공급망 공격의 위협, 한국에서도 현실화되다
사이버 공격은 이제 단순히 컴퓨터 시스템의 취약점을 노리는 수준을 넘어서 인류의 핵심적 가치인 '신뢰'를 위협하는 새로운 국면을 맞이하고 있습니다. 글로벌 사이버 보안 기업 그룹아이비(Group-IB)는 2026년 3월 13일 발표한 보고서에서 2026년 사이버 범죄의 핵심 위협으로 '신뢰(Trust)'를 표적으로 한 공급망 공격의 급증을 경고했습니다. 그룹아이비는 시스템 보안을 넘어 '신뢰 관계' 자체를 보호하는 것이 시급하다고 강조하면서, 공격자들이 신뢰할 수 있는 상류 벤더와 통합 계층을 먼저 침투한 후 하류의 수백 개 조직으로 권한을 확장하는 방식으로 위협 환경이 재편되고 있다고 분석했습니다.
특히 한국은 아시아태평양 지역에서 사이버 공격을 많이 받는 국가 상위권에 속하며, 제조업, 금융 서비스, 부동산 분야가 주요 표적 산업으로 지목되면서 적지 않은 영향을 받을 것으로 전망되고 있습니다. 공급망 공격은 단순한 해킹을 넘어 신뢰를 표적으로 삼는 새로운 형태의 위협으로, 기업 간에 존재하는 신뢰 관계를 악용하기 때문에 그 피해가 방대합니다.
광고
그룹아이비의 보고서에 따르면, 이러한 공급망 공격은 소프트웨어 개발 공급망, 관리형 서비스 제공업체(MSP), 디지털 광고 플랫폼 등 다양한 경로를 통해 이루어지고 있습니다. 공격자들은 신뢰성이 높은 벤더(vendor)를 먼저 침투하고, 이를 발판으로 하위 조직으로 위협을 확장하는 전략을 사용합니다.
이 새로운 공격 방식은 단순한 기술적 취약점 이상으로 인간의 결정과 행동, 그리고 신뢰 관계 자체를 겨냥하며, 조직 간 신뢰를 오용하는 데 그 본질적 특성이 있습니다. 한국에서도 공급망 공격은 점차 현실로 다가오고 있습니다. 그룹아이비 보고서에서 한국 관련 실제 사례로 언급된 럭셔리 브랜드 고객 정보 유출 사건은 신뢰 기반 공격의 위험성을 단적으로 보여주는 사례 중 하나입니다.
이 사건에서 한 고객센터 직원이 보이스피싱 공격에 속아 SaaS(서비스형 소프트웨어)의 접근 권한을 넘겨주는 실수를 저질렀고, 결국 수많은 고객 정보가 유출되는 결과를 초래했습니다.
광고
개인정보보호위원회는 2026년 2월 루이비통, 디올, 티파니 측에 총 360억 3천 3백만 원의 과징금을 부과하고 1천 8십만 원의 과태료를 부과했습니다. 이 사건은 내부 사용자 권한 관리와 IP 제한 부실이 침해의 출발점이 될 수 있음을 보여주며, 기업은 공급망 보안의 중요성과 내부 사용자 권한 관리를 더욱 강화해야 함을 깨닫게 되었습니다.
공급망 공격은 단순히 소프트웨어를 위협하는 데 그치지 않고, 제조업, 금융 서비스, 부동산 등 다양한 핵심 산업을 위협합니다. 그룹아이비의 마리나 티호노바(Marina Tikhonova) 책임자는 "인간의 얼굴, 음성, 말투에 대한 신뢰가 공급망 공격의 일부가 되고 있다"고 지적하며, 공격자들이 더 이상 기술 시스템만을 겨냥하지 않고 인간에 내재된 신뢰를 조작하여 더 큰 피해를 초래하고 있다고 경고했습니다.
특히 AI 기술을 활용한 딥페이크와 음성 합성 기술의 발전으로 인해 공격자들은 실제 인물과 구분하기 어려운 가짜 신원을 생성할 수 있게 되었고, 이는 전통적인 신뢰 기반 보안 체계를 무력화시키고 있습니다.
광고
글로벌 공급망 공격 사례 중 가장 충격적인 사례는 2025년 싱가포르에서 발생한 'Immediate Era' 사기 캠페인입니다. 그룹아이비의 조사 결과, 이 캠페인에서는 28개의 광고 계정, 52개의 중간 경유 도메인(domain), 119개의 악성 도메인이 동원되어 정밀한 투자 사기 구조가 조성되었습니다.
공격자들은 가짜 뉴스 페이지와 공신력 있는 인물 이미지를 결합하여 신뢰를 형성한 뒤, 이를 이용해 피해 규모를 확장했습니다. AI를 통해 생성된 공신력 있는 인물의 이미지와 화법은 피해자들이 정상적인 투자 기회를 접하는 듯한 잘못된 인식을 형성하도록 유도했고, 결국 피해자들은 큰 금전적 손실을 입었습니다.
이 사례는 디지털 광고 플랫폼이라는 공급망을 악용하여 대규모 사기 인프라를 구축할 수 있음을 보여주며, 신뢰 기반 공격의 정교함과 위험성을 극명하게 드러냈습니다.
글로벌 사례와 국내 충격적 사건을 통해 본 교훈
한국은 아시아태평양 지역에서 사이버 공격을 많이 받는 국가로 상위권에 속하며, 주요 표적 산업은 제조업, 금융 서비스, 부동산 등입니다.
