"한 곳 뚫리면 연쇄 피해"…공급망 공격, 글로벌 사이버 위협 부상

등록 2026.03.13 13:22:24

그룹아이비, '하이테크 범죄 동향 보고서 2026' 발표

"기업 내부망 아닌 서비스 생태계 노린 해킹 확산"

오픈소스·SaaS·브라우저 확장 프로그램 공격 증가

[서울=뉴시스] 신효령 기자 = 그룹 아이비(Group-IB)가 13일 서울 송파구 시그니엘 호텔에서 기자회견을 열고 '하이테크 범죄 동향 보고서 2026'를 발표했다. 사진은 아나스타샤 티호노바 글로벌 위협 리서치 책임자. 2026.03.13. photo@newsis.com

[서울=뉴시스] 신효령 기자 = 그룹 아이비(Group-IB)가 13일 서울 송파구 시그니엘 호텔에서 기자회견을 열고 '하이테크 범죄 동향 보고서 2026'를 발표했다. 사진은 아나스타샤 티호노바 글로벌 위협 리서치 책임자. 2026.03.13. [email protected]

[서울=뉴시스] 신효령 기자 = 글로벌 사이버 보안 기업 그룹아이비(Group-IB)가 13일 '하이테크 범죄 동향 보고서 2026'을 발표하며, 올해 전 세계 사이버 보안의 최대 화두로 '공급망 공격'을 지목했다.

아나스타샤 티호노바 그룹아이비 글로벌 위협 연구 책임자는 이날 서울 송파구 시그니엘 호텔에서 열린 기자회견에서 "최근 사이버 범죄는 단일 기업을 목표로 한 공격에서 벗어나, 여러 조직이 연결된 디지털 공급망 전체를 겨냥하는 구조로 변화했다"며 "기업이 매일 사용하는 애플리케이션이나 통합 시스템, 물류 플랫폼, 데이터 전송 서비스, SaaS(서비스형 소프트웨어) 솔루션 등이 주된 공격 경로가 됐다"고 말했다.

예를 들어 기업이 사용하는 외부 협력사 서비스가 침해되면 해당 서비스를 이용하는 기업이 동시에 피해를 입을 수 있다. 티코노바 총괄은 "연구 결과 사이버 범죄자들이 기업과 개인이 형성한 신뢰 관계를 공격 경로로 활용하고 있다는 사실이 확인됐다"며 "협력사와 공급업체, 그리고 개인간 신뢰 관계가 공격 통로로 악용되고 있다"라고 설명했다.

사실 공급망 공격은 최근 등장한 새로운 위협은 아니다. 티코노바는 "공급망 공격은 2015년 처음 공개적으로 확인된 이후 10년 넘게 지속적으로 발전해 온 방식"이라며 "최근 들어 공격 방식과 규모가 크게 확대되고 있다"고 밝혔다. 이어 "과거에는 특정 기업의 시스템을 직접 공격했다면, 최근에는 기업이 사용하는 서비스와 플랫폼을 우회적으로 공격해 그물망처럼 피해를 확산시키는 추세"라고 덧붙였다.

[서울=뉴시스] 그룹아이비(Group-IB)가 13일 '하이테크 범죄 동향 보고서 2026'를 발표했다. (사진=그룹아이비 제공) 2026.03.13. photo@newsis.com *재판매 및 DB 금지

[서울=뉴시스] 그룹아이비(Group-IB)가 13일 '하이테크 범죄 동향 보고서 2026'를 발표했다. (사진=그룹아이비 제공) 2026.03.13. [email protected] *재판매 및 DB 금지

최근 공격자들이 가장 집중적으로 노리는 영역 중 하나는 오픈소스 소프트웨어 생태계다. 전세계 개발자들이 효율적인 개발을 위해 널리 사용하는 깃허브(GitHub)나 npm, PyPI 같은 공개 저장소가 타깃으로 떠올랐다. 공격자들은 관리자 계정을 탈취하거나 교묘하게 악성 코드를 삽입한 패키지를 유포한다. 이러한 공격이 일반적인 사이버 범죄 조직뿐 아니라 APT(지능형 지속 공격) 그룹에서도 활용되고 있다.

사용자가 일상적으로 사용하는 브라우저 확장 프로그램 역시 공격 통로가 됐다. 공격자들은 정상적인 확장 프로그램을 인수하거나 개발자 계정을 탈취한 뒤 악성 코드를 삽입한다. 이를 통해 사용자의 로그인 세션을 가로채거나 금융 정보를 탈취한다. 실제로 암호화폐 지갑 확장 프로그램이 침해돼 약 850만 달러(약 126억원) 규모 피해가 발생하고, 2000개 이상의 암호화폐 지갑이 영향을 받은 사례도 보고됐다.

