그룹아이비, 2026년 사이버 위협조직 10곳 공개…스캐터드 스파이더 1위

그룹아이비(Group-IB, 한국 대표 김기태)는 전 세계 사이버 위협조직의 활동을 분석한 ‘2026년 상위 10대 마스크드 액터’를 공개했다고 26일 밝혔다.

마스크드 액터는 그룹아이비가 주요 사이버 위협 행위자를 지칭하는 명칭이다. 이번 순위는 그룹아이비의 ‘하이테크 범죄 동향 보고서 2026’을 토대로 작성했다.

그룹아이비는 1550건 이상의 디지털 범죄 조사 결과와 사이버 범죄 지하 생태계 감시 정보를 분석했다. 재정적 피해 규모와 피해 조직 수, 위협 발생량, 기술 변화, 제휴 조직 증가 규모, 악명도 등 6개 항목으로 위협조직을 평가했다.

1위는 스캐터드 스파이더(Scattered Spider)가 차지했다. 그룹아이비는 이 조직이 사회공학 기법을 이용해 2025년 한 차례의 작전으로 기술 분야 조직 130곳 이상을 침해했다고 설명했다. 신뢰받는 기업이나 서비스에 먼저 침투한 뒤 연결된 조직으로 피해를 확산하는 공급망 공격 방식이다.

2위 라자루스(Lazarus)는 사이버 첩보 활동과 금융 범죄를 함께 수행하는 국가 연계 위협조직이다. 그룹아이비에 따르면 라자루스가 활동 기간 탈취한 암호화폐는 65억달러 이상이다. 2025년 탈취액은 20억2000만달러를 넘었다.

3위 머디워터(MuddyWater)는 정부와 금융, 물류 분야를 표적으로 삼는 국가 연계 사이버 첩보 조직이다. 113개국에서 활동했으며 2025년 10월부터 2026년 3월까지 새로운 악성코드 변종 3개를 배포했다.

4위 타이쿤 2FA(Tycoon 2FA)는 서비스형 피싱(PhaaS) 조직이다. 서비스형 피싱은 공격에 필요한 피싱 페이지와 서버 등 기반시설을 범죄자에게 빌려주는 방식이다. 그룹아이비는 타이쿤 2FA가 공격자 중간자 방식의 서비스형 피싱 시장에서 89%의 점유율을 차지했다고 분석했다. 공격자 중간자 방식은 사용자와 정상 서비스 사이의 통신을 가로채 계정정보와 인증값을 탈취하는 수법이다.

5위 골드팩토리(GoldFactory)는 모바일 뱅킹 사기 과정에서 얼굴 인식 인증을 우회하기 위해 생체정보를 탈취하는 위협조직이다. 그룹아이비는 2024년 이 조직을 처음 식별했다.

6위 TX-NFC는 범죄자의 기기에서 비접촉 결제 기능을 모방해 결제 사기에 악용하는 범죄 서비스다. 하루 45달러부터 3개월 1050달러까지 구독 형태로 판매된다.

7위 섀도 실크(Shadow Silk)는 핵심 기반시설과 정부기관 내부에 장기간 머무르는 방식으로 활동한다. 그룹아이비가 조사한 사례 가운데는 침해 이후 12개월 이상 탐지를 피한 사례도 있었다.

8위 블러디 울프(Bloody Wolf)는 중앙아시아 정부기관을 주로 공격한다. 즉각적인 금전 탈취보다 장기적인 접근 권한 확보와 정보 수집에 집중하는 조직으로 분석됐다.

9위 테스테 PHP(Teste PHP)는 악성 브라우저 확장 프로그램을 이용해 계정정보를 수집한다. 설립된 지 1년이 지나지 않았지만 스페인어 사용 국가 5곳으로 활동 범위를 넓혔다.

10위 다크블라인더스(DarkBlinders)는 중동 지역의 항공과 통신 분야를 표적으로 삼는다. 탐지를 피하기 위해 공격 전술과 기법, 절차를 지속해서 변경하는 특징을 보였다.

그룹아이비는 올해 보고서에서 공급망을 사이버 범죄의 주요 공격 경로로 지목했다. 공격자가 개별 기업을 직접 공격하는 대신 해당 기업이 신뢰하는 협력사와 소프트웨어, 클라우드 서비스 등에 침투해 여러 조직으로 피해를 확산하고 있다는 분석이다.

드미트리 볼코프(Dmitry Volkov) 그룹아이비 최고경영자(CEO)는 “공급망은 사이버 범죄의 강력한 증폭 수단이 됐다”며 “방어 조직은 과거 공격만 분석하는 데 그치지 않고 위협 행위자가 앞으로 어떤 행동을 할지 예측하는 접근 방식을 채택해야 한다”고 말했다.

글. 바이라인네트워크
<곽중희 기자>god8889@byline.network