그룹아이비 “공급망 보안 앞세워 국내 금융·대기업 공략”
공급망을 노리는 사이버 공격이 산업계의 주요 위협으로 부상하고 있다. 최근에는 조직화된 디지털 범죄 조직이 인공지능(AI)까지 활용하면서 위협은 더 고도화되고, 피해 범위도 개별 기업을 넘어 공급망 전반으로 확산되는 추세다.
디지털 범죄 대응 사이버보안 기업 그룹아이비(Group-IB)는 13일 기자간담회를 열고 ‘2026 하이테크 범죄 트렌드 보고서’의 핵심 내용을 공개했다. 보고서에 따르면, 소프트웨어 공급사와 협력사, 클라우드 서비스처럼 신뢰받는 연결 고리를 먼저 침해한 뒤 피해를 확산하는 공급망 공격이 최근 하이테크 범죄의 핵심 흐름으로 떠오르고 있다.
김기태 그룹아이비 한국 대표는 “클라우드와 서비스형 소프트웨어(SaaS) 확산으로 한 기업의 침해가 협력사와 고객사 전체로 번지고 있다”며 “한국 시장에 맞춘 별도 전략을 마련하고, 위협 인텔리전스(TI), 공격표면관리(ASM), 디지털 리스크 보호(DRP), 사기 방지 분야를 중심으로 사업을 확대하겠다”고 강조했다.
공급망 공격, 기업보다 ‘신원’을 노린다
그룹아이피가 공개한 ‘2026 하이테크 범죄 트렌드 보고서’에 따르면, 최근 늘어나는 공급망 공격의 핵심은 공급망 전반에서 신원 관련 데이터를 탈취하는 데 있다.
아나스타샤 티호노바(Anastasia Tikhonova) 그룹아이비 글로벌 위협 연구 책임자는 “공격자들이 개별 조직을 직접 공략하기보다 소프트웨어 종속성, 서드파티 벤더, SaaS, 브라우저 확장 프로그램, 관리형 서비스 제공업체(MSP)처럼 이미 신뢰를 얻은 경로를 먼저 장악한다”며 “한 번 침해한 상위 공급업체나 플랫폼을 발판으로 고객사와 협력사, 파트너사로 이동하는 구조”라고 설명했다.
그룹아이비는 이 구조를 ‘상속된 접근 권한’이라고 설명했다. 업스트림 벤더와 오픈소스 관리자, SaaS, 브라우저 확장 프로그램, MSP를 먼저 침해하면 수백, 수천 개 다운스트림 조직으로 은밀히 확장할 수 있다는 것이다. 티호노바 책임자는 “신뢰는 더 이상 암묵적이지 않다”며 “지속적으로 검증되고, 모니터링되며, 안전하게 보호되어야 한다”라고 강조했다.
보고서에 따르면, 공급망 공격은 단일 침해로 끝나지 않는다. 오픈소스 패키지 침해는 악성코드 유포와 계정 정보 탈취로 이어지고, 피싱과 ‘OAuth(다른 서비스에 내 비밀번호를 직접 넘기지 않고, 제한된 권한만 맡겨서 연결하는 인증 방식)’ 오남용은 신원 탈취까지 번진다. 더 나아가 사칭과 측면 이동에 필요한 계정 정보와 맥락 데이터까지 유출될 수도 있다.
피싱·데이터 유출·랜섬웨어가 한 사슬로 움직여
그룹아이비는 구체적인 공급망 위협 사례도 소개했다. 오라클의 레거시 환경 침해 사고에서는 약 600만명 정보가 유출됐고, 유출된 OAuth 토큰을 악용한 세일즈포스 연계 사례는 700개 넘는 조직에 영향을 줬다. 또한, 핀테크 기업 마르퀴스의 소프트웨어 침해 사고에서는 74곳의 금융기관에서 고객 데이터가 유출됐다. 샤이-훌루드(Shai-Hulud) 웜은 800개 넘는 엔피엠(NPM) 패키지를 오염시켰다. 모두 신뢰하는 공급업체나 개발 생태계를 공격한 사례다.
