위협 행위자 분류 체계 및 명명법

오늘은 위협 행위자 또는 공격 그룹의 분류 체계와 명명법에 대해 알아보겠습니다.

 

 

 

마이크로소프트(Microsoft)

초기에는 THALLIUM(탈륨), CERIUM(세륨). ZINC(아연), OSMIUM(오스뮴)과 같은 원소 기호를 사용하여 이름을 명명하였습니다. 그러나 현재는 날씨 주제를 기반으로 한 명명 분류법을 사용합니다.

Microsoft는 위협 행위자를 다음과 같이 5가지 그룹으로 분류하고 있습니다.

1. 국가 지원 행위자(Nation-state actors)
   국가 지원(nation/state)을 받으며 행동하는 위협 행위자입니다.
   이 위협 행위자는 대부분 간첩 또는 감시를 목적으로 하며 정부 기관, 정부 관련 조직, 비정부 조직 또는 싱크 탱크를 대상으로 작전과 공격을 수행합니다.
   
   
2. 재정적 동기의 행위자(Financially motivated actors)
   재정적 이득 또는 강탈을 목적으로 하는 사이버 캠페인 또는 그룹입니다.
   알려져 있는 non-nation state 또는 상업적인 위협 행위자와 높은 확률로 연관이 없습니다.
   
   
3. 민간 공격 행위자(Private sector offensive actors; PSOAs)
   알려져 있거나 합법적인 법인(상업) 행위자가 주도하는 사이버 활동입니다.
   사이버 무기를 만들어 고객에게 판매합니다.
   주로 반체제 인사, 인권 옹호자, 언론인, 시민 사회 옹호자 등을 대상으로 공격하거나 감시하는 행위를 수행합니다.
   
   
4. 영향력 행사 작전(Influence operations)
   집단 또는 국가의 이익과 목표를 달성하기 위해 타겟의 인식, 행동 또는 결정을 바꾸도록 조작하는 정보 캠페인입니다.
   
   
5. 개발 중인 그룹(Groups in development)
   알려지지 않았거나, 새롭게 등장했거나, 개발 중인 위협 활동에 부여된 임시 명칭입니다.
   출처 또는 신원에 대해 확신을 가질 때까지 개별 정보 집합으로 추적하며, 명명 분류 기준을 충족하면 명명된 행위자로 변환되거나 기존 이름에 병합됩니다.

 

이 5개의 분류 카테고리를 기준으로 하여 아래와 같이 타입과 패밀리 이름이 나뉘어집니다.

Threat actor category	Type	Family name
Nation-state	China	Typhoon (태풍)
	Iran	Sandstorm (모래폭풍)
	Lebanon	Rain (비)
	North Korea	Sleet (진눈깨비)
	Russia	Blizzard (눈보라)
	South Korea	Hail (우박)
	Turkey	Dust (먼지)
	Vietnam	Cyclone (열대성 폭풍)
Financially motivated	Financially motivated	Tempest (폭풍우)
Private sector offensive actors	PSOAs	Tsunami (쓰나미)
Influence operations	Influence operations	Flood (홍수)
Groups in development	Groups in development	Storm (폭풍)

 

Microsoft의 위협 행위자 명명 분류법 : Nation-state 카테고리

 

 

각 공격 그룹의 이름은 분류된 패밀리 이름을 기반으로 원소 이름과 함께 명명합니다.

예를 들어 마이크로소프트가 명명한 잘 알려진 북한 해킹 그룹은 다음과 같습니다.

• Diamond Sleet
  • aka. 라자루스(Lazarus)
    
    
• Emerald Sleet
  • aka. 김수키(Kimsuky)
    
    
• Onyx Sleet
  • aka. 안다리엘(Andariel)
    
    
• Opal Sleet
  • aka. 코니(Konni)
    
    
• Sapphire Sleet
  • aka.  블루노프(BludNoroff)

 

 

 

크라우드스트라이크(CrowdStrike)

동물 이름을 사용하여 적대자의 국가와 그들의 의도 또는 기법을 파악할 수 있도록 명명하고 있습니다.

또한 일반적으로 적대자가 활용하는 기술 공격 기법, 도구 또는 인프라를 기반으로 활동 클러스터가 정해지고 해당 공격 그룹의 이름으로써 함께 명명됩니다.

 

아래와 같이 크게 2가지의 카테고리로 분류됩니다.

1. 국가 기반 적대자(Nation-State-Based Adversaries)
   국가 기반의 적대자는 위치로 구분하여 명명하고 분류합니다.
   
   
2. 비국가 기반의 적대자(Non-Nation-State Adversaries)
   국가 기반이 아닌 적대자는 의도에 따라 분류합니다.

 

해당 분류 카테고리를 기준으로 하여 아래와 같이 타입과 패밀리 이름이 나뉘어집니다.

