Author: 국가사이버안보센터 합동분석협의체
(국가정보원 · ESTSecurity · SK쉴더스 · S2W · WINS)
Photo by Zhimai Zhang on Unsplash1. 개요
국가정보원과 이스트시큐리티 · SK쉴더스 · S2W · 윈스 등 합동분석협의체 소속 업체들은 최근 중국 언론 홍보업체들이 국내 언론사를 위장한 뉴스 웹사이트를 해외에 개설, 기사형식의 콘텐츠를 국내에 유포 하는 정황을 확인하였다. 이에, 이러한 언론사 위장 웹사이트를 활용해 어떤 콘텐츠가 어떠한 방식으로 국내에 유포되고 있는지 상세히 분석했다.
2. 배경
2–1. 뉴스와이어 서비스
특정 목적의 콘텐츠가 ‘뉴스와이어 서비스’를 통해 유포되고 있기에 전반적인 프로세스를 이해하려면 해당 서비스에 대한 배경지식이 필요하다. 뉴스와이어 서비스는 ‘보도자료 배포 서비스’로 기업 및 기관의 홍보팀이 보도자료 배포와 관련해 다수 언론매체를 상대하는데 필요한 절차를 간소화하고 언론사가 보도 자료에 쉽게 접근할 수 있도록 지원해주는 서비스이다. 통상 뉴스와이어 서비스는 언론홍보 업체들이 직접 플랫폼을 만들어 운영하는 경우가 많은데 이러한 홍보업체들은 고객이 제공한 보도자료를 편집한 후 연계 된 미디어에 직접 배포하는 한편, 뉴스를 모니터링하여 배포 결과도 고객에 함께 제공하고 있다.
2–2. 뉴스와이어 서비스 악용
언론홍보 업체 및 뉴스와이어 업체 등이 언론사와 정상적인 계약을 통해 보도자료를 배포한다면 문제의 소지가 없지만, 이번에 확인된 중국의 홍보업체 및 뉴스와이어 업체들의 경우 대부분 언론사와 정상적인 계약 없이 한국 언론사를 위장한 웹사이트를 직접 제작, 중국 등 해외 서버에서 운영했으며 정상 언론사 위장을 위해 실제 한국 언론사의 기사를 무단으로 게시하였다.
중국 업체들이 이처럼 한국 언론사를 위장한 웹사이트를 만든 목적이 보도자료 배포 서비스를 구매하는 중국의 기업 · 기관 고객을 속이기 위한 사기의 형태인지 또는, 다른 목적이 있는지는 확인되진 않지만 악의적 행위자가 이러한 웹사이트를 악용할 경우, 특정 목적을 지닌 콘텐츠를 마치 한국 언론사의 정상 기사인 것 마냥 의도적으로 작성 · 배포, 한국의 여론을 조성하는데 활용될 가능성도 배제할 수 없다.
현재까지 한국 언론사를 위장한 웹사이트를 제작 · 운영하는 행위를 지속한 중국의 홍보업체 및 뉴스와 이어 업체는 확인된 것만 3개Haimai社, Haixun社, World Newswire이다
3. 사례 분석
3–1. 작동 방식
3–2. Haimai社 사례
Haimai社
- 공식 명칭: Shenzhen Haimai Yunxiang Media Co., Ltd
- 주요 사업: 글로벌 미디어 커뮤니케이션 및 해외언론 홍보 서비스
중국의 홍보회사 Haimai社는 보도자료 배포에 타임즈 뉴스와이어Timesnewswire.com라는 뉴스와이어 플랫폼을 활용했으며 자체 제작한 한국 언론사 위장 웹사이트 18개를 활용, 출처를 알수 없는 정치 · 사회적 콘텐츠를 한국 정상 언론기사와 함께 유포하였다.
Haimai社는 공식 홈페이지hmedium.com에서 다양한 해외 국가에 언론 홍보를 대행하고 있다고 소개 하며, 특히 한국의 경우 포털사인 네이버와 서울프레스 · 충청타임스 · 부천테크 등 실제 존재하지 않은 한국 지역 언론사에 보도자료 배포가 가능하다고 명시하고 있다.
