MS의 결단, '김수키'는 이제 '에메랄드슬릿'-해킹 그룹 이름 통일이 중요한 진짜 이유

728x90

안녕하세요! 사이버 보안의 최전선에서 매일같이 벌어지는 보이지 않는 전쟁의 소식을 전해드리려고 합니다. 오늘은 조금 특별하고, 어쩌면 업계의 오랜 숙원이 해결되는 신호탄 같은 이야기를 해볼까 합니다. 바로 마이크로소프트(MS)가 발표한 해킹 조직 명명 체계 개편 소식입니다.

어두운 배경 위에 전기적 네트워크 패턴이 퍼져 있고, 흩어진 글자 조각들이 중앙의 EMERALD SLIT 텍스트로 하나로 모여드는 사이버보안 통합 이미지

현업에 있다 보면 정말이지 머리 아픈 순간들이 많습니다. 특히 긴급하게 특정 공격 그룹의 활동을 분석해야 할 때, A업체는 'APT29'라 부르고, B업체는 '코지 베어', 또 C업체는 '노벨륨'이라고 부르는 상황을 마주하면 눈앞이 캄캄해지곤 합니다. "그래서 이 세 이름이 전부 같은 애들이라고?"라는 질문에 확신을 갖고 답하기 위해 소모되는 시간과 에너지는 생각보다 훨씬 큽니다. 이런 작은 혼선이 모여 전체적인 공동 대응 전선을 약화시키는 원인이 되기도 했죠. 그런데 2025년, 드디어 MS가 이 '이름의 전쟁'을 끝내기 위한 칼을 빼 들었습니다. 과연 무엇이 어떻게 바뀌고, 이게 우리에게 왜 중요할까요? 저의 경험을 녹여 최대한 알기 쉽게 설명해 드릴게요.

하나의 적, 수십 개의 이름: 사이버 보안의 '바벨탑' 문제

사이버 보안 업계는 오랫동안 '바벨탑' 문제를 겪어왔습니다. 여기서 바벨탑이란, 동일한 해킹 조직을 두고 각 보안 회사가 자신들만의 기준으로 제각기 다른 이름을 붙이는 상황을 비유하는 말입니다. 위협 행위자를 처음 발견하고 분석한 업체가 명명권을 갖는 것이 일종의 관행처럼 굳어졌기 때문이죠.

어두운 도심 배경에 삐뚤어진 팻말들이 다양한 언어와 글씨체로 'APT29', 'Cozy Bear', 'Lazarus', 'Kimsuky', 'Sandworm' 등의 해킹 그룹 이름을 가리키며 혼란스럽게 흩어져 있는 바벨탑 같은 풍경

물론 여기에는 각 회사의 브랜딩 전략과 분석에 대한 자부심이 얽혀 있기도 합니다. 하지만 그 결과는 참혹했습니다. 보안 분석가들은 여러 보고서를 종합 분석할 때마다 이름부터 대조하며 시간을 허비해야 했고, 자동화된 위협 인텔리전스 시스템은 같은 위협을 다른 것으로 오인해 경보를 놓치기도 했습니다. 리더급인 CISO(정보보호최고책임자) 입장에서도 "그래서 우리 회사를 공격하는 주적이 '코지 베어'야, '노벨륨'이야?"라는 질문에 명확한 보고를 받기 어려웠죠. 결국, 적은 하나인데 우리끼리는 서로 다른 언어로 이야기하며 혼란을 자초하는, 그야말로 비효율의 극치였습니다.

“같은 위협에 대해 서로 다른 이름으로 이야기하는 것은 마치 응급 상황에서 의사들이 각기 다른 의학 용어로 소통하려는 것과 같습니다. 이는 환자(기업)의 생명을 위협할 수 있는 심각한 문제입니다.”

MS의 '날씨' 예보: 혼돈을 질서로 바꾸는 새로운 명명 체계

MS는 이러한 혼돈을 바로잡기 위해 '날씨'를 테마로 한 새로운 명명 체계를 발표했습니다. 단순히 기억하기 쉬운 이름을 붙이는 것을 넘어, 그 이름만 들어도 해킹 조직의 출신 국가나 활동 동기를 직관적으로 파악할 수 있도록 설계된 것이 핵심입니다.

