그룹아이비 "공급망 공격, 글로벌 사이버위협 1위 부상"

디지털 범죄를 조사, 예방 및 대응하기 위한 사이버 보안 기술 분야의 글로벌 선도적 기업인 그룹아이비(Group-IB, 한국지사장 김기태)가 연례 '하이테크 범죄 동향 보고서 2026'(High-Tech Crime Trends Report 2026)’을 발표했다. 보고서에 따르면 공급망 공격이 글로벌 사이버 위협 환경을 재편하는 주요 요인으로 부상한 것으로 나타났다.

올해의 첨단 범죄 동향 보고서는 사이버 범죄가 더 이상 한 기업만을 노리는 단순한 침입이 아니라, 여러 조직이 연결된 전체 생태계를 겨냥하는 방식으로 크게 변화했음을 보여준다. 공격자들은 신뢰받는 공급업체, 오픈소스 소프트웨어, SaaS 플랫폼, 브라우저 확장 프로그램, 관리형 서비스 제공업체(MSP) 등을 악용해 한 곳을 침해한 뒤, 그와 연결된 수백 개 조직으로 접근 권한을 확장하고 있다.

전세계 텔레메트리 데이터와 실제 조사 결과를 기반으로 한 이번 보고서는 그룹아이비(Group-IB)의 공격자 중심 글로벌 분석과 지역별 실제 사례를 결합, 공급망 침해가 산업과 지역을 넘어 어떻게 확산되는지 설명했다.

보고서에는 오픈소스 패키지에 악성코드를 심는 공격, 정상 브라우저 확장 프로그램을 악성화하는 방식, OAuth 토큰 탈취, 하나의 SaaS 침해가 연쇄적으로 다른 기업으로 이어지는 사례, 상류 접근 권한을 판매하는 브로커를 통한 랜섬웨어 공격 등이 포함됐다. 이는 단일 지역에서 시작된 침해가 짧은 시간 안에 국경을 넘어 대규모 피해로 확대될 수 있음을 보여준다.

그룹아이비(Group-IB)의 독자적인 예측 인텔리전스를 바탕으로 한 이번 보고서는 공급망 공격이 더 이상 각각 따로 발생하는 사건이 아니라는 점을 강조했다. 피싱, 신원 도용, 악성 확장 프로그램 설치, 데이터 유출, 랜섬웨어, 협박 등이 하나의 연결된 공격 단계처럼 이어지며 작동하고 있으며, 각 단계가 다음 공격을 더 쉽게 만들고 피해를 키우는 구조로 발전했다.

■ 보고서 주요 내용은?

-오픈소스 생태계 공격 확대: npm npm, PyPI 같은 오픈소스 패키지 저장소가 주요 공격 대상이 되고 있다. 공격자들은 관리자 계정을 탈취하거나 자동으로 퍼지는 악성코드를 심어, 많은 개발자가 사용하는 라이브러리를 감염시킨다. 그 결과, 정상적인 개발 과정(개발 파이프라인)이 대규모 악성코드 유포 경로로 악용되고 있다.

-악성 브라우저 확장 프로그램 증가: 공격자들은 신뢰받는 브라우저 확장 프로그램(애드온)을 악용하고 있다. 공식 마켓이나 개발자 계정을 탈취해 악성 코드를 심고, 이를 통해 사용자의 로그인 정보와 세션을 가로채거나 금융 정보를 직접 탈취한다.

-AI 기반 피싱을 통한 신원 탈취 고도화: AI를 활용한 정교한 피싱 공격이 늘어나고 있다. 특히, OAuth 인증 절차나 기업용 통합 로그인 시스템을 노려 다중 인증(MFA)을 우회하고, SaaS 플랫폼·CI/CD 파이프라인·클라우드 환경에 지속적으로 침투한다. 겉으로는 정상 사용자처럼 보이기 때문에 탐지가 더욱 어려워지고 있다.

-데이터 유출 ‘연쇄 확산’ 전략 구사: 과거처럼 한 기업만 노리는 것이 아니라, 상위 서비스 제공업체나 통합 플랫폼을 먼저 공격한다. 이를 통해 여러 고객사(멀티 테넌트 환경)에 동시에 영향을 미치는 ‘연쇄적 피해’를 유발한다.

-산업화한 랜섬웨어 공급망: 랜섬웨어 공격은 이제 분업화된 산업 구조처럼 운영되고 있다. 초기 침투를 담당하는 브로커(IAB), 데이터 판매자, 랜섬웨어 실행 조직이 서로 협력하며 공격을 수행한다. 특히 여러 기업으로 이어질 수 있는 ‘상류 접근 지점’을 집중적으로 노려 피해 규모를 극대화한다.

그룹아이비(Group-IB)의 CEO 드미트리 볼코프(Dmitry Volkov)는 “사이버 범죄는 이제 한 번의 해킹 사건으로 끝나는 문제가 아니다. 하나의 침해가 또 다른 침해로 이어지며 ‘신뢰가 무너지는 연쇄 반응’을 일으키는 것이 특징이다”라고 말하며, “공격자들은 많은 기업이 함께 사용하는 공급망을 공격하면 더 빠르고, 더 넓게, 더 은밀하게 피해를 확산시킬 수 있다는 점을 알고 있다.

이제 한 곳의 상위 시스템이 뚫리면, 그와 연결된 산업 전체로 피해가 번질 수 있다. 기업들은 더 이상 개별 시스템만 지키는 방식으로는 충분하지 않다. 서로 연결된 관계, 사용자 계정(신원), 외부 서비스 의존성까지 포함해 ‘신뢰 구조 전체’를 보호해야 한다”라고 말했다.

'2026 하이테크 범죄 동향 보고서'는 구체적인 사례 연구와 위협 행위자 분석을 통해, 2025년이 공급망 공격이 본격적으로 격화된 전환점이었음을 강조한다. 오픈소스 생태계의 무기화, 악성 브라우저 확장 프로그램의 등장부터 AI 기반 피싱, OAuth 악용, 산업화된 랜섬웨어 공급망의 출현까지 최근 위협 흐름을 폭넓게 다루고 있다.

이 보고서는 라자루스(Lazarus), 스캐터드 스파이더(Scattered Spider), 하프늄(HAFNIUM), 드래곤포스(DragonForce), 888과 같은 공급망 중심으로 활동하는 주요 위협 행위자들과, 샤이-훌루드(Shai-Hulud)와 연계된 캠페인의 지속적인 활동을 분석했다. 특히, 이 보고서는 범죄 조직과 국가 연계 공격자들이 공통적으로 ‘신뢰받는 플랫폼’과 ‘통합 계층(Integration Layer)’을 악용해, 단일 침해로도 광범위한 파급 효과를 만들어내는 비대칭적 공격 전략을 활용하고 있다고 지적했다.

'하이테크 범죄 동향 보고서 2026'은 전세계 11개국에 위치한 그룹아이비(Group-IB) 디지털 범죄 저항 센터(Digital Crime Resistance Center, DCRC)의 전문 인텔리전스를 기반으로 작성되었다. 보고서에는 ▲공격자 중심 텔레메트리 데이터 ▲실제 사이버 범죄 수사 사례 ▲지하 범죄 생태계에 대한 24시간 글로벌 모니터링 결과가 반영되어 있다.