마이크로소프트가 러시아 위협 액터에 ∼블리자드, 중국 위협 액터에 ∼태풍, 공작에 대해선 ∼홍수 등 다양한 위협 액터에 대해 기상 현상에 따른 명명 규칙을 적용한다고 발표했다.
마이크로소프트에 따르면 위협 복잡성과 규모, 수가 늘면서 마이크로소프트가 위협을 어떻게 말하는지 뿐 아니라 사용자가 위협을 빠르고 명확하게 이해할 수 있도록 하는 방법에 대해 생각할 필요가 있다고 말한다. 여기에서 만들어진 새로운 위협 액터 분류법이 기상 현상에서 근거한 명명법이다.
마이크로소프트는 위협 액터를 5개 주요 그룹으로 분류한다. 첫 번째는 국가 액터, 스파이 활동과 금전적 이익, 보복 등을 목적으로 하는지에 관계없이 국가나 국가 관련 프로그램을 대신해 행동하거나 프로그램 지시를 받는 사이버 오퍼레이터다. 대부분 국가 액터는 지금까지의 스파이 활동이나 감시 활동 연장선상에서 정부기관과 정부간 국제 조직, 비정부조직, 싱크탱크에 작전이나 공격을 집중하고 있다고 한다.
2번째는 금전적 동기가 있는 액터다. 알려진 국가나 단체와 높은 신뢰적 관계가 없고 금전적 이익을 동기로 하는 범죄 조직 또는 인물이 지휘하는 사이버 캠페인이나 그룹이다. 랜섬웨어와 비즈니스 메일 공격, 피싱, 공갈 등을 하는 그룹이 포함된다.
3번째는 민간 부문 공격 액터다. 사이버 무기를 만들어 고객에게 판매하는 상업적 액터가 주도하는 사이버 활동이다. 이런 사이버 무기는 반체제파나 인권 활동가, 저널리스트, 시민 사회 옹호자, 나아가 민간인을 대상으로 시용하는 게 확인되고 있어 세계적인 인권 활동을 위협하고 있다.
4번째는 영향 공작 공격이다. 국가나 그룹 이익과 목적 달성을 위해 대상자 인식과 행동, 의사 결정을 바꾸기 위해 온라인이나 오프라인으로 이뤄지는 정보 캠페인이다.
마지막은 성장 중인 그룹이다. 이는 위협이 확인됐지만 활동 뒤에 있는 공격자 기원과 신원에 대해 높은 신뢰성에 도달할 때까지 설정되는 일시적 상태다. 기준을 만족하면 명명된 액터로 변환되거나 기존명에 합쳐진다.
구체적인 명명 규칙을 보면 중국의 경우 ∼태풍(Typhoon), 이란(Sandstorm), 레바논(Rain), 북한(Sleet), 러시아(Blizzard), 우리나라(Hail), 튀르키에(Dust), 베트남(Cyclone), 금전적 동기가 있는 액터(Tempest), 민간 부문 공격 액터(Tsunami), 영향 공작 공격(Flood), 성장하는 그룹(Storm) 등이다.
새로 발견된 액터는 먼저 Storm-0257 식으로 4자리 번호가 붙여지며 액터 기원이나 신원에 대해 신뢰도 높은 정보를 얻으면 명명된 액터로 변환된다. 관련 내용은 이곳에서 확인할 수 있다.