2026년 초 약 100일 동안 국가 및 범죄 조직이 연루된 대규모 사이버 공격이 연속적으로 발생하며, 컴퓨터 보안사에서 전환점으로 평가될 수준의 사태가 이어짐
공격은 이란, SLH, 북한, 러시아 네 개 클러스터로 구분되며, 모두 공급망과 신뢰 관계 악용이라는 공통 구조를 가짐
주요 피해로는 Stryker의 20만대 시스템 삭제, Lockheed Martin의 375TB 유출 주장, FBI 국장 이메일 유출, Axios npm 감염, Oracle·Cisco·Rockstar·Mercor 침해 등이 포함됨
AI 기술이 공격 자동화에 활용되며 AI 생성 피싱 1,265% 증가, 보이스피싱 442% 증가, AI 딥페이크 금융 사기 등 새로운 위협 양상이 등장
정부와 산업계는 비공개로 대응 중이나, 공공 담론의 침묵과 정보 비대칭이 두드러져 이번 100일이 사이버 역사상 가장 중대한 시기로 평가됨
2026년 초 100일간의 대규모 사이버 사건 개요
2026년 첫 4개월 동안 중국, 이란, 북한, 러시아 등 국가 및 범죄 조직이 연루된 대형 사이버 공격이 연속적으로 발생
중국 국영 슈퍼컴퓨터의 10페타바이트 유출, Stryker의 79개국 전면 마비, Lockheed Martin의 375TB 유출 주장, FBI 국장 개인 이메일 유출, FBI 감청망 침입, Rockstar Games·Cisco·Oracle·Mercor 등 다수 기업 피해
약 100일간 이어진 이 사건들은 컴퓨터 보안사에서 전환점으로 기록될 가능성이 높음
그러나 대중적 논의는 거의 없으며, 정부와 산업계의 비공개 대응과 공공 담론의 침묵 간 괴리가 두드러짐
네 개의 주요 공격 클러스터
2026년 공격들은 이란, SLH, 북한, 러시아의 네 개 클러스터로 구분되며, 모두 공급망·신뢰 관계 악용이라는 공통 구조를 가짐
클러스터 1: 이란 / Handala / Void Manticore
파괴적 국가 주도 작전, Palo Alto Networks Unit 42는 Void Manticore를 이란 정보보안부(MOIS)와 연계된 행위자로 식별
Handala Hack Team 명의로 미국 산업·국방·정부 기관 공격 수행, 2026년 2월 미나브 학교 폭격(175명 사망) 에 대한 보복 주장
피해: Stryker(20만대 장비 삭제), Lockheed Martin(375TB 유출 주장, 28명 엔지니어 신상 공개), FBI 국장 개인 이메일 유출
클러스터 2: Scattered LAPSUS$ Hunters (SLH)
금전 목적의 SaaS 대규모 탈취·협박 조직, 2025년 8월 ShinyHunters·Scattered Spider·LAPSUS$ 결합으로 형성
Salesforce 캠페인에서 300~400개 조직, 15억 건의 Salesforce 기록 탈취, 피해 기업은 Google, Cisco, LVMH, Okta, AMD, Snowflake 등
공격 방식은 OAuth 토큰 탈취에서 전화 기반 MFA 조작으로 진화, 보이스피싱이 2026년 가장 많은 기업 침해를 유발한 요인으로 지목
클러스터 3: 북한 / UNC1069
오픈소스 공급망 침해 중심의 금전 목적 공격, Axios npm 패키지 탈취 사건이 대표적
공격자는 가짜 회사·Slack·Teams 환경을 만들어 유지자 신뢰를 얻은 뒤 npm 계정 탈취, 주 1억 다운로드 규모 라이브러리에 RAT 삽입
Cisco의 Trivy 공급망 공격도 유사한 신뢰 기반 침해 패턴
클러스터 4: 러시아 / APT28
우크라이나 및 EU 대상 제로데이 공격, Microsoft Office 취약점(CVE-2026-21509) 악용
60여 개 유럽 이메일 계정과 우크라이나 정부기관 공격, 신뢰 관계 악용과 빠른 무기화 속도가 특징
네 클러스터 모두 서방 기업의 방어 경계가 공급망 신뢰로 대체된 현실을 이용
이란은 파괴, SLH는 금전 탈취, 북한은 개발자 감염, 러시아는 정보 수집 목적
주요 사건별 세부 내용
Stryker: 전 세계 의료기기 기업 대상 실시간 와이퍼 공격
2026년 3월 11일, Stryker Corporation이 전 세계적으로 마비
