‘팬시 베어, 김수키, 딥 판다…’ 해킹 그룹명의 비밀

“내가 그의 이름을 불러주기 전에는
그는 다만
하나의 몸짓에 지나지 않았다.
내가 그의 이름을 불러주었을 때
그는 나에게로 와서
꽃이 되었다.”

한국인이 사랑하는 김춘수 시인의 ‘꽃’ 시구처럼, 우리 주변의 모든 사물에는 저마다 고유한 이름이 있다. 이는 해킹 공격을 감행하는 해킹 그룹에도 마찬가지다. 이번 글에서는 해킹 그룹명은 왜 필요한지, 어떻게 지어지는지 네이밍 규칙 등에 대해 살펴보고자 한다.

해킹 그룹명은 왜 필요할까?

해킹 그룹명을 부여하는 이유는 무엇일까? 바로 ‘프로파일링’을 하기 위해서다. 사건 현장에 남은 증거나 범인의 행동 패턴을 분석해 범인을 추적하는 수사 기법인 프로파일링을 사이버 공격에 접목한 것이다. 사이버 공격 시 발생하는 흔적을 통해 공격 목적과 공격 기법 등을 분석하는데, 이때 해킹 그룹명을 짓는다.

해킹 그룹이 사용하는 공격 기법, 공격 도구, 공격 목적을 파악하는 것은 무엇보다 중요하다. 해킹 그룹별로 공격 기법이 다르므로, 이를 파악하면 보다 효과적으로 대응할 수 있다. 예를 들어, 메일을 통해 악성코드를 유포하는 해킹 그룹이 있다면 악성 메일 차단 솔루션이나 사용자 보안 교육 등으로 예방할 수 있다. 이처럼 해킹 그룹의 프로파일링은 해킹 공격으로 인한 위협 탐지 시간을 최소화하고, 추가적인 공격을 예방할 수 있게 해준다. 그래서 해킹 그룹명도 필요한 것이다.

하지만 해킹 그룹명을 지을 때 문제점도 있다. 해킹 그룹을 최초 발견한 보안 전문가나 보안회사의 마케팅에 의해 난립할 때가 있기 때문이다. 러시아 해킹 그룹 ‘팬시 베어’의 경우, 동일 사건임에도 불구하고 분석한 업체에 따라서 스트론티움(STRONTIUM), 소파시 그룹(Sofacy Group), 세드닛(Sednit), 폰 스톰(Pawn Storm), APT28로 불린다. 결국 같은 해킹 그룹이지만 목적과 방법에 따라 해킹 그룹명이 달라진 것이다.

물론 해킹 그룹의 특징, 하위 해킹 그룹 여부 등에 따라 네이밍이 일부 달라질 수 있지만, 너무 많은 해킹 그룹명은 사용자 입장에서 오히려 혼란을 야기할 뿐이라 주의해야 한다.

해킹 그룹 네이밍 규칙: 심플한 놈, 이상한 놈, 독특한 놈

그렇다면 해킹 그룹명은 어떤 규칙에 의해 붙여질까? 실제로 해킹 그룹명을 붙이는 방법은 다양하다. 학술적 관점에서 해킹 그룹이 사용한 공격 도구나 악성코드 키워드를 활용하거나, 주기율표와 같이 체계적으로 정리된 표를 차용하기도 한다. 지엽적 관점에서는 해킹 그룹 지원 국가나 상징 동물을 활용한다. 이처럼 해킹 그룹명을 붙이는 방법에 대해 하나씩 살펴보자.

1) 동물 이름 활용하기

첫 번째로 해킹 그룹 지원 국가의 상징 동물을 활용하는 방법이다. 정치 성향 표출이나 불법 자금 획득이 해킹 그룹 운영의 주목적이었으나, 최근에는 국가 차원의 사이버 공격을 위한 해킹 그룹 운영이 증가하고 있다. 사이버 공격을 목적으로 해킹 그룹을 운영하는 국가는 러시아, 중국, 북한, 이란 등이 대표적이다.

