"삼성·LG도 노렸다"...협력사 해킹으로 대기업 뚫는 ‘공급망 공격’ 위협

[이데일리 이소현 기자] 협력사를 해킹해 대기업 시스템 접근 권한을 확보하는 ‘공급망 공격’이 사이버 범죄의 핵심 전략으로 부상하고 있는 것으로 나타났다.

글로벌 사이버 보안 기업 그룹아이비(Group-IB)는 13일 서울 송파구 시그니엘 서울에서 기자간담회를 열고 발표한 ‘2026 하이테크 범죄 트렌드 보고서’에서 공급망 공격 사례 중 하나로 ‘888’이라는 해커 활동을 소개했다.

아나스타샤 티호노바 그룹아이비 아시아태평양(APAC) 기술 총괄이 13일 2026 하이테크 범죄 트렌드 보고서에 대해 설명하고 있다.(사진=그룹아이비)

대부분의 공급망 공격은 여러 명이 조직적으로 활동하는 해커 그룹이 수행하지만, 888은 예외적으로 개인 단위로 활동하고 있다고 그룹아이비 측은 설명했다.

특히 이 해커는 작년 삼성·LG 등 국내 대기업들을 노렸다. 디지털 마케팅 서비스를 제공하는 제3자 업체를 먼저 침해한 뒤 해당 업체 고객사 시스템 접근 권한을 확보하는 방식으로 공격을 수행했다.

그룹아이비는 888 해커 활동 분석 결과 삼성메디슨·LG전자·HD현대·세아베스틸·블로썸클라우드 등 한국 주요 기업 이름이 피해 목록에 포함된 정황을 확인했다고 설명했다.

아나스타샤 티호노바 그룹아이비 아시아태평양(APAC) 기술 총괄은 “유출된 코드 샘플을 분석한 결과 여러 대기업이 공통적으로 이용하던 디지털 마케팅 에이전시가 공격의 최초 진입 지점이었다”며 “기업이 직접 공격받지 않아도 협력사가 해킹되면 동일한 피해가 발생할 수 있는 전형적인 공급망 공격 사례”라고 설명했다.

대기업은 상대적으로 보안에 충실하기에 협력사를 타깃으로한 공급망 공격으로 ‘가장 약한 고리’를 노린 것이다. 티호노바 총괄은 “많은 기업들이 직접 공격받지 않으면 안전하다고 생각하지만, 실제로는 협력 업체가 공격받는 순간 동일한 피해가 발생할 수 있다”고 강조했다.

그룹아이비가 13일 공개한 2026 하이테크 범죄 트렌드 보고서에서 해커 888의 공격으로 피해를 입은 한국 대기업들 사례(사진=그룹아이비)

해킹 피해 사실 알리자…“해킹 조직으로 오인 받기도”

그룹아이비는 다크웹에서 관련 해킹 피해를 확인하고 피해 기업에 보안 문제점 등을 담아 솔루션 보고서를 제안했지만, 되려 해킹 조직으로 오해 받는 일도 있었다는 후문을 전했다. 공급망 공격의 경우 피해 기업이 침해 사실을 인지하지 못하는 경우가 많아 이러한 혼선이 발생한다는 것이다.

티호노바 총괄은 “일부 기업에서는 내부 시스템 정보를 이미 파악하고 있다는 이유로 보안 업체가 아닌 해킹 조직으로 오해하기도 했다”고 말했다. 김기태 그룹아이비 코리아 대표는 “이런 이유로 그룹아이비는 한국 지사를 통해 인지도 확보에 힘을 싣고 있다”고 강조했다.

이러한 ‘신뢰 관계 공격’을 타깃으로 하는 사이버 범죄는 한국뿐 아니라 글로벌 시장에서 보안 트렌드로 부상했다. 공격자들은 디지털 마케팅 서비스, IT 서비스 업체, 클라우드 협력사 등 여러 기업과 연결된 공급망 기업을 주요 표적으로 삼고 있다. 하나의 협력사가 해킹될 경우 수십 개 기업 시스템으로 공격이 확산될 수 있기 때문이다.

티호노바 총괄은 “과거에는 특정 기업이나 기관을 직접 공격했다면 이제는 기업이 신뢰하는 공급업체나 협력사를 공격해 연쇄적으로 침투하는 방식이 늘고 있다”며 “기업이 사용하는 애플리케이션, 서비스, 협력업체 모두가 공격 표면이 될 수 있다”고 말했다.

또 보고서는 AI 기반 사이버 공격 증가도 주요 트렌드로 지목했다. 대표적인 사례는 ‘SpamGPT’로, 생성형 AI를 활용해 피싱 이메일을 자동 생성하고 대규모 공격 캠페인을 운영할 수 있는 서비스다.

이어 공격자들은 딥페이크 기술을 활용해 기업 CEO나 임원을 사칭하는 영상이나 음성을 만들어 송금을 요구하는 방식의 공격도 늘리고 있다. 실제로 중국에선 딥페이크 기술을 이용해 회사 상사를 사칭해 화상 통화를 걸어 직원에게 송금을 요구했고, 피해 직원은 이를 실제 상사의 지시로 믿고 위챗으로 거액의 돈을 송금한 사례도 소개됐다.

티호노바 총괄은 “이제 공격자들은 이메일이나 문자뿐 아니라 영상과 음성까지 위조해 신뢰를 악용하고 있다”며 “인간의 신뢰 자체가 공급망 공격의 새로운 표면이 되고 있다”고 설명했다.

아나스타샤 티호노바 그룹아이비 아시아태평양(APAC) 기술 총괄이 13일 2026 하이테크 범죄 트렌드 보고서에 대해 설명하고 있다.(사진=그룹아이비)

한국, 아시아 사이버 공격 주요 표적

그룹아이비의 내부 텔레메트리 기반 데이터에 따르면 아시아태평양 주요 10개국 중에서 한국은 사이버 공격 대상 국가 5위로 나타났다. 주요 공격 대상 산업은 제조가 가장 높았으며, 금융, 부동산, IT 등이었다.

최근엔 의료 분야까지 사이버 공격 대상도 점차 확대되는 흐름이다. 과거에는 의료기관이나 생명과 직결된 분야는 공격 대상에서 사실상 제외되는 경우가 많았지만 최근에는 이런 암묵적인 금기가 거의 사라지고 있다는 것이다. 티호노바 총괄은 “병원이나 의료 시스템 역시 랜섬웨어 공격의 주요 표적이 되고 있다”며 “공격자들은 환자 정보나 의료 시스템 중단이 큰 피해로 이어질 수 있다는 점을 이용해 몸값을 요구하는 경우가 늘고 있다”고 설명했다.

이밖에 보고서는 최근 사이버 공격이 개발·서비스 생태계 전반으로 확산되고 있다고 분석했다. 공격자들은 오픈소스 패키지 저장소나 브라우저 확장 프로그램을 악용해 정상 개발 환경에 악성 코드를 심는 방식으로 공격 범위를 넓히고 있다.

그룹아이비는 공급망 공격 확산에 대응하기 위해 기업 보안 전략 역시 변화해야 한다고 강조했다. 티호노바 총괄은 “이제 신뢰는 더 이상 자동으로 주어지는 것이 아니라 지속적으로 검증되고 안전하게 보호돼야 한다”며 “협력업체와 외부 서비스까지 포함한 보안 체계 구축이 중요하다”고 말했다.