보안정보
전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.
[보안 101] 해킹 그룹이란 무엇인가요?
2025.09.05
1,100
![이글루코퍼레이션 [보안 101] 해킹 그룹이란 무엇인가요?](https://www.igloo.co.kr/wp-content/uploads/2025/09/igloocorp_security_information-1.jpg)
매달 하나의 주제를 선정해 질문을 던지며, 보안에 한 걸음 더 가까이 다가갑니다.
복잡하고 어렵게 느껴질 수 있는 보안 지식을 초보자도 쉽게 이해할 수 있도록, 기초 개념부터 최신 이슈까지 차근차근 풀어갑니다.
보안이 알고 싶을 땐, 보안 101으로 시작해 보세요.
물음표를 느낌표로 바꾸는 여정을 이글루코퍼레이션이 함께합니다.
우리는 종종 한 사람의 직업이나 직종을 통해 그의 이미지를 유추하곤 합니다. 마케터라면 포스트잇에 아이디어를 쏟아내는 열정적인 모습을, 스포츠 선수라면 건장하고 다부진 체격과 역동적인 자세를 떠올리는 식이죠. 사이버 공격자는 어떨까요? 어두컴컴한 방에서 후드를 눌러쓰고 키보드를 두드리는 외로운 늑대의 이미지를 생각하고 있진 않나요?
하지만 오늘날 우리는 ‘홀로 행동하는 개인 해커’가 아닌 ‘조직화된 해킹 그룹’의 위험에 직면하고 있습니다. 이들은 명확한 목표 아래 분업화된 팀워크로 사이버 공간을 누비고, 단 한 번의 공격으로 기업의 핵심 데이터, 공공 인프라, 금융 시스템에 치명타를 입히죠. 이번 보안 101에서는 ‘해킹 그룹’이 무엇인지, 어떻게 발전해 왔는지, 이에 대한 대응 방안은 무엇인지 차근차근 살펴보도록 하겠습니다.
01. 해킹 그룹이란 무엇인가요?
해킹 그룹(Hacking Group)은 공통의 목표를 위해 모인 사이버 공격 조직입니다. 사이버 범죄에 특화된 전문가 집단으로, 기업과 기관이 마주하는 가장 까다로운 상대라고 할 수 있겠습니다. 이들이 추구하는 목표는 ①금전적 수익 획득하기, ②정치·사회적 메시지 전달하기, ③지능형 지속 위협 (APT) 공격을 통해 핵심 정부·군사·기업 기밀 정보 수집하기, ④해킹 기술 과시를 통해 명성 추구하기 - 크게 네 가지로 구분됩니다. 각 그룹은 설정한 목표에 따라 공격을 감행하며 활동 영역을 확장해 나가고 있습니다.
| 구분 | 주요 행위 | 주요 해킹 그룹 |
| 금전적 이익 추구 그룹 | - 랜섬웨어 유포 - 가상화폐 거래소 탈취 - 금융 사기 시도 | - 콘티(Conti) - 록빗(LockBit) |
| 정치·사회적 메시지 그룹 | - 정치적·사회적 메시지 전달 - 허위 뉴스 유포 - 디페이스 해킹 시도 | - 어나니머스(Anonymous) |
| 스파이·APT 수행 그룹 | - 장기 잠입 후 데이터 탈취 - 국가 기밀 수집 | - 코지 베어(Cozy Bear) |
| 명성 추구 그룹 | - 신규 취약점 공개 | - 섀도 브로커스 (The Shadow Brokers) |
![이글루코퍼레이션 [보안 101] 해킹 그룹이란 무엇인가요?](https://www.igloo.co.kr/wp-content/uploads/2025/09/igloocorp_security_information_01-1024x556.jpg)
이들은 일반 기업과 다를 바 없는 업무 모델을 바탕으로 사이버 범죄 생태계의 규모를 키우고 있습니다.
