도플갱어 허위정보 캠페인 분석

# 유럽과 미국에서의 중간‧연도 도펠갱어 정보 작전  
*HarfangLab 웨비나 – 시속 300km/h 보안: 파편화된 엔드포인트 전략이 공격 표면 관리를 어떻게 망치는가?*  

발행일: 2024년 7월 25일 • 54분 읽기

---

## 서론

지난 10년 동안 디지털 허위 정보는 새로운, 그리고 정교한 형태로 진화했습니다. 그중에서도 특히 우려되는 현상이 ‘도펠갱어(Doppelgänger) 정보 작전’입니다. 이는 가짜 뉴스 웹사이트, 소셜 미디어 봇 네트워크, 복잡한 리다이렉션 체인을 활용하여 여론을 조작하는 국가 차원의 조직적 캠페인입니다. 본 글은 HarfangLab이 Forrester와 공동 진행한 웨비나 내용을 바탕으로, 이러한 작전을 배경부터 기술적 세부사항, 실제 사례, 대응 전략까지 심층적으로 다룹니다. 또한 사이버보안 전문가가 위협을 더 잘 이해하고 대응할 수 있도록 샘플 코드도 포함했습니다.

초급 분석가든 경험 많은 위협 인텔리전스 분석가든, 이 장문의 기술 포스트는 도펠갱어 작전의 기본 개념부터 엔드포인트 보호, 리다이렉션 체인 분석, 공격 표면 관리(ASM)에 이르는 고급 보안 실무까지 단계별로 안내합니다.

---

## 목차

1. [배경 및 개요](#배경-및-개요)  
   - [도펠갱어 정보 작전이란?](#도펠갱어-정보-작전이란)  
   - [역사적 맥락과 최신 동향](#역사적-맥락과-최신-동향)  

2. [허위 정보 체인 해부](#허위-정보-체인-해부)  
   - [1차 리다이렉터](#1차-리다이렉터)  
   - [2차 리다이렉터](#2차-리다이렉터)  

3. [소셜 미디어와 봇 네트워크](#소셜-미디어와-봇-네트워크)  
   - [확산 채널로서의 X/Twitter](#확산-채널로서의-xtwitter)  
   - [봇 게시물의 구조](#봇-게시물의-구조)  

4. [기술 심층 분석: 인프라와 전술](#기술-심층-분석-인프라와-전술)  
   - [도메인 패턴과 등록 추세](#도메인-패턴과-등록-추세)  
   - [리다이렉션 체인 분석](#리다이렉션-체인-분석)  

5. [엔드포인트 및 공격 표면 관리에 미치는 영향](#엔드포인트-및-공격-표면-관리에-미치는-영향)  
   - [파편화된 엔드포인트 전략](#파편화된-엔드포인트-전략)  
   - [ASM 도구와 방법론](#asm-도구와-방법론)  

6. [코드 샘플과 실전 분석](#코드-샘플과-실전-분석)  
   - [Bash로 스캐닝 명령](#bash로-스캐닝-명령)  
   - [Python으로 출력 파싱](#python으로-출력-파싱)  

7. [대응 전략 및 권장 사항](#대응-전략-및-권장-사항)  
   - [위협 인텔리전스 모범 사례](#위협-인텔리전스-모범-사례)  
   - [AI 및 행위 기반 엔진의 역할](#ai-및-행위-기반-엔진의-역할)  

8. [사례 연구 및 실제 예시](#사례-연구-및-실제-예시)  

9. [결론](#결론)  

10. [참고 문헌](#참고-문헌)

---

## 배경 및 개요

### 도펠갱어 정보 작전이란?

도펠갱어 작전은 러시아 행위자로 지목되는 주체가 여론을 조작하기 위해 합법적인 뉴스 소스를 가장(模倣)하는 조직적 활동을 뜻합니다. ‘쌍둥이’를 의미하는 이름처럼, 실제 언론사와 거의 구별되지 않는 형태로 활동합니다. 주요 수법은 다음과 같습니다.