전 세계적인 곰 서식지인 러시아는 곰의 크고 강인한 이미지로 인해 17세기부터 러시아 상징 동물로 사용하면서, 러시아 해킹 그룹에도 곰(Bear)이 붙는 경우가 많다. 2020년 연말 국내 금융 기관들을 상대로 비트코인을 요구하며, 디도스 공격으로 협박한 ‘팬시 베어(Fancy Bear)’는 이름에서 알 수 있듯이 러시아의 해킹 그룹이다. 이 그룹명은 당시 보안 전문가가 호주 가수의 노래 ‘팬시’를 떠올렸는데, 이를 러시아를 상징하는 ‘베어(Bear)’와 결합해 붙이게 된 이름이다. (이렇게 개인적인 이유로 이름이 붙여질 때도 있다.)

‘팬시 베어’는 특히 국내 사이버 공격과 연관이 많다. 2018년 평창동계올림픽 개막을 앞두고 국가 주도 도핑 혐의로 러시아가 올림픽 출전 금지 징계를 받게 되자, 팬시 베어는 보복의 의미로 국제올림픽위원회(IOC)와 세계반도핑기구(WADA)를 해킹해 논란이 되었다.

2021년부터 활동한 ‘엠버 베어(Ember Bear)’도 러시아 해킹 그룹답게 역시 베어가 들어간 이름을 가지고 있으며, 우크라이나-러시아 사태에서 파괴적인 악성코드 ‘와이퍼게이트(WhisperGate)’를 배포했다. 이외에도 러시아 해킹 그룹에는 부두 베어(VOODOO BEAR), 화이트 베어(White Bear), 코지 베어(Cozy Bear) 등이 있다.

또한 중국의 경우, 멸종 취약종인 판다를 이용해 ‘판다 외교’를 펼치고 있어 해킹 그룹명에서도 판다(Panda)를 활용한다. 공공기관이나 금융기관을 타깃으로 소프트웨어 취약점을 악용해, 시스템에 백도어를 설치한 후 정보를 탈취하는 중국발 해킹 그룹을 ‘딥 판다(Deep Panda)’라고 한다. 그 외에도 무스탕 판다(Mustang Panda), 어쿠애틱 판다(Aquatic Panda), 다이너마이트 판다(Dynamite Panda) 등의 해킹 그룹이 있다.

2) 숫자 활용하기

두 번째로 해킹 그룹명을 정하는 가장 쉬운 방법 중 하나인 숫자를 이용한 방법이다. 글로벌 보안업체 맨디언트(Mandiant)는 공격자가 다양한 공격 방식을 통해 지능화되고(Advanced), 지속적인(Persistent) 공격(Threat)을 수행한다는 의미의 ‘APT’에 순차적으로 숫자를 붙여 해킹 그룹을 관리한다.

앞서 살펴본 러시아 해킹 그룹 ‘팬시 베어’에 이러한 규칙을 적용하면 ‘APT28’이 된다. 이름에 동물을 활용하는 경우 직관적으로 공격 주체를 인지할 수 있다. 하지만 APT1, APT28, APT37, ATP38과 같이 숫자로 관리하는 경우에는 보안 전문가가 아닌 이상, 별도의 검색 없이는 공격 국가나 특징을 유추하기 어렵다는 단점도 있다. 다만 수많은 해킹 그룹에 매번 새로운 네이밍을 적용해야 하는 창작의 고통을 줄이고, 관리의 효율성을 높일 수 있는 방안이기도 하다.

3) 주기율표 활용하기

세 번째로 주기율표를 활용하는 방법이다. 마이크로소프트(Microsoft)의 경우, 기존에 체계화된 주기율표를 사용했다. 2020년 미국 대통령 선거 과정에 개입한 의혹을 받는 중국 해킹 그룹은 원소번호 40이자, 원소기호 Zr를 의미하는 지르코늄(ZIRCONIUM)으로 APT31이라고도 불린다.

이처럼 마이크로소프트는 주기율표로 해킹 그룹을 식별했으나, 최근에는 해킹 그룹의 혼란과 가독성 문제를 줄이기 위해 새로운 네이밍 규칙을 발표했다. 태풍(Typhoon), 모래폭풍(Sandstorm), 비(Rain), 진눈깨비(Sleet), 눈보라(Blizzard), 우박(Hail), 먼지(Dust), 사이클론(Cyclone)의 8개 그룹으로 분류하여 사이버 공격과 관련된 국가를 지정한 것이다. 8개 그룹은 각각 중국, 이란, 레바논, 북한, 러시아, 대한민국, 터키, 베트남과 매핑된다. 이외에도 세부 항목으로 폭풍우(Tempest), 쓰나미(Tsunami), 홍수(Flood), 폭풍(Storm)을 사용하여, 금전적 공격이나 서비스 영향도 등을 파악할 수 있도록 네이밍을 변경했다.

