위협 행위자 명명법
사이버 보안 조직 간 위협 행위자 정보 교류는 각 조직의 상황과 이해관계가 서로 달라 쉽지 않은 과제입니다. 안랩은 이러한 문제를 해결하기 위해 위협 행위자 분류 및 명명 체계를 개발했으며, 기존 업계의 명명 방식을 보완해 다양한 유형의 위협 행위자를 보다 체계적으로 관리할 수 있도록 설계했습니다.
안랩의 명명 체계는 위협 행위자의 식별 단계에 따라 Larva(애벌레)와 Arthropod(절지동물)로 구분합니다.
이는 애벌레가 초기에는 비슷하게 생겼지만 시간이 지나면서 각기 다른 절지동물로 변모하는 과정에 착안한 개념으로, 분석이 진행될수록 위협 행위자의 실체가 점진적으로 밝혀지는 과정을 직관적으로 표현합니다.
Larva(애벌레): 식별되지 않은 위협 행위자
Larva는 귀속 정보가 확인되지 않은 초기 단계의 신원 미상 위협 행위자를 의미합니다. 모든 위협 행위자는 최초 확인 시 추가적인 귀속 정보가 확인될 때까지 Larva로 시작해 관리됩니다.
Larva 명칭을 부여한 위협 행위자는 ‘Larva-YY###’ 형식의 관리 번호로 표기됩니다. 여기서 ‘YY’는 탐지 연도, ‘###’는 해당 연도의 탐지 순서를 의미합니다. 예를 들어 ‘Larva-26001’은 2026년에 처음 확인된 식별되지 않은 위협 행위자를 뜻합니다.
Larva는 후술하는 ‘위협 행위 3단계 관리 체계’ 중 1단계에 해당하는 Incident(개별 공격 사건) 단위 이상에서 부여되는 고정 명칭입니다. 이후 추가 분석과 정보 확보를 통해 특정 위협 그룹 귀속이 확인되면 식별된 위협 행위자를 의미하는 Arthropod 명칭으로 연결됩니다.
Arthropod로의 연결은 새로운 정보가 확인되면 언제든 수정(추가, 변경, 삭제)될 수 있습니다. 예를 들어, 북한 배후로 식별되어 Ant로 분류되었던 공격 그룹이 추가 분석을 통해 중국 배후로 밝혀질 경우, 해당 Larva와 연결된 Arthropod도 Ant에서 Cricket으로 변경됩니다.
Arthropod(절지동물): 식별된 위협 행위자
Larva에 대한 충분한 귀속 정보가 확보되면, 특정 국가 혹은 조직과의 연결성을 고려해 해당하는 Arthropod의 명칭으로 연결합니다.
Arthropod는 크게 국가 배후 위협 행위자와 비국가 위협 행위자로 구분됩니다.
국가 배후 위협 행위자
국가 배후 위협 행위자는 배후 추정 국가를 기준으로 구분하여 관리합니다.
고도화된 지속적 위협(APT) 특성을 보이나, 배후 국가가 명확히 식별되지 않은 경우 Mantis(사마귀)로 연결됩니다.
국가 배후 위협 행위자는 단일 그룹이 아니라 여러 개의 그룹으로 존재할 수 있습니다. 이를 식별하고 구분하기 위해 안랩은 다음과 같은 명명 구조를 사용합니다.
TA + Modifier + Arthropod
이 방식은 국가 단위의 대표성을 유지하면서도, 동일 국가 내 다양한 위협 행위자의 특성과 차이를 보다 명확하게 식별할 수 있도록 설계되었습니다.
예시:
- TA-GiantAnt - Lazarus로 알려진 북한 배후 공격 그룹
- TA-RedAnt - RedEyes로 알려진 북한 배후 공격 그룹
- TA-ShadowCricket - ShadowForce로 알려진 중국 배후 공격 그룹
비국가 위협 행위자
사이버범죄자, 랜섬웨어 그룹, 핵티비스트 역시 특정 국가와 연관될 수 있지만, 이들의 분류에서는 국가적 연계성보다 활동 목적과 공격 유형이 더 중요한 기준이 됩니다. 이에 따라 비국가 위협 행위자는 주요 활동 목적과 공격 특성에 기반해 유형별로 구분하여 관리합니다.
비국가 위협 행위자의 명칭은 다음과 같은 구조를 따릅니다.
