미국 법무부(DoJ)는 두 개의 인터넷 도메인을 압수하고 러시아 위협 세력이 대규모로 국내외에 친크렘린적 허위 정보를 은밀히 퍼뜨리는 데 사용한 것으로 알려진 1,000개에 가까운 소셜 미디어 계정을 검색했다고 밝혔습니다.
“소셜 미디어 봇 팜은 AI 요소를 사용하여 허위 소셜 미디어 프로필을 만들었습니다. 종종 미국 개인의 소유인 것처럼 가장했는데, 운영자는 이를 사용하여 러시아 정부 목표를 지지하는 메시지를 홍보했습니다.”라고 DoJ는 말했습니다.
X의 968개 계정으로 구성된 이 봇 네트워크는 러시아 국영 미디어 매체 RT(구 Russia Today)의 직원이 꾸민 정교한 계획의 일부라고 합니다. 이 계획은 크렘린의 후원을 받았으며, 러시아 연방 보안국(FSB) 요원의 도움을 받았습니다. 해당 요원은 이름을 밝히지 않은 민간 정보 기관을 만들어 이끌었습니다.
봇 팜의 개발 노력은 2022년 4월에 시작되었는데, 당시 개인들은 신원과 위치를 익명화하면서 온라인 인프라를 조달했습니다. DoJ에 따르면, 이 조직의 목표는 다양한 국적을 대표하는 허위 온라인 페르소나를 통해 허위 정보를 퍼뜨려 러시아의 이익을 증진하는 것이었습니다.
가짜 소셜 미디어 계정은 도메인 등록 기관 Namecheap에서 구매한 두 개의 도메인(mlrtr(.)com 및 otanmail(.)com)에 의존하는 개인 이메일 서버를 사용하여 등록되었습니다. X는 이후 서비스 약관을 위반했다는 이유로 봇 계정을 정지했습니다.
미국, 폴란드, 독일, 네덜란드, 스페인, 우크라이나, 이스라엘을 표적으로 삼은 이 정보 작전은 Meliorator라는 AI 기반 소프트웨어 패키지를 사용하여 수행되었으며, 이를 통해 해당 소셜 미디어 봇 팜의 “대량” 생성 및 운영이 용이해졌습니다.
캐나다, 네덜란드, 미국의 법 집행 기관은 “RT 계열사는 이 도구를 사용하여 미국, 폴란드, 독일, 네덜란드, 스페인, 우크라이나, 이스라엘을 포함한 여러 국가에 대한 허위 정보를 유포했습니다.”라고 밝혔습니다.
Meliorator에는 Brigadir라는 관리자 패널과 Taras라는 백엔드 도구가 포함되어 있습니다. Taras는 진짜처럼 보이는 계정을 제어하는 데 사용되며, 프로필 사진과 약력 정보는 Faker라는 오픈소스 프로그램을 사용하여 생성되었습니다.
이러한 각 계정은 세 가지 봇 원형 중 하나에 따라 고유한 정체성 또는 “영혼”을 가지고 있었습니다. 러시아 정부에 유리한 정치적 이념을 전파하는 봇, 다른 봇이 이미 공유한 메시지와 같은 봇, 봇과 봇이 아닌 계정 모두가 공유하는 허위 정보를 영구화하는 봇입니다.
해당 소프트웨어 패키지는 X에서만 확인되었지만, 추가 분석을 통해 위협 행위자들이 다른 소셜 미디어 플랫폼까지 기능을 확장하려는 의도가 드러났습니다.
더욱이 이 시스템은 등록된 이메일 주소로 전송된 일회용 암호를 자동으로 복사하고 가정된 위치를 기반으로 AI가 생성한 페르소나에 프록시 IP 주소를 할당함으로써 사용자의 진위성을 검증하는 X의 보안 장치를 우회했습니다.
“봇 페르소나 계정은 서비스 약관 위반으로 인한 금지를 피하고 더 큰 소셜 미디어 환경에 섞여 봇으로 인식되는 것을 피하려는 명백한 시도를 합니다.”라고 기관은 말했습니다. “진짜 계정과 마찬가지로, 이러한 봇은 자신의 정치적 성향과 자기소개에 나열된 관심사를 반영하는 진짜 계정을 따릅니다.”
