▲반복되는 해킹 사고들 뒤에는 정체불명의 해킹 그룹들이 도사리고 있다. ⓒ kommumikation on Unsplash
최근 대규모 해킹 사건이 끊이지 않고 있다. 약 960만 명 고객을 거느린 롯데카드의 결제 시스템에서 악성코드 감염 흔적이 발견되어 대량 정보유출 가능성이 제기되었고, 아직 최종 확정되지 않았지만 KT, LG유플러스 관련 침해 정황이 제기되어 정부가 조사 중이다. 또한 정부 부처 내부망을 노린 정체불명의 침투 시도도 이어지고 있다.
이렇듯 반복되는 해킹 사고들 뒤에는 정체불명의 해킹 그룹들이 도사리고 있다. 언론 보도에서 "북한 킴수키 소행 추정", "중국계 APT41 해킹그룹 개입" 등의 표현을 접한 이들도 있을 것이다. 또한, 아직 공식 결론에 이르지는 않았지만, 행안부, 외교부, 방첩사 등 정부 기관과 통신사를 해킹한 배후로 'SLIME68'이라는 명칭의 중국 해킹그룹이 지목되고 있다. 그러나 일반 대중에게는 이런 해킹그룹 명칭들이 낯설기만 하다. 대체 이들은 누구이며, 알파벳과 숫자로 이루어진 명칭은 무엇을 의미하는가.
핵심은 이들이 흔한 개인 해커나 범죄집단이 아닌, 지능적이고 지속적인 위협 세력이라는 점이다. 사이버보안 업계에서는 이러한 해킹그룹들을 APT라고 부른다. APT는 'Advanced Persistent Threat'의 약자로, 단순 직역하면 '고도화된 지속 위협'이다. 이는 말 그대로 장기간 은밀히 침투하여 버티는 해킹그룹을 뜻한다. 국가 정보기관이나 그 지원을 받는 그룹이 주로 해당하며, 한번 목표에 침입하면 오랜 시간 드러나지 않고 머무르며 정보를 탈취하거나 시스템을 교란하는 것이 특징이다. 일회성 금전 탈취나 랜섬웨어 협박과 달리, APT 공격은 특정 목표에 대해 오랫동안 정교하게 이루어지는 사이버 첩보전에 가깝다.
그렇다면 이런 해킹그룹의 명칭은 누가, 어떻게 붙이는 것일까? 결론부터 말하면 공식 기구나 정부가 부여하는 것이 아니다. 대부분의 명칭은 해당 그룹을 처음 포착해 분석한 사이버 보안 기업이나 연구기관이 자체적으로 명명한 것이다. 2013년 미국의 보안회사 맨디언트(Mandiant)는 중국 인민해방군 산하의 한 사이버전 부대를 추적해 세계에 폭로하면서 이를 'APT1'이라고 명칭이 붙였다. 이러한 명칭은 대체로 처음 발견한 보안업체가 자의적으로 붙이는 일종의 코드명이며, 분석 순서나 조직 특성에 따라 번호나 별칭이 달라질 수 있다.
같은 조직인데, 부르는 이름이 다 다르다?
흥미로운 것은, 보안 업체마다 해킹그룹을 명명하는 방식이 달라 동일한 조직도 다양한 명칭으로 불린다는 점이다. 가령 미국 크라우드스트라이크(CrowdStrike)는 동물 이름을 활용해 국가별로 해커 그룹 별칭을 붙여왔다. 중국 배후 의심 해커에겐 '팬더', 러시아에는 '베어', 이란에는 '키튼' 식으로 부르고 뒤에 고유명을 덧붙이는 식이다. 마이크로소프트는 최근 자체 보고서에서 기상 현상을 명칭으로 쓰기 시작했는데, 러시아 관련은 '블리자드', 중국 관련은 '타이푼'과 같이 정했다. 한편 맨디언트는 여전히 'APT + 숫자' 또는 분석 중인 임시 그룹에는 'UNC####' 같은 형식을 사용한다. 이렇듯 업체마다 명명 철학과 규칙이 달라, 언론에 인용되는 해킹그룹 명칭도 제각각일 수밖에 없다.
문제는, 이렇게 명칭이 난립하다 보니 하나의 해킹그룹이 서로 다른 명칭으로 불리는 경우가 많다는 점이다. 동일한 조직임에도 불구하고, 보고서나 국가별 발표에 따라 명칭이 제각각 달라져 정보 공유에 혼선을 초래하는 사례가 빈번하다. 예컨대, 러시아의 한 유명 해킹그룹은 맨디언트 계열에선 APT28로 불리지만, 업계에서는 '팬시 베어' 라는 별칭으로 더 널리 알려져 있다. 마이크로소프트는 이 그룹을 '포레스트블리자드' 다른 기관은 '소파시' 등으로 명명해, 열 개가 넘는 별칭이 존재한다.
중국의 APT41도 마찬가지다. 이 그룹은 '위키드 팬더', '윈티', '브론즈 아틀라스' 등 여러 명칭으로 불린 바 있다. 북한의 '라자루스 그룹' 역시, 미 정부 자료에서는 '히든코브라', 민간 보고서에서는 'APT38' 등으로 병기되기도 한다. 결국, 명명 주체에 따라 명칭만 다른 동일 그룹이 병존하는 현실은, 일반인은 물론 업계 관련자들조차 명칭을 정확히 대응하기 어렵게 만든다.
그나마 세계 최고 보안 전문기관인 마이터(MITRE)의 ATT&CK 데이터베이스가 전 세계 주요 해킹그룹들을 수집하여 일련번호를 붙여 공개 카탈로그를 제공하고 있다. 이 데이터베이스에는 2025년 4월 22일 기준 전 세계적으로 170개 이상의 해킹그룹이 등재되어 있어 참고 지표가 된다. 마이터는 각 그룹에 G#### 형태의 식별자를 부여하고 여러 별칭 정보를 함께 기록해두고 있지만, 어디까지나 분류 편의를 위한 공개 자료일 뿐 강제력 있는 표준은 아니다.
이렇듯 해킹그룹 명칭이 중복되거나 혼용되면, 동일한 그룹에 대한 인식에 혼선을 주고 정보 공유에도 장애가 생긴다. 이런 문제를 줄이기 위해 지난 6월, 마이크로소프트와 크라우드스트라이크 등 주요 보안업체들이 서로 다른 명명 체계를 교차 매핑하는 공동 프로젝트를 시작했다. 완전한 통일은 어렵더라도, 실질적인 대응을 위해 공통된 기준을 마련하려는 시도다.
해킹그룹의 명칭은 단순한 코드가 아니다. 이는 보안 전문가들의 분석 방식과 업계 문화가 반영된 결과다. 명칭은 출신 국가를 암시하거나, 공격 방식이나 조직의 특성을 드러내기도 한다. 다양한 명칭이 존재한다는 사실 자체가 사이버 위협의 복잡성과 범위를 보여주는 단서다. 우리가 해야 할 일은 그 이름을 정확히 이해하고, 맥락 속에서 받아들이는 것이다. 이름은 단순한 호칭이 아니라, 위협을 식별하고 인식하는 출발점이다.
덧붙이는 글 | 필자 유도진씨는 극동대학교 해킹보안학과 교수입니다.