한국 판매 패키지는 기본적으로 Basic과 Advance로 구분되며 Basic은 16개 이상의 매체, Advance는 130개 이상의 매체에 보도자료를 배포한다고 설명되어 있다. 또한, 홈페이지內 ‘해당 서비스는 표준화된 기업 보도자료 또는 정부 기관 홍보자료만 접수하며, 불법 및 애매한 콘텐츠는 접수하지 않는다’고 명시 되어 있으나 불법 개설한 18개 위장 웹사이트에는 한국 언론기사가 무단으로 게재되어 있으며 홈페이지 설명과 달리 정치 · 사회적 콘텐츠가 게시되어 있는 것을 확인할 수 있다.
Haimai社가 개설한 위장 사이트의 도메인은 모두 동일한 IP 43.155.173.104 에서 운영되고 있으며 해당 IP는 중국 텐센트社에서 호스팅하는 서버로 확인된다. 특히, 18개 사이트 대부분 도메인이 2020.9 ~ 10月간 수 초 간격으로 GoDaddy.com을 통해 등록된 점이 특징이다.
해당 IP에서 호스팅되는 사이트들은 모두 워드프레스 기반으로 제작되었으며 사이트별 다른 디자인 테마를 사용하였다. 이러한 사이트를 위장 언론사 사이트로 판단한 근거는 1) 언론사명 및 도메인을 실제 한국 지역 언론사와 유사하게 제작실제 : 충청타임즈(cctimes.kr), 위장 : 충청타임스(cctimes.org) 2) 문체부 정기간행물 미등록 매체 3) 한국디지털뉴스협회 회원사 사칭 4) 사이트內 언론사 주소 · 연락처 · 사업자명 부재 등이다.
웹사이트에 게시된 기사들은 ‘Editor’ · ‘Chunqt’ 2개의 아이디를 통해 등록되었는데 국내 정상 언론 사이트 기사들은 ‘Editor’ 아이디로 게시되었으며 사이트별 서로 다른 특정 뉴스 매체의 기사를 게재하였다. 반면, Haimai社가 직접 배포하는 보도자료 및 기사는 ‘Chunqt’라는 아이디로 업로드 되었으며, 해당 아이디로 업로드 된 글의 수는 사이트당 약 1,000여개로 모두 Haimai社의 ‘뉴스와이어 서비스’인 timesnewswire.com에 업로드 된 게시글을 가져오는 형태로 게시되었다. 이 가운데 親中 · 反美 · 反日 성향의 게시글은 약 42건으로 총 18개 사이트에 동시 배포되었다. 특히 이러한 게시글은 정기적으로 게시 되기보다는 민감한 사안이 사회적으로 이슈화되는 시점에 맞추어 게시되는 경향이 확인된다.
한편, Haimai社는 2022년 10월 27일 언론사 위장 웹사이트 18개에 ‘주한미군 세균 실험실에서 이뤄 지는 ‘깜깜이 실험’이라는 제목의 글을 올리며 YouTube 영상의 링크를 게시했다. 해당 유튜브 영상은 주한 미군 세균실험실에 대해 문제를 제기하는 영상으로 부산 MBC ‘부산에 미군 세균실험실이 있다’ 뉴스 영상을 부산 MBC 로고를 삭제하고 자체 보도영상인 것처럼 편집한 것으로 추정된다.
또한, 해당 동영상이 업로드된 YouTube 채널 ‘@37Degrees89, 구독자 17명’ 에는 6개의 동영상 콘텐츠가 업로드 되어 있는데 아래 표와 같이 높은 조회수를 기록한 2개의 동영상에 튀르키예語 기반 계정들의 비정상적인 댓글을 확인할 수 있었다. 특히, 어색한 한국어 구사와 아이디 생성 시 ‘영어+숫자 4자리’의 일관된 생성 방식 등을 토대로 비정상 ‘SNS 계정’으로 추정된다.
위장 웹사이트에 게시된 글을 SNS를 통해 유포하려는 시도도 포착 되었다. 2023년 4월 4일 18개 위장 웹사이트 게시된 ‘잊을 수 없는 추억’이라는 기사는 제주 4.3 사건을 미국의 간악한 탄압의 결과물이라 주장하며 사건 발생 75년이 지나도록 미국이 사과하지 않았다고 주장하고 있다. 또한 미군의 거듭된 범죄를 부인하는 상황 속에 민주주의를 고취하는 것이 아이러니하며 한일관계 개선은 사실상 미국의 전략적 이익에만 복종하는 것이고 미국은 절대 한국의 진정한 친구가 될 수 없다고 토로한다.
X ‘舊 트위터’에서 해당 게시글의 링크를 검색해 본 결과 동일게시물 링크를 걸어놓은 트윗 4건이 확인됐다.