RT는 블룸버그와의 인터뷰에서 “농사는 수백만 러시아인에게 사랑받는 오락입니다.”라고 말했지만, 직접적으로 반박하지는 않았습니다.
이번 사건은 미국이 외국의 영향력 행사에 AI를 사용한 외국 정부를 공개적으로 지목한 첫 사례입니다. 이 사건과 관련해 형사 고발은 공개되지 않았지만, 이 활동에 대한 조사는 계속 진행 중입니다.
도플갱어는 살아있다
최근 몇 달 동안 Google, Meta, OpenAI는 Doppelganger라는 네트워크가 조직한 것을 포함한 러시아의 허위 정보 작전이 자사 플랫폼을 활용하여 친러시아 선전을 유포하는 데 반복적으로 활용되고 있다고 경고했습니다.
Qurium과 EU DisinfoLab은 목요일에 발표한 새로운 보고서에서 “캠페인은 여전히 진행 중이며 콘텐츠 배포를 담당하는 네트워크와 서버 인프라도 여전히 진행 중입니다.”라고 밝혔습니다.
“놀랍게도 Doppelganger는 블라디보스토크 요새의 숨겨진 데이터 센터나 멀리 떨어진 군사 박쥐 동굴에서 운영되지 않고 유럽에서 가장 큰 데이터 센터 내부에서 운영되는 새로 만들어진 러시아 공급업체에서 운영됩니다. Doppelganger는 사이버 범죄 활동 및 제휴 광고 네트워크와 긴밀히 연계하여 운영됩니다.”
작전의 핵심은 Aeza, Evil Empire, GIR, TNSECURITY를 포함하는 탄탄한 호스팅 공급업체 네트워크인데, 여기에는 Stealc, Amadey, Agent Tesla, Glupteba, Raccoon Stealer, RisePro, RedLine Stealer, RevengeRAT, Lumma, Meduza, Mystic과 같은 다양한 맬웨어 계열의 명령 및 제어 도메인도 포함되어 있습니다.
게다가, 허위 정보를 방지하기 위한 다양한 도구를 제공하는 NewsGuard는 최근 인기 있는 AI 챗봇이 “응답의 3분의 1에서 지역 뉴스 매체인 것처럼 위장한 국가 계열 사이트의 조작된 내러티브”를 반복하는 경향이 있다는 것을 발견했습니다.
이란과 중국의 영향력 작전
또한 미국 국가정보국(ODNI)은 이란이 “외국 영향력 확대 노력에 점점 더 공격적으로 나서서 불화를 조장하고 민주주의 기관에 대한 신뢰를 훼손하려 하고 있다”고 밝혔습니다.
해당 기관은 이란 세력들이 소셜 미디어 플랫폼을 이용하고 위협을 가하는 등 사이버 및 영향력 행사 활동을 지속적으로 강화하고 있으며, 온라인에서 활동가로 가장해 미국에서 가자 지구 지지 시위를 확대하고 있다고 지적했습니다.
Google은 2024년 1분기에 YouTube와 Blogger에서 드래곤 브리지(일명 Spamouflage Dragon) 활동 10,000건 이상을 차단했다고 밝혔습니다. 드래곤 브리지는 중국과 연계된 스팸성이지만 끈질기게 활동하는 영향력 있는 네트워크에 붙은 이름입니다. 해당 활동은 미국을 부정적으로 묘사하는 내용과 대만 선거, 이스라엘-하마스 전쟁과 관련된 콘텐츠를 홍보했으며 중국어 사용자를 대상으로 했습니다.
비교해 보면, 이 기술 거대 기업은 2022년에 최소 50,000건의 그러한 사례를 방해했고 2023년에는 65,000건을 더 방해했습니다. 전체적으로 네트워크 수명 동안 지금까지 175,000건 이상의 사례를 방지했습니다.
“계속되는 방대한 콘텐츠 제작과 운영 규모에도 불구하고 DRAGONBRIDGE는 실제 시청자로부터 유기적 참여를 거의 달성하지 못했습니다.” 위협 분석 그룹(TAG) 연구원인 Zak Butler가 말했습니다. “DRAGONBRIDGE 콘텐츠가 참여를 얻은 경우, 다른 DRAGONBRIDGE 계정에서 온 것이지 진짜 사용자에서 온 것이 아니어서 거의 전적으로 비진정성이었습니다.”