TA + Arthropod + YY + ###
예시: TA-Beetle-25001
3단계 위협 행위 관리 체계
안랩이 정의한 3단계 위협 행위 관리 체계는 사이버 위협의 레벨을 기준으로 하여 ‘Incident(개별 침해 사건) → Operation(공격 활동) → Campaign(장기적이고 조직적인 공격 활동)’으로 구성됩니다. 각 단계에서 다양한 위협 요소를 종합적으로 관리하며, 개별 공격부터 장기적인 캠페인까지 체계적으로 분석할 수 있는 프레임워크를 제시합니다.
1단계: Incident - 개별 공격 사건
Incident는 피해자나 피해 조직이 확인된 개별 공격 사건을 의미합니다. 각 Incident는 고유 관리 번호 ‘INC-YYMMDD-###’를 부여하는데, 의미를 풀어보면 ‘INC(침해 사건)-YYMMDD(연월일)-###(순서)’로 해석됩니다. Incident에 대해서는 사건의 특성, 피해 범위, 사용된 기술 등에 관한 분석을 진행해 해당 사건이 어떤 특징을 갖는지 파악하는 데 중점을 둡니다. 이를 통해, 단일 공격 사건을 정확하게 식별하고 상위 단계인 Operation을 구성하는 기초를 마련할 수 있습니다.
2단계: Operation - 공격 활동
Operation은 복수의 Incident를 하나의 공격 활동으로 구성한 단위입니다. 공격의 특징, 목표, 사용된 기술 등을 종합적으로 분석해 여러 사건 간 연관성을 파악하고 공격 활동의 패턴과 의도를 이해하는 데 중점을 둡니다. Operation의 명칭은 ‘OP-YYMMDD-###’로 부여되는데 구조는 Incident의 명칭 구조와 동일합니다.
Operation 분석에는 다양한 요소들을 고려하는데, 주요 항목들은 다음과 같습니다.
- - Goal: 공격자의 궁극적인 목표
- - Target: 공격 대상 (조직, 산업 분야, 지역 등)
- - Malware: 사용된 악성코드 종류와 특징
- - Tool: 공격에 활용된 도구와 소프트웨어
- - Vulnerability: 악용된 취약점
- - Technique: 공격 기법과 전술
- - Infrastructure: 공격에 사용된 인프라 (C&C 서버, 프록시 등)
이처럼 다양한 요소들을 종합적으로 분석함으로써, 각 Operation의 고유한 특성과 패턴을 식별하고 위협 행위자의 활동을 더욱 정확하게 추적할 수 있습니다.
위협 행위자 분석 관점에서 보면, 분석 초기 단계에는 Operation이 식별되지 않은 위협 행위자인 Larva에 의해 행해진 것으로 봅니다. 분석을 시작한 시점에는 위협 행위자의 귀속 정보가 명확하지 않기 때문에, Larva로 명명해 관리하여 정보의 불확실성에 대처하는 것입니다. 이후, 보다 확실한 정보가 추가되면 위협 행위자를 Arthropod로 연결할 수 있습니다.
Operation 단계에서 중요한 점은 하나의 공격 활동에 여러 위협 행위자가 관여할 수 있다는 것입니다. 본 체계에서는 사이버 공격이 여러 위협 행위자 간 협력을 기반으로 이루어질 수 있음을 고려해 Larva에 여러 Arthropod가 연결되도록 했습니다. 실제 공격 사례들을 봐도 개인, 고용된 위협 행위자 혹은 위협 그룹들이 공통된 목표를 갖고 협력하는 경우가 많습니다.
3단계: Campaign - 장기적이고 조직적인 공격 활동
Campaign은 두 개 이상의 Operation으로 구성된 장기적이고 조직적인 공격 활동으로, 최소 수개월에서 1년 이상 지속되는 공격을 의미합니다. 장기적 목표를 달성하기 위해 오랜 기간에 걸쳐 여러 가지 공격 기법들을 활용하며, 이러한 Campaign에 대해서도 장기적인 분석 후 명칭을 정의합니다.
Campaign 분석 시, 단일 공격 활동이 아닌 장기적인 목표를 달성하기 위해 여러 Operation이 연계된 공격 활동을 분석하는 데 중점을 둡니다. 이 단계는 공격자의 궁극적인 목적과 장기적인 전략을 파악하는 것이 목표입니다. 이를 위해, 여러 위협 행위자가 장기간에 걸쳐 협력하거나 독립적으로 활동한 사례를 분석합니다.
안랩이 새롭게 개발한 위협 행위자 분류 체계와 명명법에 대한 보다 자세한 내용은 페이지 상단 PDF 보고서와 ASEC 블로그를 통해 확인할 수 있습니다.