그룹아이비 "공급망 공격, 사이버위협 1위 부상"
디지털 범죄 조사, 예방 및 대응을 위한 사이버 보안 분야 글로벌 선도 기업 그룹아이비(Group-IB, 한국지사장 김기태)는 13일 잠실 롯데 시그니엘 76층 스튜디오에서 기자간담회를 열고 '2026년 하이테크 범죄 동향 보고서(High-Tech Crime Trends Report 2026)'를 발표했다. 보고서에 따르면 공급망 공격이 글로벌 사이버 위협 환경을 재편하는 주요 요인으로 부상한 것으로 나타났다. 올해의 첨단 범죄 동향 보고서는 사이버 범죄가 더 이상 한 기업만을 노리는 단순한 침입이 아니라, 여러 조직이 연결된 전체 생태계를 겨냥하는 방식으로 크게 변화했음을 보여준다. 공격자들은 신뢰받는 공급업체, 오픈소스 소프트웨어, SaaS 플랫폼, 브라우저 확장 프로그램, 관리형 서비스 제공업체(MSP) 등을 악용해 한 곳을 침해한 뒤, 그와 연결된 수백 개 조직으로 접근 권한을 확장하고 있다. 전세계 텔레메트리 데이터와 실제 조사 결과를 기반으로 한 이번 보고서는 그룹아이비(Group-IB)의 공격자 중심 글로벌 분석과 지역별 실제 사례를 결합, 공급망 침해가 산업과 지역을 넘어 어떻게 확산되는지 설명했다. 그룹아이비는 전세계 직원이 550명 이상이다. 전세계 기업 고객수는 600곳 이상, 서비스 제공 국가 수는 60곳 이상이다. 또 전세계에 11곳의 디지털 범죄 대응 센터를 갖고 있고, 2003년 이후 성공적으로 해결한 첨단기술 범죄 수사 건수는 1600곳 이상이다. 특허 및 출원 건수는 147개 이상이다. 그룹아이비 기술을 통해 고객이 절감한 금액이 1조달러 이상이라고 회사는 강조했다. 또 작년 기준 그룹아이비가 지원한 법집행 기관은 52곳, 그룹아이비 기여로 체포된 사이버 범죄자는 1809명이고, 법집행 기관이 확인한 사이버 범죄 활동 피해자 총 수는 31만643명, 해체된 악성 인프라 및 자원은 3만4838개라고 회사는 설명했다. 이번 보고서에는 오픈소스 패키지에 악성코드를 심는 공격, 정상 브라우저 확장 프로그램을 악성화하는 방식, OAuth 토큰 탈취, 하나의 SaaS 침해가 연쇄적으로 다른 기업으로 이어지는 사례, 상류 접근 권한을 판매하는 브로커를 통한 랜섬웨어 공격 등이 포함됐다. 이는 단일 지역에서 시작된 침해가 짧은 시간 안에 국경을 넘어 대규모 피해로 확대될 수 있음을 보여준다. 그룹아이비(Group-IB)의 독자적인 예측 인텔리전스를 바탕으로 한 이번 보고서는 공급망 공격이 더 이상 각각 따로 발생하는 사건이 아니라는 점을 강조했다. 피싱, 신원 도용, 악성 확장 프로그램 설치, 데이터 유출, 랜섬웨어, 협박 등이 하나의 연결된 공격 단계처럼 이어지며 작동하고 있으며, 각 단계가 다음 공격을 더 쉽게 만들고 피해를 키우는 구조로 발전했다. ■ 보고서 주요 내용은? -오픈소스 생태계 공격 확대: npm npm, PyPI 같은 오픈소스 패키지 저장소가 주요 공격 대상이 되고 있다. 공격자들은 관리자 계정을 탈취하거나 자동으로 퍼지는 악성코드를 심어, 많은 개발자가 사용하는 라이브러리를 감염시킨다. 그 결과, 정상적인 개발 과정(개발 파이프라인)이 대규모 악성코드 유포 경로로 악용되고 있다. -악성 브라우저 확장 프로그램 증가: 공격자들은 신뢰받는 브라우저 확장 프로그램(애드온)을 악용하고 있다. 공식 마켓이나 개발자 계정을 탈취해 악성 코드를 심고, 이를 통해 사용자의 로그인 정보와 세션을 가로채거나 금융 정보를 직접 탈취한다. -AI 기반 피싱을 통한 신원 탈취 고도화: AI를 활용한 정교한 피싱 공격이 늘어나고 있다. 특히, OAuth 인증 절차나 기업용 통합 로그인 시스템을 노려 다중 인증(MFA)을 우회하고, SaaS 플랫폼·CI/CD 파이프라인·클라우드 환경에 지속적으로 침투한다. 겉으로는 정상 사용자처럼 보이기 때문에 탐지가 더욱 어려워지고 있다. -데이터 유출 '연쇄 확산' 전략 구사: 과거처럼 한 기업만 노리는 것이 아니라, 상위 서비스 제공업체나 통합 플랫폼을 먼저 공격한다. 