💌 후속 콘텐츠, 계속 받아보세요 ▶

오늘날 사이버 공격은 더 이상 개인 해커의 일탈이나 단순 범죄로만 볼 수 없게 되었다. 전 세계 곳곳에서 조직적으로 움직이며 장기간 활동을 이어가는 해킹 그룹들이 등장하고 있다. 이들은 기업의 정보 자산을 노릴 뿐 아니라 금융과 사회 인프라, 나아가 국가 안보까지 위협하며 국제 정세에도 직접적인 영향을 미치고 있다. ‘친구는 가까이 두고, 적은 더 가까이 두라(Keep your friends close, and your enemies closer)’라는 말처럼, 해킹 그룹을 제대로 이해하는 것이 곧 효과적인 방어의 첫걸음이다. 이에 세계적으로 활동이 두드러진 대표적인 해킹 그룹들을 살펴보고, 그들의 주요 특징과 위협 양상을 짚어보고자 한다.

01. Fancy Bear (APT28)

팬시 베어(Fancy Bear)는 러시아 정부와 연계된 대표적 해킹 그룹이다. 보안 업계에서 ‘Bear(곰)’라는 명칭은 주로 러시아 배후 조직을 상징적으로 지칭하는데, ‘Fancy’는 이들이 보여주는 정교하고 치밀한 공격 양상을 빗댄 표현이다. 즉 ‘세련된 곰’이라는 이름에는 러시아 정보기관의 조직적 공세 이미지가 담겨 있다. 이들은 주로 정부 기관, 언론사, 군사 관련 조직을 표적으로 삼아 스피어 피싱과 제로데이 공격을 수행하며, 정보 수집과 정치적 목적 달성을 노린다. 특히 2016년 미국 대선 당시 민주당 전국위원회(DNC) 서버 해킹과 여론 조작 시도에 연루되며 전 세계적인 주목을 받았다.

팬시 베어의 가장 큰 특징은 공격 속도가 빠르고 기민하며, 러시아 정부의 전략적 이해관계와 밀접히 연계된 해킹 작전을 주도한다는 점이다. 최근에도 이들은 러시아-우크라이나 전쟁과 직결된 활동을 활발히 이어가고 있다. 우크라이나 정부 기관과 군사 계약 업체, 에너지·물류 인프라를 대상으로 정교한 스피어 피싱과 웹메일 취약점 공격을 감행하며 전황과 군수 지원 동향을 파악하려는 시도가 포착되었다. 더 나아가 미국 사이버보안 및 인프라 보안국(CISA), 영국 국가사이버보안센터(NCSC) 등이 발표한 권고문에 따르면, 이들은 북대서양조약기구(NATO) 회원국과 우크라이나를 지원하는 서방 국가의 방위 산업체, 물류·운송 시설, IT 기업까지 공격 대상을 확장해 정보 탈취를 시도하고 있다.

이처럼 팬시 베어는 단순한 정보 수집을 넘어 전쟁 수행을 지원하는 사이버 군사 조직으로 기능하고 있으며, 국제 사회가 러시아의 대표적 사이버 위협으로 경계하는 이유가 여기에 있다.

02. Lazarus Group

라자루스 그룹(Lazarus Group)은 북한과 연계된 대표적인 해킹 그룹이다. 그 이름은 성서에 등장하는 인물 ‘나사로(Lazarus)’에서 유래한 것으로 추정되며, 여러 차례 국제 사회의 추적과 제재 속에서도 끊임없이 형태를 바꿔 돌아오는 ‘부활하는 위협’이라는 의미가 담겨 있다.

초기에는 정치·군사적 목적의 스파이 활동과 파괴적 작전으로 주목받았으나, 시간이 흐르며 금전적 이득을 노린 범죄 활동이 뚜렷해졌다. 2014년 소니 픽처스 해킹, 2016년 방글라데시 중앙은행 송금 탈취 시도, 2017년 워너크라이나 랜섬웨어 등 굵직한 사건들이 이들과 연결되어 왔고, 이후 암호화폐 거래소와 금융기관을 겨냥한 침투·탈취가 반복적으로 보고되었다. 탈취한 자금은 북한 정권의 외화 조달과 무기 개발 재원으로 활용되는 것으로 알려져 있다.