Threat actor category	Type	Family name
Nation-State-Based Adversaries	Russia	Bear (곰)
	Vietnam	Buffalo (물소)
	North Korea	Chollima (천리마 - 전설 속 동물)
	South Korea	Crane (두루미)
	Iran	Kitten (새끼고양이)
	Pakistan	Leopard (표범)
	China	Panda (판다)
	India	Tiger (호랑이)
Non-Nation-State Adversaries	Activist groups	Jackal (자칼)
	Criminal groups	Spider (거미)

 

 

예를 들어 크라우드스트라이크가 명명한 잘 알려진 북한 해킹 그룹은 다음과 같습니다.

• Labyrinth Chollima
  • aka. 라자루스(Lazarus)
    
    
• Stardust Chollima
  • 라자루스와 블루노프와 밀접한 관계의 그룹
    
    
• Velvet Chollima
  • aka. 김수키(Kimsuky)
    
    
• Silent Chollima
  • aka. 안다리엘(Andariel)

 

 

 

맨디언트(Mandiant)

맨디언트는 'APT' 문자열 뒤에 숫자를 붙여 명명하고 있습니다.

숫자 매핑에는 특별한 의미가 있는 것으로 보이진 않습니다.

 

예를 들어 맨디언트가 명명한 북한 해킹 그룹은 다음과 같습니다.

• APT43
  
  
• APT38
  • 라자루스와 밀접한 관련이 있지만 그와 다른 그룹임을 명시
    
    
• APT37
  • aka. Scarcrutf, Group123

 

 

 

안랩(Ahnlab)

최근 국내 보안 회사 안랩에서도 새로운 위협 행위자 분류 체계와 명명법을 발표하였습니다.

위협 행위자 그리고 위협 행위 4단계를 분류하여 체계를 확립하였습니다.

 

1. 위협 행위자
   1. 식별되지 않은 위협 행위자(Larva)
      정체가 식별되지 않은 신원 미상의 공격자입니다.
      모든 위협 행위자는 최초 확인 후 추가적인 정보가 확인될 때까지 Larva로 시작하여 관리됩니다.
      
      
   2. 식별된 위협 행위자(Arthropod)
      Larva에서 충분한 귀속 정보가 확보되면 특정 국가/조직과의 연결성 혹은 공격 목적 및 동기를 고려해 해당하는 Arthropod의 명칭으로 연결합니다.
      
      
2. 위협 행위 4단계
   1. 침해 시스템(Compromised System)
      위협 분석의 가장 기본적인 단위로, 실제 침해된 시스템을 의미합니다.
      PC, 서버, 물리 디바이스 등의 자산이 해당합니다.
      
      
   2. 개별 공격 사건(Incident)
      피해자나 피해 조직이 확인된 개별 공격 사건을 의미합니다.
      
      
   3. 공격 활동(Operation)
      복수의 Incident를 하나의 공격 활동으로 구성한 단위입니다.
      
      
   4. 장기적이고 조직적인 공격 활동(Campaign)
      장기적이고 조직적인 공격 활동으로 최소 수개월에서 1년 이상 지속된 공격 활동을 포함합니다.
      두 개 이상의 Operation으로 구성됩니다.

 

 

분류된 위협 행위자 명칭은 아래와 같습니다.

구분	설명	명칭
식별되지 않은 위협 행위자	식별되지 않은 위협 행위자	Larva (애벌레)
식별된 위협 행위자	통칭	Arthropod (절지동물)
	북한	Ant (개미)
	중국	Cricket (귀뚜라미)
	러시아	Wasp (말벌)
	이란	Scorpion (전갈)
	베트남	Butterfly (나비)
	한국	Dragonfly (잠자리)
	파키스탄	Firefly (반딧불이)
	인도	Mosquito (모기)
	개인	Beetle (딱정벌레)

 

안랩의 위협 행위자 명명 분류법 : 위협 행위자 기반의 명명법

 

 

각 공격 그룹의 이름은 'TA-' 문자열과 분류된 위협 식별자 명칭과 함께 명명합니다.

예를 들어 안랩이 명명한 북한 해킹 그룹은 다음과 같습니다.

• TA-RedAnt
  • aka. APT37, Scarcrutf, Group123, RedEyes

 

 

 

 

 

 

Ref.

[1] Microsoft, "How Microsoft names threat actors", 2025.03.05
[2] Crowdstrike, "Naming Names: How Adversary Taxonomies Strengthen Global Security", 2025.02.12
[3] Crowdstrike, "Meet the Threat Actors – Who are your Cyber Adversaries?", 2019.02.24
[4] Mandiant, "Advanced Persistent Threats(APTs)"
[5] Ahnlab, "위협 행위자 분류 체계와 명명법", 2025.01.20