리거나 팔로워를 모집하는 대신, 주 계정에서 만들어진 콘텐츠를 리트윗함으로써 가짜 뉴스 등의 악성 콘텐츠를 증폭시키는 역할을 담당했다. 민주당과 공화당 양쪽 지지자 모두에게 영향을 미치기 위해 활동을 했지만, 그 무엇보다 ‘정치에 무관심한 사람들’을 부추기는 데 활동의 초점이 맞춰져 있었다.

이 계정들이 만든 영어 트윗들은 전부 771,954개였다. 전부 2016년 1월과 11월 사이에 작성된 것이었다. 특히 9월과 10월에 엄청난 활동량을 보였다. 클리어리는 “러시아의 선거 개입은 소위 말하는 인터넷 트롤들이 한 짓으로 알려져 있는데, 데이터셋을 분석해보닌 단순 ‘트롤링’은 아니었다”고 결론을 내린다. “고도로 전문화 된 전략이 조직적으로 활용되고 있었습니다. 여기에 자동화 기술과, 주 계정과 부계정의 오케스트레이션도 적재적소에서 적용되고 있었고요. 오래전부터 준비되었고, 착실하게 수행된 공격입니다.”

3줄 요약
1. 트위터에서 공개한 대규모 데이터셋 분석했더니, 대선 조작 탬페인의 조직적인 면모 드러남.
2. 공격을 개시하기 오래 전부터 이미 마련된 계정들... 주 계정과 부 계정으로 나뉨.
3. 스탠포드대학에서 두 번째 선거 개입 막기 위해, 정부를 위한 제안 발표함.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)