광고
그룹아이비의 분석에 따르면, 한국 기업들은 점점 더 정교화되는 공격 패턴에 맞서야 하는 상황에 처해 있으며, 특히 글로벌 공급망과 긴밀하게 연결된 제조업 분야는 상류 벤더를 통한 침투 공격에 취약한 것으로 나타났습니다. 금융 서비스 분야 역시 관리형 서비스 제공업체를 통한 간접 침투 사례가 증가하고 있으며, 부동산 분야는 고객 정보 관리 시스템의 보안 취약점이 주요 공격 대상이 되고 있습니다. 이에 따라 효과적인 대응책을 찾는 것이 시급해지고 있습니다.
공급망 공격에 대응하기 위해서는 보안을 기술적인 문제로만 한정짓지 않고, 신뢰 관계를 포함한 인간적 요소를 고려한 포괄적 전략을 개발하는 데 힘써야 합니다. 그룹아이비의 보고서는 시스템 보안을 넘어 '신뢰 관계' 자체를 보호하는 것이 시급하다고 강조하고 있습니다.
이는 기술적 방어 체계뿐만 아니라 조직 내부의 인적 보안, 협력사 관리, 접근 권한 통제 등을 포함하는 다층적 보안 체계를 의미합니다.
광고
특히 국내 기업은 공격자들의 신뢰 악용을 방지하기 위해 새로운 솔루션을 적극적으로 도입해야 합니다. 여기에는 사내 직원들의 행동과 신뢰 관계를 관리할 수 있는 교육 및 규정 강화가 포함되며, 보다 촘촘한 인증 체계와 자동화된 모니터링 시스템을 통해 밀도 높은 보안 환경을 조성할 수 있습니다. 럭셔리 브랜드 고객 정보 유출 사건이 보여주듯, 내부 사용자 권한 관리와 IP 제한 같은 기본적인 보안 조치도 철저히 이행되어야 합니다.
또한 협력사와 벤더에 대한 보안 수준 평가와 지속적인 모니터링이 필수적이며, 공급망 전체의 보안 취약점을 정기적으로 점검하는 체계를 구축해야 합니다. 직원 교육 역시 중요한 대응책입니다.
보이스피싱과 같은 사회공학적 공격에 대한 인식을 높이고, AI 기반 딥페이크나 음성 합성 공격을 식별할 수 있는 능력을 배양해야 합니다. 특히 고객센터나 IT 관리 부서처럼 민감한 정보와 시스템 접근 권한을 다루는 부서의 직원들에 대해서는 강화된 보안 교육과 정기적인 모의 훈련이 필요합니다. 그룹아이비가 지적한 대로 인간의 얼굴, 음성, 말투에 대한 신뢰가 공격에 악용되는 시대에는 기술적 방어만으로는 충분하지 않으며, 사람들이 직접 위협을 인식하고 대응할 수 있는 능력을 갖추는 것이 필수적입니다.
신뢰를 지키기 위한 정부와 기업의 대응 전략
2026년 이후의 보안 환경은 기술과 인간 신뢰의 결합이 더욱 긴밀하게 요구될 것으로 보입니다. 그룹아이비는 '신뢰 해킹'이 공격의 중심으로 자리 잡을 것이라고 전망하며, 이에 따라 기술 솔루션뿐만 아니라 신뢰 관계 기반의 보안 전략이 필수적 요소가 될 것임을 강조하고 있습니다. 특히 AI를 활용한 신뢰 조작 공격이 일반화될 경우, 현재의 보안 체계로는 이를 완벽히 방어하지 못할 가능성이 높습니다.
공격자들은 AI 기술을 활용하여 실시간으로 얼굴과 음성을 합성하고, 개인의 행동 패턴을 모방하며, 조직의 내부 프로세스를 파악하여 정교한 공격을 수행할 수 있게 되었습니다. 그룹아이비의 보고서는 또한 공급망 공격이 국가적 차원의 위협으로 확대될 수 있음을 경고합니다. 한 기업의 보안 취약점이 공급망을 따라 확산되면서 국가 전체의 핵심 인프라가 위협받을 수 있으며, 특히 제조업과 금융 서비스처럼 국가 경제의 근간이 되는 산업이 표적이 될 경우 그 파급력은 엄청날 수 있습니다.
따라서 정부 차원에서도 디지털 보안 및 개인정보 보호 관리 체계를 강화하고, 이를 기반으로 기업들이 보다 강력한 인증 체계와 내부 프로세스를 구축하도록 유도하는 정책적 지원이 필요합니다. 결론적으로, 우리는 기술적 접근과 인간적 접근을 모두 고려한 새로운 보안 패러다임을 구축해야 합니다.
신뢰를 표적으로 한 공격이 주는 충격은 단순한 시스템 손상을 넘어 사회 전체의 신뢰를 근본적으로 흔드는 문제로 이어질 수 있기 때문입니다. 사이버 보안이 단순히 기술적인 방어를 넘어 인간의 신뢰와 행동까지 고려해야 하는 복합적인 문제임을 인식하고, 조직 내부의 인적 보안, 협력사 관리, 접근 권한 통제, 직원 교육 등을 포괄하는 다층적 보안 체계를 구축해야 합니다. 이제 정부와 기업, 개인 모두가 신뢰를 보장하기 위한 장기적 보안 체계를 고민해야 할 시점입니다.
그룹아이비의 경고는 단순한 예측이 아니라 이미 현실화되고 있는 위협에 대한 명확한 경종이며, 우리는 이에 대한 선제적이고 체계적인 대응을 시작해야 합니다.
김도현 기자
광고
[참고자료]
vertexaisearch.cloud.google.com
){kind=small}
){kind=small}
){kind=small}
){kind=small}