먼저, 철저한 분업화를 통해, 공격의 효율성을 높입니다. 하나의 작전 (Operation) 완수를 위해, 서로 다른 전문 영역의 해커들이 모여 협업하는 것이지요. 작전 목표와 방향을 설정하는 ‘기획자’, 맞춤형 도구를 제작하는 ‘개발자’, 침투 전략을 담당하는 ‘침투 전문가’, 침투 후 공격 확산을 유도하는 ‘운영자’, 표적 대상과 공격 경로를 평가하는 ‘정보 분석가’ 등이 뭉쳐 공격을 수행합니다.
금전적 이익 추구 그룹의 경우, 고수익이 예상되는 상품 개발과 판매에 공을 들입니다. 돈벌이가 되는 악성코드로 랜섬웨어가 자리매김한 만큼, 콘티 등의 해킹 그룹은 수많은 랜섬웨어를 만들어내고 있습니다. 또한, 랜섬웨어를 제작해 주고 협상을 대행해 주는 ‘서비스형 랜섬웨어(RaaS)’를 통해, 월정액 구독 또는 성과 수수료 형태의 막대한 수익을 올리고 있기도 합니다.
해킹 그룹 역시 인재 영입 및 기업 내부자 매수를 통해 공격의 성공률을 높이기도 합니다. 공격자들은 전략 수립·침투·확산·정보 분석 영역의 사이버 범죄자는 물론 검증된 해킹 실력을 갖춘 ‘화이트 해커’를 포섭하는데 공을 들이고 있습니다. 또는, 기업에 불만을 가지고 있는 임직원을 회유하거나, 불미스런 일에 연루된 임직원을 협박해 공격에 필요한 정보를 획득하기도 합니다.
직장인이 특정 산업·직종의 커뮤니티를 방문하듯이, 사이버 범죄자 역시 다크웹 포럼과 마켓을 통해 거래하고 소통하기도 합니다. 각종 공격 도구와 기법을 공유하고, 공격 대행 서비스나 살아있는 세션 등의 탈취 정보를 판매하는 것이지요. 가상화폐로 거래를 진행하고 실제 접속지를 숨기기 때문에 거래 대상을 추적하는 것은 대단히 어렵습니다.
한편 사이버 공격자 간 경쟁이 심화됨에 따라, 해킹 그룹을 수익 모델로 삼는 ‘헌터 헌팅(Hunter vs Hunter)’ 조직도 나타나고 있습니다. 이들은 공개 또는 유출된 디지털 흔적을 수집한 뒤, 공격 전술·기법·절차 (TTPs)를 파악해 위협 행위자를 식별합니다. 이 분석 결과를 보안 기업·정부기관에 판매하거나, 위협 행위자를 협박하거나, 다크웹 경매장에 올리는 방식으로 수익을 올리고 있습니다.
02. 해킹 그룹의 발전 과정
이러한 해킹 그룹은 언제 어떤 형태로 등장했을 까요? 또한 어떻게 변화해 왔을까요? 1980년대부터 현재까지 네 번의 전환점을 짚어보겠습니다.
![이글루코퍼레이션 [보안 101] 해킹 그룹이란 무엇인가요?](https://www.igloo.co.kr/wp-content/uploads/2025/09/igloocorp_security_information_02-1024x683.jpg)
① 개인의 호기심에서 시작된 소규모 실험 시기(1980-1990년대)
1980년 대 개인용 컴퓨터(PC)와 PC 통신 게시판(BBS) 사용이 활성화되면서, 소수의 호기심 많은 해커들을 중심으로 개인 해킹 문화가 싹트게 되었습니다. PC 통신 게시판을 통해 취약점, 툴킷 등을 공유하던 해커들은 실험 공간을 마련한 오프라인 동호회를 통해 지식을 공유하기 시작했습니다. 도전과 실험 정신을 토대로 운영체제·네트워크의 숨겨진 구멍을 찾아내곤 했죠. 매사추세츠공대(MIT) 소속 해커 모임 ‘로프트 (L0pht)’는 정보 보안의 중요성을 각인시킨 미국 최초의 해커 동호회라고 할 수 있습니다. 1992년 보스턴에서 결성된 로프트는 1998년 미 의회 청문회에서 정부 보안의 취약성을 공개해 세상을 깜짝 놀라게 했습니다. 해킹이 단순한 장난이 아닌 조직, 기관, 국가를 뒤흔들 수 있는 문제임을 알린 사건이라고 할 수 있죠.
