1550여건 조사 기반 2026년 상위 10대 마스크드 액터 발표
스캐터드 스파이더·라자루스 등 공급망과 금전 탈취 주도 조직 지목

[보안뉴스 조재호 기자] 그룹아이비(Group-IB)는 전 세계 사이버 범죄 조직의 동향을 분석한 ‘2026년 상위 10대 마스크드 액터’ 명단을 26일 공개했다. 이번 순위는 하이테크 범죄 동향 보고서 2026(High-Tech Crime Trend Report 2026)을 바탕으로 재정적 영향력, 피해자 규모, 활동 기간, 기술 진화 등 6개 항목을 종합 평가해 산정됐다.


Group-IB 분석가들은 1550건 이상의 최전선 조사 결과를 토대로 2026년을 공급망 위협의 해로 규정했다. 주요 위협 조직으로는 2025년 130개 이상 조직을 침해한 스캐터드 스파이더(Scattered Spider)와 누적 65억달러 이상의 암호화폐를 탈취한 국가 연계 조직 라자루스(Lazarus)가 최상단에 포함됐다.

113개국을 대상으로 빠르게 진화하는 악성코드를 배포한 머디워터(MuddyWater), 공격자 중간자 기반 피싱 서비스형 공격(PhaaS) 시장의 89%를 장악한 타이쿤 2FA(Tycoon 2FA), 생체정보를 악용해 얼굴 인식 인증을 우회하는 골드팩토리(GoldFactory), 비접촉 결제 사기를 서비스 형태로 제공하는 TX-NFC 등 신종 위협 행위자들도 순위에 이름을 올렸다.

이외에도 핵심 인프라 내부에서 1년 이상 은밀하게 활동한 섀도 실크(Shadow Silk), 장기 잠복과 정보 수집에 특화된 블러디 울프(Bloody Wolf), 악성 브라우저 확장 프로그램을 통해 빠르게 세력을 확장한 테스테 PHP(Teste PHP) 그리고 지속적인 전술·기법·절차(TTP) 변화로 높은 적응력을 보여준 다크블라인더스(DarkBlinders)가 포함됐다.

이번 발표는 위협 행위자들이 직접 공격을 넘어 신뢰 기반의 인프라와 제3자 생태계로 타깃을 전환했음을 시사한다. 특히 ‘피싱 서비스형 공격’(PhaaS) 시장의 89퍼센트를 장악한 타이쿤 2FA 사례처럼 범죄 도구의 상업화가 가속되며 대응 부담이 구조적으로 가중되고 있다.

드미트리 볼코프 그룹아이비 대표는 “공급망은 이제 사이버 범죄의 가장 강력한 증폭 수단이 됐다”며 “보안 조직은 위협 행위자 중심 접근 방식을 채택해, 과거 분석에 그치지 않고 AI 기반 인텔리전스를 통해 앞으로 무엇을 할 것인지까지 예측해야 한다”고 말했다.

그룹아이비가 선정한 10대 해킹 조직의 이름과 특징은 다음과 같다.

1. 스캐터드 스파이더: 지난 1년간 가장 주목받은 공격 사례들과 연관된 스캐터드 스파이더는 정교한 사회공학(Social Engineering) 기법과 전례 없는 규모의 운영 역량을 결합해 세계적인 악명을 얻었다. 이 조직은 2025년 기술 산업 내 130개 이상의 조직을 침해하며 공급망 공격(Supply Chain Attack)의 위력을 입증했다.

2. 라자루스(Lazarus): 사이버 첩보 활동과 대규모 금융 범죄를 결합한 국가 연계 해킹 그룹이다. 라자루스는 피해 규모 측면에서 상위권에 올랐다. 활동 기간 동안 65억달러(약 10조원) 이상의 암호화폐를 탈취했으며, 2025년에만 20억2천만달러(3조1215억원) 이상을 탈취해 기록상 가장 큰 재정적 피해를 야기한 위협 행위자 중 하나로 평가된다.