2025년에는 신뢰받는 공급업체 접근 권한 악용이 급증했고, 그 여파가 전 세계 수백 개 조직과 수백만 명 사용자에게 퍼졌다. 티호노바 책임자는 “공급망 공격은 이제 피싱, 데이터 유출, 악성코드, 랜섬웨어, 국가 배후 공격까지 하나의 에코시스템으로 엮는 연결축이 되고 있다”고 말했다. 아울러 AI가 확산되면서 공급망을 노리는 공격 속도도 더 빨라지고 있다. AI 기반 도구가 취약한 오픈소스 관리자, 노출된 OAuth 범위, 설정 오류가 있는 통합 환경을 더 빨리 찾을 수 있기 때문이다.
티호노바 연구 책임자는 “가장 위험한 공격이 눈에 띄는 정면 공격보다 디지털 생태계 안쪽에 숨어 있다가 가장 신뢰받는 경로를 타고 들어오는 공격이 될 것”이라며 “공급망 보안도 벤더 점검표 수준을 넘어 소프트웨어 종속성, 애플리케이션 프로그래밍 인터페이스(API), OAuth 애플리케이션, 서드파티 통합 환경을 계속 검증하고 모니터링하는 방식으로 바꿔야 한다”고 말했다.
한국 맞춤형 인텔리전스로 금융·공공 시장 넓힐 것
이런 상황에 맞춰 그룹아이비는 ‘한국 시장만을 위한 전략’에 초점을 맞춘다. 김 대표는 “그룹아이비가 다크웹과 각종 네트워크 자원을 폭넓게 모니터링하고 있다”며 “한국을 겨냥해 온 공격자 그룹과 공격 패턴도 계속 추적해 왔다”고 설명했다.
이어 그는 “위협 인텔리전스 시장에 정보는 많지만 노이즈도 많다”며 “고객이 지금 먼저 봐야 할 위협만 추려 보여주는 것이 그룹아이비의 강점”이라고 강조했다. 수많은 공격 그룹의 활동을 한꺼번에 나열하기보다, 공급망 측면에서 해당 기업에 왜 데이터 유출 사고가 더 중요한지 선별해 보여주겠다는 것이다.
이런 역량을 바탕으로 그룹아이비는 주요 산업과 국가 핵심 데이터 보호 영역에도 위협 인텔리전스와 분석·탐지 서비스를 제공할 계획이다. 경쟁이 치열한 범용 보안 솔루션 분야보다는, 범죄 조사와 인텔리전스 기반 강점을 살릴 수 있는 분야에 집중하겠다는 설명이다.
구체적인 공략 분야로는 대기업과 금융권을 언급했다. 김 대표는 “협력사 등 공급망 공격이 잦은 대기업군을 주요 시장으로 보고 있고, 은행권에서는 이미 초기 레퍼런스를 확보했다”고 설명했다. 이어 “금융권을 중심으로 TI, ASM, 브랜드 보호 분야 개념검증(POC)을 진행 중이며, 계좌 정보나 비밀번호 유출, 모바일 피싱, 금전 거래 사기 대응에 쓰이는 사기 방지 솔루션도 함께 제안하고 있다”고 밝혔다.
그룹아이비는 금융권 외에 통신사의 스팸 대응, 공공 분야, MSSP와의 협력도 추진하고 있다. 김 대표는 “글로벌 조직이 축적한 공급망 위협 인텔리전스를 한국 시장에도 적용해 보안이 시급한 분야를 중심으로 접근하겠다”고 말했다.
그룹아이비는 디지털 범죄를 조사·예방·대응하는 사이버보안 기술 기업이다. 사고 대응과 조사 역량, 통합 리스크 플랫폼, 글로벌 위협 인텔리전스를 강점으로 내세우고 있다. 전 세계 60개국에서 1600건 넘는 조사를 수행했고, 11개 디지털 범죄 대응 센터를 운영하고 있다.
글. 바이라인네트워크
<곽중희 기자> god8889@byline.network