② APT 등장과 국가 지원형 전문 조직화 (2000년대)
2000년 초 특정 정부나 조직 배후의 장기적 잠입 전략이 드러나면서, ‘지능형 지속 위협 (Advanced Persistent Threat, APT)’이라는 용어가 등장합니다. 국가 혹은 조직의 지원을 받아 장시간에 걸쳐 특정 대상을 노린 표적형 공격을 수행하는 해킹 그룹의 정체가 드러나게 된 것이죠. 이들이 표적 시스템에 침투한 뒤 은밀히 잠복하며 정보를 빼돌림에 따라, 위협 수위가 급격히 올라가게 됩니다.
하지만 보안 기업 역시 진화를 거듭하고 있었습니다. 이 시기 주요 보안 기업들은 해킹 그룹의 활동 패턴을 분석하고 그룹별 이름을 붙여 각 해킹 그룹의 특징을 구체화하기 시작합니다. 각 해킹 그룹 대응을 위한 방어 전략 수립에 집중하게 된 변곡점이라고 할 수 있겠습니다.
③ 랜섬웨어 비즈니스화, 서비스형 공격 모델 확산 (2010년대 중반)
2010년 중반, 사이버 공격은 마치 일반적인 비즈니스 모델과 유사한 형태로 진화를 하게 됩니다. 서비스형 랜섬웨어(RaaS) 모델 확산으로 기술적인 그리고 비용적인 측면에서 사이버 공격의 장벽이 낮아지게 된 것입니다. 이에 따라 자신의 실력을 과시하거나 정치적 목적에서 해킹을 감행했던 과거와는 달리, 이윤을 극대화하는 것에서 존재의 의미를 찾는 해킹 그룹이 늘어나게 됩니다.
다시 말해, 사이버 범죄자들은 체계적인 비즈니스 모델을 통해 고소득을 올리는 무자비한 해킹 그룹으로 그 모습을 바꾸었습니다. 이들은 분업화된 조직을 구성하고 다른 조직과 협업하는 등 수익률은 높이고 리스크는 최소화하는 사업 전략을 구사하게 되었습니다. 그리고, 공격을 통해 획득한 수익을 공격에 재투자하면서, 지능화된 보안 위협이 큰 폭으로 증가하게 되었습니다.
④ 국가 간 사이버 전쟁화, 차세대 IT 기술 확산 (2010년대 중반–최근)
고도화된 사이버 공격이 급증함에 따라, 국가를 아우르는 협력의 중요성이 부각됩니다. 하지만 한편에서는 각국 정부가 특정 국가 대상의 공격을 감행하는 움직임도 포착되었죠. 국가의 재정적, 전략적 지원을 받는 해킹 그룹들이 정보전과 심리전에 투입되면서, 금융·정치·정보 인프라를 동시다발적으로 공격하는 양상이 구체화되기 시작합니다. 러시아-우크라이나 전쟁이 대표적입니다.
클라우드, 컨테이너 등의 차세대 IT 기술 도입 확산과 함께, 긴밀히 연결된 사물과 사용자, 인프라를 노리는 보안 위협도 급증하게 되었습니다. 즉, 해킹 그룹이 노릴만한 공격표면 (Attack surface)가 급격히 확장된 것이죠. AI의 발전 역시 영향을 미칩니다. AI를 사용해 악성 스크립트, 딥페이크 영상, 자연스러운 악성 이메일 문구 등의 공격 도구를 더 쉽게 만들게 된 것이죠.
03. 해킹 그룹의 최근 동향
앞서 해킹 그룹이 어떻게 진화해 왔는지 살펴보았습니다. 더욱 교묘한 공격을 감행하고 있는 해킹 그룹들의 최근 동향에 대해 살펴보겠습니다.