라자루스의 공격 기법은 맞춤형 악성코드 제작, 스피어 피싱, 공급망 침투 등 매우 다채롭다. 특히 금융을 노린 작전에서는 정교한 악성코드와 은닉 기법을 결합해 장기간 잠복하면서 대규모 자금 이체를 시도하는 특징을 보인다. 최근에는 오픈소스 생태계·개발자 도구를 겨냥한 공격과 대규모 암호화폐 탈취 사례가 잇따라 보고되는 등 전술과 표적이 계속 진화하고 있다.

국가적 지원을 기반으로 한 조직적 역량과 범죄적 수법이 결합되어 있다는 점이 라자루스의 가장 큰 특징이다. 이들은 정치·군사적 목적과 경제적 이익을 동시에 추구하는 하이브리드형 위협 세력으로 평가된다.

03. Salt Typhoon

솔트 타이푼(Salt Typhoon)은 중국과 연계된 것으로 알려진 해킹 그룹으로, 주로 미국 및 동아시아의 정부 기관과 주요 산업을 표적으로 삼아왔다. 이들은 정치·외교적 목적의 사이버 스파이 활동에 주력하며 민감한 군사 기밀과 외교 문서의 수집에 특화되어 있다. 공격 방식은 스피어 피싱, 취약점 악용, 맞춤형 악성코드 배포 등으로 다양하며, 합법적 소프트웨어 업데이트나 공급망을 매개로 침투하는 기법도 자주 활용된다.

특히 최근 보도에 따르면, 솔트 타이푼은 2023년 여름부터 미국 통신사 9곳의 시스템에 반년 이상 잠복한 것으로 조사되었으며, 버라이즌, AT&T, T모바일과 같은 미국의 3대 통신사도 표적에 포함된 것으로 알려졌다. 일부 조사에서는 이들의 침해가 도널드 트럼프 미국 대통령을 비롯한 고위 당국자나 정치인의 통신 기록에까지 영향을 미쳤을 가능성이 제기되기도 했다. 월스트리트저널(WSJ)은 이에 대해 “기업 기밀이나 개인정보 탈취에 집중하던 해커들이 이제 미·중 파워게임의 최전선에 나서는 ‘군사 전력’으로 변모했다”고 평했다.

이처럼 솔트 타이푼의 활동은 단순한 산업 스파이나 개인 정보 유출을 넘어, 장기적이고 체계적인 국가 단위의 사이버 전략으로 확장되고 있다. 여러 글로벌 보안 전문가들은 최근 중국 배후의 해킹 그룹들이 단발성 침입을 넘어 장기간에 걸쳐 정보를 축적하고 필요시 즉시 공격으로 전환할 수 있는 지속적 사이버 전쟁 인프라를 구축하고 있다고 분석한다.

국가의 이름을 달고 움직이는 해킹 그룹들은 이제 단순한 범죄 조직이 아니다. 그들의 공격은 정교하고 장기적이며, 정치·경제·군사 영역을 동시에 겨냥하고 있다. 팬시 베어, 라자루스, 솔트 타이푼처럼 각기 다른 국적의 조직들이 보여주는 행태는 ‘사이버 전쟁’이 이미 현실의 일부가 되었음을 시사한다.

이제 사이버 공격은 한 조직의 노력만으로는 막을 수 없는 수준에 이르렀다. 국가와 기업, 공공기관이 서로의 경계를 허물고 정보를 공유하지 않는다면, 어떤 방화벽도 완벽할 수 없다. 사이버 안보의 핵심은 경쟁이 아니라 협력의 생태계에 있다. 각자의 영역에서 위협을 감지하고, 서로 긴밀히 연결될 때 비로소 진정한 방어가 완성된다.

💌 후속 콘텐츠, 계속 받아보세요 ▶