공급망 공격은 데이터 유출 전략과 결합되면서 파급력이 더욱 커졌다. 과거에는 대기업을 직접 공격해 데이터를 탈취한 뒤 이를 다크웹에서 판매하는 방식이 일반적이었다. 하지만 최근에는 기업 자체보다 기업이 사용하는 서비스 플랫폼이나 파트너사를 공격하는 방식이 늘었다.

대표 사례가 미국 오라클 공급망 공격 사건이다. 티호노바는 이에 대해 "공급망 공격을 통해 약 10만개의 고객 기업이 영향을 받았고, 700만명의 사용자 정보가 유출됐다"며 "협력사 서비스가 마비되면 그 서비스를 이용하는 수천 개의 기업이 연쇄적으로 생산 차질과 서비스 중단이라는 치명적인 타격을 입게 된다"고 밝혔다.

[서울=뉴시스] 신효령 기자 = 그룹 아이비(Group-IB)가 13일 서울 송파구 시그니엘 호텔에서 기자회견을 열고 '하이테크 범죄 동향 보고서 2026'를 발표했다. 2026.03.13. photo@newsis.com

[서울=뉴시스] 신효령 기자 = 그룹 아이비(Group-IB)가 13일 서울 송파구 시그니엘 호텔에서 기자회견을 열고 '하이테크 범죄 동향 보고서 2026'를 발표했다. 2026.03.13. [email protected]

최근 사이버 범죄에서 가장 눈에 띄는 변화는 인공지능(AI)의 활용이다. 공격자들은 AI를 활용해 피싱 이메일을 자동으로 생성하고 공격 효율을 크게 높이고 있다. 대표 사례가 스팸 GPT(SpamGPT)다. 이 프로그램은 자동으로 피싱 이메일을 생성하고 대량 발송할 수 있도록 설계된 도구다. 이 시스템을 이용하면 공격자는 이메일 작성이나 공격 대상 선정 작업을 직접 수행할 필요가 없다.

AI 기술은 사칭 공격에도 활용되고 있다. 다크웹에서는 특정 인물의 얼굴과 목소리를 복제하는 AI 기반 사칭 서비스가 판매되고 있는 것으로 알려졌다. 이 서비스를 이용하면 기업 임원을 사칭해 메신저나 영상통화로 송금을 요구하는 공격도 가능하다. 일부 사례에서는 실제로 거액의 송금이 이루어진 사례도 보고됐다.

티호노바는 "과거에는 기술적 취약점이 주요 공격 대상이었다면 이제는 인간의 신뢰 관계 자체가 공격의 출발점이 되고 있다"며 "공격자들은 이미지뿐 아니라 음성까지 조작해 사람들을 속이고 있다"고 말했다.

랜섬웨어 공격 역시 공급망을 노리는 방식으로 진화하고 있다. 최근 사이버 범죄 조직은 분업화된 산업 구조처럼 운영된다. 초기 침투 권한을 판매하는 초기 침투 브로커(IAB), 데이터를 탈취하는 조직, 그리고 이를 협박해 수익화하는 조직이 협력하는 구조다.

이들은 특히 여러 기업으로 연결되는 상류 접근 지점을 공격해 피해 규모를 극대화한다. 라자루스(Lazarus), 스캐터드 스파이더(Scattered Spider), 하프늄(HAFNIUM) 등 국가 연계 해킹 조직도 이러한 공급망 공격 전략을 적극 활용하고 있는 것으로 분석됐다.

드미트리 볼코프 그룹아이비 CEO는 "사이버 범죄는 이제 단발성 해킹이 아니라 하나의 침해가 또 다른 침해로 이어지는 연쇄 반응의 형태로 발전하고 있다"며 "공급망을 공격하면 더 빠르고 넓게 피해를 확산시킬 수 있다는 점을 공격자들이 알고 있다"고 말했다.

"기업들은 더 이상 내부 시스템만 보호하는 방식에 머물러서는 안 된다"며 "사용자 계정, 외부 서비스 의존성, 협력사 관계까지 포함한 전체 디지털 신뢰 구조를 보호해야 한다. 공급망 보안을 강화하는 것이 앞으로 기업 보안 전략의 핵심 과제가 될 것"이라고 강조했다.

한편 2003년 설립된 그룹아이비는 글로벌 사이버 보안 기업으로 디지털 범죄 수사와 대응 기술을 개발해 왔다. 싱가포르에 본사를 두고 있으며 아메리카, 유럽, 중동 및 아프리카, 중앙아시아, 아시아태평양 지역에서 디지털 범죄 대응 센터를 운영하고 있다. 통합 위험 플랫폼을 통해 국가와 지역별 사이버 위협을 분석하고 대응한다. 위협 인텔리전스, 사기 방지, 디지털 위험 관리, 관리형 확장 탐지 및 대응(XDR), 외부 공격 표면 관리 등의 보안 서비스를 제공한다.

◎공감언론 뉴시스 [email protected]