첫째, 해킹 그룹들은 높은 보안 수준을 유지하고 있는 최종 표적에 접근하기 위해, 연결된 외부 파트너나 공급망 요소를 해킹하는 ‘공급망 공격’을 감행하고 있습니다. 해킹 그룹 입장에서는 공격자들의 표적이 되는 기업과 기관들이 일정 수준 이상의 대비가 되어 있는 만큼, 상대적으로 보안에 취약한 협력업체를 뚫고 들어가 신뢰받는 공급망을 통해 우회 침투하는 것이 효과적이라는 것이죠.
이에 해킹 그룹들은 신뢰 체계를 악용해 침투하여 장기간 정보를 살펴본 뒤, 적합한 시기에 한 번의 공격을 감행해 연결된 시스템과 조직을 감염시키고 있습니다. 특정 기관을 노린다면, 그 기관이 사용하는 소프트웨어 업체를 해킹하거나, 수많은 기관이 사용하는 소프트웨어 업데이트에 악성코드를 심어 수십-수천 개의 고객사에 전파하는 것이지요.
둘째, 최근 해킹 그룹들이 AI, 특히 생성형 AI를 공격 도구로 활용하여 공격 성공률을 높이는 사례도 급증하고 있습니다. 공격 자동화 수준을 향상시키는 것을 넘어, 표적 분석과 공격 도구 제작 과정에 AI를 악용하고 있는 것이지요. 특히, 자연스러운 문구와 영상 생성을 통해 기업 이메일 침해(BEC) 공격을 감행하거나 국가 안보를 위협하는 허위 영상을 배포하는 사례가 증가하고 있습니다.
셋째, 디지털 전환 속도가 상대적으로 느린 제조업·물류·의료 산업 등을 표적으로 삼은 공격도 늘어나고 있습니다. 해킹 그룹들은 전통 산업의 특성을 간파하고 이를 노립니다. 생산성과 안정성이 중시되는 만큼 정기 점검·패치가 어렵고, 생산·운영 중단 시에는 막대한 금전적 손실과 인명 피해가 발생할 수 있다는 것이죠. 때문에 해킹 그룹이 요구하는 거액의 몸값을 지불할 가능성이 높아질 수밖에 없습니다.
04. 해킹 그룹에 맞설 방어 전략
이와 같이 진화를 거듭하고 있는 해킹 그룹에 맞서 조직과 시스템을 안전하게 지키려면, 우리는 어떤 방어 전략을 마련해야 할까요? 단편적인 보안 조치만으로는 부족합니다. 모든 사용자·자산·시스템을 아우르는 다계층의 지속적이고 진화하는 방어 전략이 필요합니다.
| 해킹 그룹에 유연히 대응하기 위한 7가지 핵심 전략 ① 확장형 탐지·대응(XDR) 체계 구축 ② 위협 인텔리전스·공격 표면 관리 기반 선제 방어 ③ 인공지능(AI)·자동화(SOAR) 기반 탐지·대응 ④ 공급망·사이버 물리 시스템(CPS)·협력사 보안 강화 ⑤ 외부 전문 보안관제 서비스 도입 ⑥ 실전 방어 능력 강화를 위한 모의 훈련·사이버 공방전 진행 ⑦ 조직 구성원 모두의 보안 인식을 강화하는 교육 진행 |
첫째, 기존의 네트워크를 기반으로 한 레거시 보안 환경은 물론 사이버 물리 시스템(CPS), 클라우드 영역을 아우르는 확장형 탐지·대응(XDR) 체계를 구축해야 합니다. 보안과 관련된 모든 것을 수집하여 이에 대한 탐지·분석을 수행하고 자동 대응을 통해 대응의 효율성을 높여야 하죠. 변화에 따라 데이터를 확장 수집하고, 필요한 보안 기능을 적시에 추가할 수 있는 유연성이 필요합니다.