- **가짜·조작 웹사이트:** 인기 뉴스 도메인을 사칭  
- **소셜 네트워크:** X/Twitter 등 플랫폼을 통한 확산  
- **리다이렉션 체인:** 다단계 리다이렉션으로 출처 은폐  
- **봇 네트워크:** 자동화 계정으로 콘텐츠 증폭  

이런 다면적 접근법은 인프라를 숨겨 탐지와 대응을 늦추도록 설계됐습니다.

### 역사적 맥락과 최신 동향

과거 정보 작전은 선거 기간 ‘가짜 뉴스’ 유포에 그쳤다면, 최근에는 디지털 인프라와 엔드포인트 기술이 발전하면서 더 정교해졌습니다. 주요 동향은 다음과 같습니다.

- **AI 통합:** AI가 기사·영상 등 콘텐츠를 생성하거나 봇 활동을 자동화  
- **고급 리다이렉션:** 실시간 탐지를 방해하는 다단 체인  
- **인프라 회전:** 도메인·IP·TLD를 빠르게 교체해 블랙리스트 회피  
- **파편화된 엔드포인트 전략:** 기업 내 상이한 보안 솔루션이 공격 표면을 확대  

2024년 6월 프랑스의 조기 총선을 계기로 ‘Mid-year Doppelgänger’ 작전이 조명되며, 통합 위협 인텔리전스와 엔드포인트 관리 개선의 필요성이 대두됐습니다.

---

## 허위 정보 체인 해부

도펠갱어 캠페인의 기술적 구조를 이해하는 것은 대응의 첫걸음입니다. 이들은 복잡한 리다이렉션 체인을 이용해 활동 흔적을 숨깁니다.

### 1차 리다이렉터

1차 단계 URL의 목표:

- 일반 사용자에게는 무해해 보임  
- X/Twitter 등에서 링크 프리뷰를 생성  
- 즉시 다음 URL로 리다이렉트  

**예시 분석:**  
아래는 1차 리다이렉터 페이지 코드 일부입니다.

```html
<!DOCTYPE html>
<html>
  <head>
    <title>Citizenship Doesn't Matter If You Support Biden</title>
    ...
    <meta http-equiv='refresh' content='0; url=http://vickypitner.com/wash9261378'>
  </head>
  <body>
    ...
    <div>
      пример текста на кириллице – 관련 없는 키릴 문자 플레이스홀더.
    </div>
  </body>
</html>

주요 특징:

메타데이터 조작: 소셜 미디어 미리보기 최적화
즉시 리다이렉션: 2차 리다이렉터로 이동
난독화 코드: 최소 JavaScript로 내용 은폐
플레이스홀더: 무의미한 키릴 문자 삽입

2차 리다이렉터

2차 리다이렉터는 체인을 이어가며 최종 랜딩 페이지를 더 깊이 숨깁니다.

<html lang="en">
  <head>
    ...
    <meta name="robots" content="noindex, nofollow">
  </head>
  <body>
    <noscript>JavaScript를 활성화하세요.</noscript>
    <script>
      window.location.href = "http://finalcontent.example.com";
    </script>
  </body>
</html>

관찰 포인트:

noindex, nofollow로 검색 엔진 크롤링 차단
단순 레이아웃으로 ‘중간 단계’ 역할만 수행

소셜 미디어와 봇 네트워크

X/Twitter는 허위 정보를 확산하는 핵심 채널로 확인되었습니다. 약 800개의 봇 계정이 1차 리다이렉터 링크를 공유합니다.

확산 채널로서의 X/Twitter

디스인포메이션 증폭: 자동 계정이 링크를 대량 게시
인위적 참여도: 봇이 좋아요·리트윗을 생성해 인기처럼 위장

봇 게시물의 구조

특징:

AI 생성 문구: 복붙을 피한 개별 메시지
다국어 지원: 영어, 프랑스어, 독일어, 폴란드어, 우크라이나어 등
비정상 참여도: 팔로워 수 대비 과도한 반응
과거 전력: 일부 계정은 암호화폐 사기 이력 → 사이버 범죄와 국가 작전의 교차 지점 시사

실제 예시:
한 봇 계정은 ‘Little Big’ 밴드를 사칭한 AI 생성 뮤직비디오를 올려 파리 올림픽 참석을 은근히 만류하는 풍자를 선보였습니다.

기술 심층 분석: 인프라와 전술

도메인 패턴과 등록 추세

관측된 인프라 특징:

무작위 서브도메인 + 최신 TLD(.click, .top, .shop)
- 패턴 1: http(s)://<5~6랜덤>.<도메인.tld>/<6랜덤>
- 패턴 2: http(s)://<짧은도메인.tld>/<6랜덤>
호스팅 IP 예시
- 168.100.9.238 – ASN 399629, BLNWX
- 77.105.135.48 – ASN 216309, EVILEMPIRE-AS
- 185.172.128.161 – ASN 216309, EVILEMPIRE-AS
서버 특징
- 포트 22: OpenSSH
- 포트 80/443: OpenResty, PHP 7
- 자기서명(셀프사인) 인증서 사용

리다이렉션 체인 분석

초기 클릭: 사용자가 SNS 링크 클릭
1차 리다이렉션: 메타 리프레시로 2차 URL 이동
2차 리다이렉션: 다른 인프라로 최종 페이지 전달

HTTP 메타 태그, 난독화 JS, 빠른 리다이렉션은 자동 스캐너와 수동 분석을 혼란시킵니다.

엔드포인트 및 공격 표면 관리에 미치는 영향

파편화된 엔드포인트 전략

서로 다른 보안 제품을 혼합 사용하면:

보호 범위 불균형: 일부 엔드포인트는 최신, 일부는 취약
대응 지연: 통합 부재로 탐지·대응이 늦어짐
ASM 복잡성 증가: 그림자 IT·취약점 파악 난이도 상승

HarfangLab 연구에 따르면 이런 격차를 공격자가 활용해 허위 정보 유포 및 악성 페이로드 배포에 성공하기 쉽습니다.

ASM 도구와 방법론

취약점 진단: 정기 스캔
그림자 IT 탐지: 무단 시스템 식별
EPP/EDR: 실시간 모니터링·대응
행위·시그니처 엔진: YARA, Sigma, IOC 매칭
AI/ML: 시그니처 기반으로는 놓칠 패턴 탐지

종합적·통합적 보안 접근이 다면적 위협 방어의 핵심입니다.

코드 샘플과 실전 분석

Bash로 스캐닝 명령

#!/bin/bash
# 1차 리다이렉터 목록
redirectors=("http://a1b2c3.top/xyz123" "http://d4e5f6.click/abc789")

# curl로 HTTP 헤더 추출 함수
scan_url() {
    local url=$1
    echo "Scanning URL: $url"
    curl -sIL "$url" | grep -i "Location:"
    echo "---------------------------------"
}

for url in "${redirectors[@]}"; do
    scan_url "$url"
done

설명:

-I 옵션으로 HEAD 요청 → "Location:" 헤더 추출

Python으로 출력 파싱

import re

def parse_redirection(file_path):
    redirections = {}
    with open(file_path, 'r') as file:
        content = file.read()
        pattern = re.compile(r'Location:\s*(\S+)', re.IGNORECASE)
        matches = pattern.findall(content)
        for url in matches:
            domain = re.findall(r'://([^/]+)/?', url)
            if domain:
                redirections.setdefault(domain[0], []).append(url)
    return redirections

if __name__ == '__main__':
    file_path = 'http_headers.txt'
    redirection_dict = parse_redirection(file_path)
    for domain, urls in redirection_dict.items():
        print(f"Domain: {domain}")
        for link in urls:
            print(f"  -> {link}")

설명: