코지베어(APT29, CozyCar, CozyDuke, Dark Halo, Nobelium 등)는 2016년 민주당 전국위원회에 대한 사이버 공격 이후 대중의 주목을 받았다. 이 해킹이 팬시베어로 인해 공개되는 동안 코지베어는 다른 러시아 공격조직이 공격한 서버에 함께 존재하고 있었음이 드러났다. 사이버 보안업체 CrowdStrike社에 따르면 코지베어는 거의 1년간 민주당 전국위원회 서버에 액세스할 수 있었다. 이들은 이미 2015년 여름에 서버를 해킹한 것으로 알려졌다.

코지베어는 다른 “베어”와 매우 다르다. 팬시베어의 주요 목표는 홍보로, 이들은 모든 해킹을 공개하고 러시아의 정치적 이익을 위해 탈취한 정보를 유출한다. 민주당 전국위원회 해킹 사건이 딱 그러한 사건이었다. 해커들은 트럼프에 대한 반대 여론을 포함하여 엄청난 양의 기밀 데이터를 탈취하여 위키리크스와 Guccifer 2.0을 통해 유출했다.

그러나 코지베어는 장기간 은밀한 사이버 스파이 활동에 더욱 집중하고 대중의 관심을 구하거나 홍보하는 데는 관심이 없다. 이들은 훔친 정보를 유출하지 않으며 핵티비스트를 사칭하지 않는다.

팬시베어와 코지베어가 서로 다른 이유는 당연하지만 전문가들은 이들은 서로 다른 러시아 정보기관이 배후로 있기 때문이라고 분석하고 있다. 팬시베어는 러시아 군사정보기관(GRU)과 관련되어 있고, 코지베어는 러시아 해외정보국(SVR) 또는 러시아 연방보안국(FSB)의 한 부서가 배후인 것으로 알려져있다. 유럽 외교위원회의 보고서에 따르면 이 세 정보국은 모두 책임 영역이 중복되지만 정보를 공유하는 경우는 드물고 때로는 서로 정보를 훔치며 작전을 손상시키기도 한다.

[출처 : CyberSecurityHelp / 1.25.]