푸른 전기 회로망이 뻗어 있는 어두운 구름 위에서 중앙의 방패 위로 따스한 황금빛 태양이 떠오르며 맑은 새벽 하늘로 전환되는 사이버보안 일러스트

국가별 날씨 패턴: 이름만 들어도 배후가 보인다

새로운 체계에 따르면, 특정 국가의 지원을 받는 해킹 조직(국가 배후 행위자)은 다음과 같은 날씨 패턴으로 분류됩니다.

만리장성 위로 푸른 태풍 소용돌이, 옥류관 위로 진눈깨비, 이란 사막 요새 위로 금빛 모래폭풍, 크렘린 성 위로 흰 눈보라가 겹쳐진 네 개의 패널 이미지, 각 패널 아래에 해당 기상 이름이 표시된 추상 사이버보안 일러스트

🌪️ 태풍 (Typhoon): 중국 기반 조직
🌨️ 진눈깨비 (Sleet): 북한 기반 조직
🏜️ 모래폭풍 (Sandstorm): 이란 기반 조직

눈보라 (Blizzard):

러시아 기반 조직

예를 들어, 이제 어떤 보고서에서 '아쿠아틱 슬릿(Aquatic Sleet)'이라는 이름의 활동이 포착되었다는 내용을 본다면, 우리는 즉시 '아, 북한과 연계된 해킹 조직의 소행이구나'라고 1차적인 판단을 내릴 수 있게 된 것입니다. 정말 놀라운 변화죠?

표준 강요가 아닌 '로제타석' 전략

여기서 중요한 점은 MS가 "이제부터 모두 이 이름만 써!"라고 강요하는 것이 아니라는 사실입니다. MS는 자신들의 새로운 명명 체계를 업계의 다양한 이름들을 번역하고 연결해주는 일종의 '로제타석(Rosetta Stone)'으로 만들겠다고 밝혔습니다. 즉, 구글이나 크라우드스트라이크가 기존의 이름을 계속 사용하더라도, MS의 체계를 통해 "아, 맨디언트가 말하는 'APT43'은 MS의 '에메랄드 슬릿'이고, 이게 바로 우리가 '김수키'라고 부르던 그룹이구나" 하고 즉시 연결할 수 있게 되는 것이죠. 실제로 이 위대한 여정에는 구글 맨디언트, 팔로알토 네트웍스 등 다른 글로벌 보안 기업들도 협력하기로 해 그 의미를 더하고 있습니다.

케이스 스터디: '김수키'는 어떻게 '에메랄드 슬릿'이 되었나?

이번 해킹 조직 명명 체계 개편의 가장 상징적인 사례는 바로 우리나라와 가장 밀접한 위협 중 하나인 '김수키(Kimsuky)' 그룹입니다. 이들은 최소 2012년부터 활동해 온 북한 정찰총국 연계 조직으로, 과거 '탈륨(Thallium)', '벨벳 천리마(Velvet Chollima)', 그리고 맨디언트가 붙인 'APT43' 등 정말 많은 이름으로 불려왔습니다.

MS의 새로운 분류에 따라, '김수키'는 이제 '에메랄드 슬릿(Emerald Sleet)'이라는 공식적인 이름을 갖게 되었습니다. '슬릿'이라는 단어에서 북한 배후 조직임을, '에메랄드'라는 수식어에서 슬릿 계열 내의 특정 그룹임을 명확히 한 것입니다.

오래된 북한 화폐 배경 위에 흐릿하게 겹쳐진 '김수키' 한글 텍스트와 그 위에 선명한 현대식 글씨체의 'EMERALD SLEET' 영문 텍스트가 대비를 이루며 과거에서 현재로 이름이 변화하는 과정을 시각적으로 표현

'에메랄드 슬릿'은 무엇을 노리는가?

이름이 바뀌었다고 해서 그들의 악의적인 목표가 바뀌는 것은 아닙니다. '에메랄드 슬릿'의 주된 목표는 여전히 대한민국의 정부 기관, 국방·통일·외교 분야의 전문가, 언론인, 탈북민 단체 등입니다. 이들은 특정 인물에게 언론사 기자를 사칭하거나 학술 세미나 자료 요청을 위장한 이메일을 보내 악성코드를 심는 '스피어 피싱' 공격에 매우 능합니다. 단순한 정보 탈취를 넘어, 사회적 혼란을 야기하거나 암호화폐 탈취를 통해 핵·미사일 개발 자금을 확보하는 것도 이들의 주요 임무 중 하나로 알려져 있습니다.