공격자는 Windows 도메인 관리자 계정을 탈취해 Microsoft Entra·Intune에서 글로벌 관리자 생성 후 원격 초기화 명령 실행, 20만 대 시스템 삭제
병원 수술 연기 등 환자 치료 지연 발생, Handala가 공격을 자처
FBI는 Handala 도메인 4개 압수 및 1천만 달러 현상금 공표, Handala는 트럼프·네타냐후에 5천만 달러 역현상금으로 대응
Lockheed Martin: 375TB 유출 주장과 28명 엔지니어 신상 공개
“APT Iran” 명의로 375TB 데이터 탈취 및 다크웹 판매(4억→5.98억 달러) 주장, F-35 관련 설계도 포함 주장 있으나 증거 미검증
Handala는 F-35, F-22, THAAD 프로그램 엔지니어 28명의 신상 공개 및 협박, 국가 주도 도크싱 사례로 평가
FBI 국장 개인 이메일 유출 사건
2026년 3월 27일, Handala가 FBI 국장 Kash Patel의 개인 Gmail에서 300여 통 이메일·사진·이력서 공개
비밀번호 재사용 기반 크리덴셜 스터핑 공격으로, 기술적 복잡성은 낮음
FBI 도메인 압수 8일 후 발생한 보복성 공개, “FBI 국장 메일을 읽을 수 있다”는 상징적 시위
FBI 감청망 침입 사건
2026년 2월 17일 이상 징후 탐지, 3월 23일 법적 ‘중대 사건(major incident)’ 으로 분류
공격자는 상용 ISP 인프라를 이용해 FBI 보안 통제 우회, 내부 감청·감시 네트워크 접근
공급망 신뢰 관계 악용형 침입으로, Patel 개인 이메일 사건보다 훨씬 심각한 사건으로 평가
글로벌 기업 및 인프라 침해 사례
Axios npm 계정 탈취 사건
2026년 3월 31일, Axios 라이브러리의 npm 계정 탈취로 악성 버전 1.14.1·0.30.4 게시
약 2~3시간 동안 1억 회 다운로드 규모의 패키지가 감염, 모든 CI 파이프라인에 RAT 설치
Google Threat Intelligence Group은 북한 UNC1069 소행으로 공개
가짜 회사 설립·Slack·Teams 협업 환경 조작 등 사회공학 기반 침투, XZ Utils 백도어 이후 가장 정교한 npm 공격으로 평가
Cisco: Trivy 공급망 침해와 Salesforce 데이터 갈취
2026년 3월, Trivy 공급망 공격으로 Cisco 내부 개발 환경 침해, 300개 GitHub 저장소 복제
ShinyHunters가 Salesforce 데이터 300만 건 탈취 주장, 금전 요구
Cisco는 일부 사실 인정, 공급망과 SaaS 모두에서 보안 성숙 기업도 취약함이 드러남
Mercor: AI 산업 핵심 데이터 파이프라인의 단일 취약점
OpenAI, Anthropic, Meta등 주요 AI 연구소의훈련 데이터 파이프라인 담당 스타트업
2026년 3월, LiteLLM 라이브러리 감염으로 자격 증명 탈취, AI 훈련 데이터·라벨링 프로토콜 유출
Lapsus$가 후속 침해를 자처하며 4TB 데이터 공개, 내부 Slack 덤프·API 키·AI 계약자 대화 영상 포함
Meta가 Mercor와의 계약 중단, AI 산업의 소수 스타트업·오픈소스 의존성 문제 부각
Oracle Cloud: 600만 건 데이터 유출과 ‘레거시 클라우드’ 문제
2026년 3월 21일, 해커 “rose87168”이 Oracle Cloud 600만 건 데이터 판매 주장
CVE-2021-35587취약점으로 Oracle Access Manager 침해, 14만 테넌트 영향
Oracle은 초기 부인 후 레거시 환경 접근 인정, 최대 80개 병원 데이터 노출 보도
폐기되지 않은 구형 인프라(Shadow Legacy) 위험성 부각
Rockstar Games: SaaS 통합을 통한 침투
2026년 4월 초, ShinyHunters가 Rockstar Games 침해 주장, Rockstar는 Anodot SaaS 침해로 확인
공격자는 Anodot 인증 토큰 탈취 후 Snowflake 인스턴스 접근, SaaS-데이터웨어하우스 신뢰 체인 취약성 노출
유럽 항공 시스템 마비
2026년 4월 6일, Heathrow·Charles-de-Gaulle·Frankfurt·Copenhagen 등 공항의 체크인·수하물 시스템 동시 마비