3. 머디워터(MuddyWater): 정부, 금융, 물류 부문을 주요 표적으로 삼는 국가 지원형 사이버 첩보 조직이다. 113개국에 걸친 광범위한 활동 범위가 특징이다. 2025년 10월부터 2026년 3월 사이에 세 가지 새로운 악성코드(Malware) 변종을 배포하며, 빠른 개발 주기를 보여줬다.

4. 타이쿤 2FA(Tycoon 2FA): 피싱 서비스형 공격(PhaaS; Phishing-as-a-Service, ) 시장의 지배자다. 공격자 중간자(Adversary-in-the-Middle) 기반 PhaaS 시장에서 89%의 점유율을 차지하고 있다. 구독 모델을 통해 기업 자격 증명 탈취를 대규모로 상품화했으며, 전 세계 클라우드 환경을 대상으로 수천 건의 공격을 가능하게 했다. 또, 기술 수준이 낮은 공격자들도 고위험 공격을 수행할 수 있도록 진입 장벽을 낮췄다.

5. 골드팩토리(GoldFactory): 그룹아이비가 2024년 처음 식별한 위협 클러스터로 고도화된 기술력이 특징이다. 모바일 뱅킹 사기 과정에서 얼굴 인식 인증(Facial Recognition Authentication)을 우회하기 위해 생체정보(Biometric Data)를 탈취했다. 현재 진행 중인 공격 캠페인에서 하루 평균 15건의 감염을 발생시키고 있으며, 기존 아시아태평양(APAC) 중심 활동 범위를 넘어 확장하고 있다.

6. TX-NFC: 사기범의 기기에서 비접촉 결제 시스템(Contactless Payment System)을 에뮬레이션하는 상업화된 범죄 생태계다. 하루 45달러부터 3개월 1,050달러에 이르는 구독 모델로 제공된다. 비접촉 결제가 전 세계적으로 확산됨에 따라 TX-NFC가 악용할 수 있는 공격 표면도 함께 확대되고 있다. 현재 영어권 및 러시아어권 사이버 범죄 생태계로 활동 범위를 넓히고 있다.

7. 섀도 실크(Shadow Silk): 난독화(Obfuscation)와 장기 은폐 전략에 특화된 위협 조직이다. 여러 지역의 핵심 인프라 및 정부 기관 내부에서 탐지되지 않은 채 활동한 사례가 확인됐으며, 한 사례에서는 12개월 이상 은밀하게 활동했다. 탐지를 유발하지 않고 장기간 잠입하는 능력은 올해 순위에 오른 조직 중 가장 성숙한 운영 역량을 보여줬다.

8. 블러디 울프(Bloody Wolf): 금전적 수익보다 장기적인 접근 권한 확보와 감시에 중점을 둔 위협 조직이다. 주로 중앙아시아 지역 정부 기관을 표적으로 활동하며, 지역 제한(Geo-Fenced) 전달 인프라를 활용해 저노출 상태를 유지한다. 전략적 정보 수집을 목표로 하는 위협 행위자로 관찰 빈도가 늘어나고 있다.

9. 테스테 PHP(Teste PHP): 악성 브라우저 확장 프로그램(Malicious Browser Extensions)을 활용해 실시간으로 자격 증명을 수집하는 금융 범죄 조직을 구축했으며, 현재 스페인어 사용 국가 5개국에서 활동하고 있다. 1년도 채 되지 않는 기간 동안 빠른 지역 확장과 공격적인 피해자 확보는 새로운 사이버 범죄 조직이 현재 생태계에서 얼마나 빠르게 성장할 수 있는지를 보여준다.

10. 다크블라인더스(DarkBlinders): 중동 지역의 항공 및 통신 산업을 표적으로 하는 신흥 위협 클러스터다. 올해 순위에서 가장 높은 TTP 진화 점수(Tactics, Techniques and Procedures Evolution Score)를 기록했다. 다크블라인더스는 고정된 공격 방식에 의존하지 않고 자체 노출 여부를 지속적으로 모니터링하며 탐지 시그니처를 무력화하기 위해 공격 기법을 끊임없이 변경한다.

[조재호 기자(zephyr@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>