어두운 배경 위에 숨겨진 푸른 빛 눈동자들이 네트워크선을 통해 희미하게 빛나며 정부 건물, 외교 아이콘, 미디어 로고, 방송탑 등 다양한 아이콘을 감시·조작하는 듯 연결된 사이버 보안 감시 일러스트

그래서, 우리에겐 무엇이 좋아지는가? (실무자 입장에서)

자, 그럼 이 새로운 해킹 조직 명명 체계 도입이 실제 보안 업무 환경을 어떻게 바꿀까요? 제 경험에 비추어 볼 때 몇 가지 긍정적인 변화가 기대됩니다.

밝고 현대적인 사이버 보안 관제실에서 네 명의 분석가가 모니터 앞에 앉아 복잡한 네트워크 맵과 데이터 시각화를 보며 협력적으로 사이버 공격을 분석하고 방어하는 모습을 강조한 일러스트

신속한 초동 대응: 이제 분석가들은 이름의 혼선 없이 위협의 출처를 빠르게 파악하고, 해당 그룹의 과거 TTPs(전술, 기술, 절차)를 즉시 참고하여 방어 전략을 수립할 수 있습니다. 불필요한 정보 대조 시간이 줄어드는 만큼, 실제 위협을 분석하고 막는 데 더 많은 시간을 쓸 수 있게 됩니다.
정확한 위협 인텔리전스 공유: 여러 기관과 기업이 '에메랄드 슬릿'이라는 공통된 이름으로 정보를 공유하게 되면, 위협 정보의 정확성과 활용도가 비약적으로 높아집니다. "A기관에서 발견된 '에메랄드 슬릿'의 새로운 악성코드 정보"가 B기관에 즉시 공유되어 선제적인 방어가 가능해지는 것이죠.
효율적인 리더십 보고: 경영진이나 CISO에게 보고할 때도 훨씬 명확하고 일관된 설명이 가능해집니다. "현재 우리 회사는 북한의 '에메랄드 슬릿'으로부터 지속적인 공격을 받고 있으며, 업계 전반의 방어 전략은 다음과 같습니다."와 같이 명료한 커뮤니케이션이 가능해지는 것입니다.

장밋빛 미래? 넘어야 할 산은 여전히 존재

물론, 이 변화가 모든 문제를 해결해주는 '만병통치약'은 아닙니다. 여전히 몇 가지 과제는 남아있습니다.

첫째, 모든 보안 업체가 이 협력 체계에 얼마나 적극적으로 참여할 것인지, 둘째, 새로운 해킹 조직이 등장하거나 기존 조직들이 연합하고 분화할 때 이 명명 체계가 얼마나 유연하게 대처할 수 있을지는 지켜봐야 합니다.

결국 이름의 통일만큼이나 중요한 것은 각 조직의 공격 방식(TTPs)을 깊이 있게 이해하고 공유하는 것이기 때문입니다. 이름은 단지 그 시작일 뿐입니다.

험준한 산등성이의 좁은 길을 따라 여러 명의 등산객이 가파른 암벽을 오르며, 멀리 희미한 빛이 비추는 목표를 향해 나아가는 모습으로 도전과 희망을 동시에 보여주는 장대한 풍경

혼돈을 넘어 협력으로: 우리가 나아갈 방향

결론적으로, 마이크로소프트가 주도하는 이번 해킹 조직 명명 체계 개편은 사이버 보안 업계가 분열과 혼돈의 시대를 지나 '협력과 명확성'의 시대로 나아가는 매우 의미 있는 발걸음입니다. '김수키'가 '에메랄-드 슬릿'으로 명명된 것은 그 상징적인 예시일 뿐, 그 이면에는 보이지 않는 전쟁터에서 더 효과적으로 우리 모두를 지키기 위한 수많은 전문가의 고민과 노력이 담겨 있습니다.

이 새로운 질서가 성공적으로 안착하여, 앞으로 우리가 마주할 더 교묘하고 복잡한 사이버 위협에 더 빠르고 강력하게 대응하는 튼튼한 방패가 되어주기를 기대해 봅니다.