둘째, ‘공격자에 대한 정보’와 ‘공격자가 노릴만한 나에 대한 정보’를 실시간으로 파악해야 합니다. 우리 조직이 속한 산업과 연관된 해킹 그룹의 전술·기술·절차(TTPs)를 실시간 모니터링하고 침해 지표(IoC)를 자동 차단하는 ‘위협 인텔리전스(Threat Intelligence)’, 외부에 노출된 조직의 IT 자산 정보를 파악해 잠재적 위협을 최소화하는 ‘공격 표면 관리(ASM)’가 요구됩니다.
셋째, AI를 악용한 공격에 맞서려면 AI를 반드시 활용해야 합니다. AI를 토대로 기하급수적으로 증가하는 고도화된 위협 데이터에 대한 분석·탐지 정확성을 높이고, 이 중 단순반복적인 위협은 자동 대응하여 대응의 효율성도 높이는 것이죠. 보안운영센터(SOC)와 연계된 자율 기능을 구현하는 AI 에이전트를 활용해, 여러 보안 업무의 효율성을 끌어올리는 방안 도입도 고려해야 하겠습니다.
넷째, 공급망과 사이버 물리 시스템(CPS) 보안 전략을 마련해야 합니다. 내 외부를 아우르는 사용자 접근 권한 관리 방침을 마련하고, 2-3차 공급업체·협력업체까지 아우르는 보안 관리를 수행해야 합니다. 선박·공장·빌딩 등 특정 영역에 특화된 CPS 보안 솔루션 도입을 검토하고, 각 영역에 해당되는 보안 규제와 컴플라이언스를 관리할 수 있는 모니터링 역량도 확보해야 하겠습니다.
다섯 번째, 내부 자원이 충분하지 않다면, 외부의 전문 보안관제 서비스를 도입하는 방안도 고려해야 합니다. 보안운영센터(SOC)를 자체 보유한 중대규모 조직은 물론 SOC를 보유하지 않은 기업 모두 해킹 그룹의 공격 대상이 될 수 있기 때문입니다. 전문가 진단을 토대로, 보안관제(MSS)·관리형 탐지 및 대응(MDR) 서비스를 파견/원격/혼합 형태로 도입하여 안정적인 보안 태세를 구축해야 하겠습니다.
여섯 번째, 조직의 방어 능력을 실전처럼 시험하여 강화할 수 있는 훈련을 실행해야 합니다. 실제 해킹 그룹의 전술과 기술, 절차를 재현하여 정해진 시나리오에 따라 공격자와 방어자 역할을 수행하는 ‘모의 훈련’, 실전처럼 쌍방이 맞붙는 ‘사이버 공방전’이 대표적이죠. 해킹 그룹의 기법이 빠른 속도로 진화하는 만큼, 정기적·반복적 훈련을 통해, 대응 체계를 최신 상태로 유지해야 하겠습니다.
마지막으로, 사원부터 CEO까지 조직 구성원 모두의 보안 인식을 강화할 수 있는 보안 교육이 필요합니다. 대다수의 공격이 사회공학적 기법을 사용해 조직 내부의 임직원의 허점을 노리는 데부터 시작됩니다. 따라서, 최신 위협 트렌드를 반영한 정기적 교육 진행, 우수 대응자 포상 등의 전사적 제도 마련을 통해, 보안은 모든 임직원이 실천해야 할 ‘생활 습관’ 임을 강조해야 하겠습니다.
05. 보안은 선택이 아닌 생존의 문제
지금까지 해킹 그룹의 정의와 발전 방향, 최근 동향과 더불어 이들에 맞설 방어 전략을 알아보았습니다.
해킹 그룹은 멈추지 않습니다. 그들은 더 정교해지고, 더 집요해지며, 우리가 방심하는 단 한순간을 노립니다. 그렇지만 준비된 조직은 기민하게 대응할 수 있습니다. ‘보이지 않는 적’을 생각하며 한 발 앞서 나간다면, 그들의 파상 공세를 뚫고 조직과 고객, 그리고 우리의 미래를 지킬 수 있습니다.