게시물을 올린 X 계정들을 공개 자료를 통해 조사해본 결과, 대부분 외국인으로 많은 팔로워 수를 가지고 있는 인플루언서로 보인다. 하지만 한국과 관련이 없는 외국인 계정에서 제주 4.3 사건에 대한 글을 한국어로 게시하는 부분이 부자연스럽다.
3–3. 기타 사례 (월드와이어 및 Haixun社)
월드뉴스와이어(wdwire.com)
Haimai社와 사례와 별도로 뉴스와이어 서비스인 월드뉴스와이어wdwire.com와 연동된 한국 언론사 위장 웹사이트 11개를 추가로 확인하였다. 해당 사이트들도 Haimai社와 동일하게 대체로 한국 지역 언론 사로 위장했는데, 위장한 지역명과 연관된 지역 언론기사를 무단으로 게시했다. 다만 총 기사 수가 약 200여개로 많지 않고 日 오염수 관련 게시글 및 제주 4.3 사건 관련 게시글을 제외하고는 모두 중국과 관련한 홍보 및 보도자료인 것으로 보아 사이트 구축 초기 단계로 추정된다. 11개 위장 언론사 사이트는 ’21.6월부터 ’23.9월까지 월드뉴스와이어에 배포된 정치 · 사회적 콘텐츠 총 30건을 게시하였다.
특히, 게시글 중 제주 4.3 사건 관련 게시글은 Haimai社가 18개 위장 언론 사이트에 게시한 글과 번역 체만 다를 뿐 거의 동일한 내용으로 확인된다. 중국어 원문글을 다른 번역가가 국문으로 번역한 것으로 보이는데, 원문 작성자가 동일내용을 서로 다른 두 홍보업체에 의뢰하여 동시에 게시된 것으로 추정된다.
Haixun社
美 구글 맨디언트는 ‘하이에너지HaiEnergy’ 캠페인으로 명명한 공개보고서「Pro-PRC HaiEnergy Campaign Exploits U.S. News Outlets via Newswire Services to Target U.S. Audience」를 2023년 7월에 발표했는데, 해당 보고서에서 언급된 Haixun社 소유 위장 웹사이트 72개 중 한국어로 제작된 사이트 9개를 확인했다.
하이에너지 캠페인에 사용된 9개 위장 사이트는 Haimai社 위장 사이트와 달리 정상 뉴스기사를 무단 게시하지는 않았지만, 업로드된 게시글 중 일부가 反美 성향의 게시글이고 본문에 포함된 이미지와 비디오의 호스팅 주소가 Haixun社 관련 도메인으로 확인되는 등 중국의 영향력 활동으로 의심된다.
4. 결론
이번 합동분석을 통해 확인한 것은 명확한 배후는 확인되진 않지만, 중국의 언론홍보 회사가 운영 중인 한국 언론사 위장 웹사이트를 활용, 정치적 · 사회적 콘텐츠를 의도적으로 해당 사이트에 게시하고 SNS上 확산을 기도한 사실이다.
이러한 활동은 미국 맨디언트社의 ‘중국의 영향력 활동’ 보고서에도 유사한 사례가 발표되는 등 최근 공개된 사례가 있지만 대부분 우리나라 대상이 아닌 미국 등 해외 서방국가를 대상으로 한 활동이 대부분 이고 우리나라를 대상으로 한 활동은 그간 잘 확인되지 않았다.
물론 이번에 확인된 한국 대상 영향력 활동은 위장 사이트內 민감한 게시글의 수가 많지 않다는 점과 우리나라의 경우 인터넷 뉴스기사가 포털 사이트를 통해 노출되는 ‘인링크’ 방식을 채택하고 있어 위장 언론사로 인한 직접적인 영향력은 높지 않을 것으로 판단된다.
그럼에도 불구하고, 최근 위장 언론社 사이트內 게시글을 SNS上 유포를 시도하는 등 영향력을 끌어 올리기 위한 다양한 방법을 구상하고 있다는 점에서, 영향력 활동이 본격화되기 전에 적절한 대응 및 대비가 필요해 보인다.
국가사이버안보센터, 중국의 ‘언론사 위장 웹사이트’를 악용한 영향력 활동 포착 was originally published in S2W BLOG on Medium, where people are continuing the conversation by highlighting and responding to this story.
Article Link: 국가사이버안보센터, 중국의 ‘언론사 위장 웹사이트’를 악용한 영향력 활동 포착 | by S2W | S2W BLOG | Medium