4) 공격 특징 활용하기

네 번째로 공격 특징을 활용하는 방법이다. 대규모 해킹 그룹의 경우, 공격 대상 및 목적에 따라 하위 해킹 그룹을 개별적으로 운영한다. 따라서 해킹 그룹명이 동일해도 사고가 발생한 원인이 하위 해킹 그룹에 의해 발생한 경우에는 이름이 달라진다. 하위 해킹 그룹명은 공격 특징을 차용해 짓는 경우가 많다. 북한의 하위 해킹 그룹인 라자루스(Lazarus)와 김수키(Kimsuky)도 공격 특징을 이용해 해킹 그룹명을 지었다.

2014년 소니픽처스를 공격해 직원 정보와 미공개 영화 파일을 공개한 북한 해킹 그룹 라자루스(Lazarus)는 북한 해킹 그룹에서 금융기관이나 암호화폐 거래소 등 금전적 목적의 공격을 수행하는 하위 해킹 그룹이다. 라자루스라는 해킹 그룹명은 소니픽처스 사건을 조사하던 연합체의 보고서에서 처음 사용되었다. 공격자 아이디에서 사용된 라자루스에 착안해 디아블로(Diablo)의 캐릭터이자 죽음에서 부활한 인물인 나자로(가톨릭에서는 라자루스라고 명명)에서 따온 이름이다.

또한 김수키(Kimsuky)는 2013년 국내 주요 기관을 대상으로 발송된 이메일 첨부 문서형 악성코드 유포 사건과 연관이 있다. 최초 해킹 그룹명을 네이밍한 해외 보안업체에서 악성 메일의 계정명이 ‘김석향(Kimsukyang)’과 ‘Kim asdfa’인 것을 토대로 외국인이 발음하기 어려움 ‘ang’를 제외하고 ‘Kimsuky’라고 부르게 되었다. 이처럼 북한 해킹 그룹은 라자루스, 김수키 이외에도 스카크러프트(ScarCrurf), 블루노로프(Bluenoroff), 안다리엘(Andariel) 등이 있으며, 대부분은 공격 특징을 활용한 해킹 그룹명이다.

다른 예시로 가마겟돈 그룹(Gamaredon Group)도 공격에 사용된 키워드를 활용했다. DEV-0157이나 아마겟돈(Armageddon)이라고도 불리는 러시아 해킹 그룹은 아마겟돈의 철자가 틀린 데서 유래한 이름이다. 이들은 러시아-우크라이나 사태에서도 사이버 공격을 감행했다.

5) 기타 다른 방법 이용하기

해킹 그룹과 관련 없이 보안 담당자나 분석가의 애환이 녹아 있는 이름도 있다. 2018년 평창동계올림픽 해킹 사고는 '올림픽 디스트로이어(Olympic Destroyer)'라고 하지만, 또 다른 이름은 ‘하데스(Hades)’다. 그리스 신화에서 죽음과 지하 세계를 관장하는 신인 하데스처럼 올림픽 해킹 사고에서 발견한 악성코드 분석의 어려움과 공격 배후를 찾아내기 힘들었던 점을 비유한 것이다.

보안 위협에 대비하기 위한 분류

이처럼 해킹 그룹명은 공격 기법과 국가 등의 특징을 인식할 수 있는 지표다. 또한 해킹 그룹을 분류하는 기준이 되기 때문에, 보안 전문가는 해킹 그룹의 공격 특징과 기법들을 연구하는 프로파일링 목적으로 활용해야 한다. 일반 사용자도 이름을 보고 해킹 그룹의 공격 영향도와 위험도를 유추할 수 있으면 더욱 좋다.

해킹 그룹을 분류하는 것은 사이버 공격 피해를 최소화하기 위해 꼭 필요하다. 주요 공격 대상과 공격 기법을 분석해 적재적소에 대응 전략을 세울 수 있기 때문이다. 다만 마케팅 목적이 강하거나 세분화된 해킹 그룹 매핑의 경우, 도리어 해킹 그룹을 식별하기 어려울 수 있으니 주의해야 한다.

©️요즘IT의 모든 콘텐츠는 저작권법의 보호를 받는 바, 무단 전재와 복사, 배포 등을 금합니다.