하루 1,600편 이상 항공편 취소·지연, Collins Aerospace MUSE 플랫폼 원인
EASA는 2024~2025년 항공 사이버 공격이 600% 증가, 월 1,000건 수준 보고
중국 NSCC 해킹
해커 FlamingChina가 중국 톈진 국가슈퍼컴퓨팅센터(NSCC) 에서 10페타바이트 데이터 탈취 주장
항공·방위 산업 시뮬레이션 파일, 국방과학기술대학 자료 포함, CNN 등 서방 언론 보도
VPN 도메인 침해 후 6개월간 은밀한 유출, 중국 정부는 공식 입장 없음
Volt Typhoon과 Salt Typhoon
Volt Typhoon은 2021년부터 미국 핵심 인프라 침투, Salt Typhoon은 2024~2025년 미국 통신사·감청 시스템 침해
2026년 사건들은 이들 장기 침투 기반 위에서 발생한 표면적 현상으로 분석
Honda: 누적된 다중 침해
e-commerce 플랫폼 API 취약점, 비밀번호 재설정 절차 취약점, PLAY 랜섬웨어 침해 등 다중 사건
개별 피해는 경미하지만, 대기업의 보안 성숙도와 공격면 간 불균형을 보여주는 사례
AI 관련 이상 징후와 정부 대응
AI 기반 공격 급증
2025~2026년 AI 관련 데이터에서 공격 자동화와 위협 급증 동시 관찰
AI 생성 피싱 이메일 1,265% 증가, 전체 피싱의 82.6%가 AI 생성
휴가철 기간 AI 생성 비율 4%→56%로 급등, 보이스피싱 442%, QR 피싱 400% 증가
AI는 5분 만에 스피어피싱 메일 작성 가능, 클릭률 54%로 인간 작성(12%)의 4배 이상
북한의 AI 활용
Microsoft는 Jasper Sleet, Coral Sleet 두 북한 행위자가 정찰부터 침투 후 활동까지 AI 활용한다고 명시
Kimsuky 조직은 ChatGPT로 한국군·정부 신분증 위조
미국 재무부는 AI 생성 이력서·면접 답변으로 위장 취업하는 북한 IT 인력 네트워크 제재
AI 딥페이크 금융 사기
AI 생성 CFO 및 동료 영상으로 구성된 Teams 화상회의에서 2,500만 달러 송금 유도 사건 발생
AI 모델의 공격 능력
Anthropic의 Mythos 모델은 GPT-4o보다 빠르게(6.2시간 vs 10.4시간) 침투 시뮬레이션 수행, 73%의 애플리케이션 취약점 탐지
Anthropic은 Mythos를 비공개로 유지, Microsoft·Google 등 40개사에만 제한 제공
OpenAI도 유사 모델을 “Trusted Access for Cyber” 프로그램으로 제한 배포 예정
미국 정부의 긴급 대응
2026년 4월 7일, 미 재무장관 Scott Bessent와 연준 의장 Jerome Powell이 5대 은행 CEO를 워싱턴으로 소집
이유: Anthropic이 Mythos가 모든 주요 OS·브라우저에서 수천 개의 제로데이 취약점 발견했다고 보고했기 때문
정부는 이를 금융 안정성 수준의 위협으로 간주, 최고위급 비공개 브리핑 실시
2026년 1분기 전체 사건 요약
1~4월 사이 공개된 주요 사건만 40건 이상, 실제로는 수백 건 규모
SLH Salesforce 캠페인에서만 약 300~400개 조직, 15억 건 데이터 유출 추정
2026년 3월 한 달간 랜섬웨어 672건, Qilin·Akira·DragonForce가 40% 차지
2025년 대비 랜섬웨어 공격 49% 증가, 의료 부문이 22% 차지
왜 이렇게 조용한가?
대규모 사건에도 불구하고 주류 언론과 공공 담론의 반응이 미약
국가 배후 지목의 정치적 부담, 보안 산업의 상업적 이해관계, 사이버 피로감, AI 산업과의 불편한 병존 등이 원인으로 제시
정부 최고위층에서는 정보가 공유되고 있으나, 대중 담론에서는 침묵이 유지
2026년 초 100일은 사이버 역사상 가장 중대한 시기 중 하나로 평가되며,
공공 담론의 침묵 자체가 역사적으로 주목할 현상으로 기록될 가능성 있음
3 hours ago
1
![[부음] 정병묵(이데일리 산업부 차장)씨 장모상](https://img.etnews.com/2017/img/facebookblank.png)
English (US) · 