이를 통해 여러 고객사(멀티 테넌트 환경)에 동시에 영향을 미치는 '연쇄적 피해'를 유발한다. -산업화한 랜섬웨어 공급망: 랜섬웨어 공격은 이제 분업화된 산업 구조처럼 운영되고 있다. 초기 침투를 담당하는 브로커(IAB), 데이터 판매자, 랜섬웨어 실행 조직이 서로 협력하며 공격을 수행한다. 특히 여러 기업으로 이어질 수 있는 '상류 접근 지점'을 집중적으로 노려 피해 규모를 극대화한다. 그룹아이비(Group-IB)의 CEO 드미트리 볼코프(Dmitry Volkov)는 “사이버 범죄는 이제 한 번의 해킹 사건으로 끝나는 문제가 아니다. 하나의 침해가 또 다른 침해로 이어지며 '신뢰가 무너지는 연쇄 반응'을 일으키는 것이 특징이다”라고 말하며, “공격자들은 많은 기업이 함께 사용하는 공급망을 공격하면 더 빠르고, 더 넓게, 더 은밀하게 피해를 확산시킬 수 있다는 점을 알고 있다. 이제 한 곳의 상위 시스템이 뚫리면, 그와 연결된 산업 전체로 피해가 번질 수 있다. 기업들은 더 이상 개별 시스템만 지키는 방식으로는 충분하지 않다. 서로 연결된 관계, 사용자 계정(신원), 외부 서비스 의존성까지 포함해 '신뢰 구조 전체'를 보호해야 한다”라고 말했다. '2026 하이테크 범죄 동향 보고서'는 구체적인 사례 연구와 위협 행위자 분석을 통해, 2025년이 공급망 공격이 본격적으로 격화된 전환점이었음을 강조한다. 오픈소스 생태계의 무기화, 악성 브라우저 확장 프로그램의 등장부터 AI 기반 피싱, OAuth 악용, 산업화된 랜섬웨어 공급망의 출현까지 최근 위협 흐름을 폭넓게 다루고 있다. 이 보고서는 라자루스(Lazarus), 스캐터드 스파이더(Scattered Spider), 하프늄(HAFNIUM), 드래곤포스(DragonForce), 888과 같은 공급망 중심으로 활동하는 주요 위협 행위자들과, 샤이-훌루드(Shai-Hulud)와 연계된 캠페인의 지속적인 활동을 분석했다. 특히, 이 보고서는 범죄 조직과 국가 연계 공격자들이 공통적으로 '신뢰받는 플랫폼'과 '통합 계층(Integration Layer)'을 악용해, 단일 침해로도 광범위한 파급 효과를 만들어내는 비대칭적 공격 전략을 활용하고 있다고 지적했다. '하이테크 범죄 동향 보고서 2026'은 전세계 11개국에 위치한 그룹아이비(Group-IB) 디지털 범죄 저항 센터(Digital Crime Resistance Center, DCRC)의 전문 인텔리전스를 기반으로 작성되었다. 보고서에는 ▲공격자 중심 텔레메트리 데이터 ▲실제 사이버 범죄 수사 사례 ▲지하 범죄 생태계에 대한 24시간 글로벌 모니터링 결과가 반영되어 있다. 이를 통해 기업, 정부, 법 집행 기관이 새로운 위험을 사전에 예측하고, 실제 피해로 이어지기 전에 공격 체인을 차단할 수 있도록 실질적이고 실행 가능한 대응 인사이트를 제공한다. 그룹아이비가 공급망 공격을 심층 분석한 이번 '2026년 하이테크 범죄 동향 보고서'는 바로 다운로드해 확인할 수 있다. 한편 그룹아이비의 김기태 한국지사장은 비즈니스 개발, 파트너십 및 기관 간 관계 업무를 총괄한다. 30년 이상 네트워크, 보안 및 IT 분야에서 일했고, 다수의 글로벌 보안 및 네트워킹 벤더의 한국 대표 및 지사장을 역임했다. 그룹아이비에 합류하기 이전에 다크트레이스, 비욘드트러스트(한국과 일본), 블루코트시스템즈코리아(현 시만텍 코리아), 블레이드 네트워크 테크놀로지스, 워치가드 테크놀로지스 코리아에서 근무했다. 각 직책에서 시장 진출 및 확장 전략 수립, 매출 성장, 파트너 생태계 구축, 기업 고객 관계 관리 등을 총괄했다. 경력 초기에는 한국HP, 한국 디멘션데이터, 한국IBM에서 엔지니어링, 마케팅, 영업으로 활동했다. 또 동국시스템즈(동국제철그룹의 IT 전문 기업)에서 IT 사업부 이사 겸 총괄 책임자로 재직하며 그룹 차원의 IT 전략 기획 및 사업 감독을 이끌기도 했다. 전북대학교 겸임교수로도 재직한 바 있다.
