IcedID 악성코드 개발자, FBI 수사 피하려 자신의 사망을 위조

IcedID 개발자 체포

• IcedID 봇넷을 개발·운영한 우크라이나 남성이 FBI와 미국 형사처벌을 피하기 위해 자신의 사망을 위조함
• 우크라이나 경찰을 매수해 사망자 문서를 위조하고 자기 이름으로 사망증명서를 발급받음. 시점은 2024년 4월로, Europol과 FBI가 Operation Endgame으로 IcedID 서버를 압수하기 한 달 전임
• 사망을 위조하고도 슬로바키아 국경 근처 우지호로드의 자택에 계속 거주하는 어이없는 보안 실패를 보여줌
• 2024년 12월 체포 시 다른 사람으로 위장하며 위조 신분증까지 제시함. 보석금은 4억 UAH(930만 달러)로 설정됨
• 두 번째 IcedID 개발자도 키이우에서 체포됨. 법원 문서에 따르면 이들은 'Digital 8'이라는 그룹의 일원이었으며, 보석금은 3억8,270만 UAH(890만 달러)임

주요 침해 사고

• 기술 지원·유지보수 업체의 유출된 자격증명이 200개 이상 공항의 IT 네트워크에 접근 가능한 상태로 발견됨. MFA도 미적용 상태였음
• 네덜란드 통신사 Odido가 해킹당해 620만 명 이상의 고객 데이터가 유출됨. 다만 비밀번호, 통화기록, 위치 데이터 등 민감 정보는 포함되지 않았다고 밝힘
• 한국 개인정보보호위원회가 크리스찬 디올, 루이비통, 티파니 한국 지사에 총 360억 원(2,500만 달러) 과징금 부과. 550만 명의 개인정보가 유출됨
• 한국 최대 온라인 쇼핑몰 쿠팡이 3,300만 명 규모의 보안 침해 관련 로그를 보존하지 않았다는 혐의를 받고 있음. 미국 투자자들이 서울 정부를 상대로 불공정 대우 소송을 제기함
• 일본 맥주 회사 아사히가 지난해 11월 랜섬웨어 공격 이후 정상 판매 수준을 회복함

정부·정책 동향

• 이란 해커들이 지난해 6월 이스라엘-이란 전쟁 이후 이스라엘 관료들의 개인 Gmail 계정을 집중 공격 중. 정부·국방 관료, 학자, 언론인 대상 수백 건의 공격이 탐지됨
• 카자흐스탄, 몰도바, 루마니아가 16세 미만 소셜미디어 가입 금지를 검토 중임
• 미국 백악관이 중국과의 협상을 앞두고 차이나텔레콤, TP-Link, 차이나유니콤 등에 대한 기술 제재를 일시 중단함
• 스위스 정부가 미국 분석 기업 Palantir와의 계약을 종료함. 스위스 군 검토 결과 미국 정부가 스위스 기밀 데이터에 접근할 가능성이 높다고 판단함
• 네덜란드 하원이 국가 신분 서비스 DigiD를 미국 기업으로부터 분리하라고 정부에 지시함. 호스팅 업체 Solvinity가 미국 기업에 인수된 것이 발단임
• 러시아 인터넷 감독 기관이 YouTube, Facebook, WhatsApp, Instagram 도메인을 국가 DNS에서 완전 차단함. Tor, Windscribe VPN, BBC 등도 추가 차단됨
• CISA 연례 보고서: 148건의 사이버·물리 보안 훈련 실시, 30,000건 이상의 사이버 사고 분류 처리. 한편 70명의 CISA 직원이 다른 DHS 부서로 강제 재배치됨

체포 및 사이버범죄

• 우크라이나 사이버 경찰이 병원 회계 PC를 해킹해 11만5,000달러를 빼돌린 2명을 체포함. 별도로 피싱 조직과 사기 콜센터도 적발함
• Phobos 랜섬웨어 핵심 제휴자 Ilia D.의 재판이 파리에서 시작됨. 2023년 8월 밀라노에서 체포됨
• 미 검찰이 Trenchant 직원에게 9년 구형. 호주 국적의 Peter Williams가 고용주의 제로데이 익스플로잇 8개를 러시아 기업에 130만 달러에 판매한 혐의로, 3,500만 달러 배상금과 25만 달러 벌금도 청구됨
• IT 네트워크의 약 80%가 CVE-2025-8088에 취약한 WinRAR 버전을 실행 중이라는 조사 결과가 나옴
• 이스라엘 스파이웨어 기업 Paragon이 체코 데모데이 사진을 통해 Graphite 스파이웨어 제어판을 실수로 노출함. WhatsApp, Signal, Telegram, Line, Snapchat, TikTok 등에서 메시지 추출 가능한 것으로 확인됨
• 287개 Chrome 확장 프로그램이 사용자 브라우징 히스토리를 탈취하는 것으로 발견됨. 총 설치 수 3,700만 회 이상
• 최초의 악성 Outlook 애드인이 발견됨 — 버려진 AgreeTo 애드인의 만료된 Vercel 도메인을 공격자가 탈취해 4,000명 이상의 Microsoft 자격증명을 피싱함
• 동남아 사이버 사기 거점 관련 인신매매 자금세탁 암호화폐 거래가 전년 대비 85% 급증함 (Chainalysis 분석)
• 글로벌 Telnet 트래픽이 한 달 만에 2/3 감소함. 1월 14일부터 시작된 하락으로, ISP들이 구식 프로토콜을 차단하는 것으로 추정됨

악성코드 동향

• Crazy 랜섬웨어가 직원 모니터링 도구 Net Monitor for Employees Professional을 암호화 전 백도어로 활용하는 것이 포착됨
• LockBit 5.0 랜섬웨어가 수개월째 재기를 시도 중. DragonForce 랜섬웨어는 지난달 세네갈 정부 네트워크를 공격한 조직임
• LummaStealer가 작년 5월 법 집행 기관의 테이크다운 이후 약 1년 만에 새로운 캠페인으로 복귀함
• CISA가 Ivanti 장치에 설치되는 BRICKSTORM 백도어의 새 버전에 대한 권고를 업데이트함
• 0APT 랜섬 그룹은 가짜로 판명됨. 다크웹 유출 사이트에 게시된 "증거"가 수 테라바이트의 널 바이트 반복 패턴으로 위조된 것이 확인됨

APT 및 사이버 스파이 활동

• 북한 IT 인력이 서방 기업에 취업 지원하는 네트워크가 Okta에 의해 분석됨. 별도로 북한의 암호화폐 개발자 대상 RAT 배포 캠페인(Graphalgo)도 발견됨
• 프랑스 당국이 러시아 허위정보 그룹 Storm-1516이 운영한 100개 이상의 가짜 지역 뉴스 사이트를 폐쇄함. 다음 달 지방선거를 앞두고 특정 후보를 공격·홍보하는 데 사용됨
• Google이 중국, 러시아, 이란, 북한의 국가 지원 해킹 그룹이 LLM을 핵심 도구로 활용하기 시작했다고 발표함. 피싱 미끼 생성, 코드 작성, 취약점 연구 자동화에 Gemini 등을 사용 중임
• Lotus Blossom(G0030) APT 그룹이 최근 Notepad++ 공급망 공격의 배후로 지목됨. 2016~2024년 사이 Sagerunex 백도어로 전환하며 전문화된 것으로 분석됨

취약점 및 보안 연구

• Apple이 "극도로 정교한 공격"에 사용된 제로데이(CVE-2026-20700)를 패치함. iOS 26 이전 버전 대상 표적 공격에 사용되었으며 Google 보안팀이 발견함. 총 37개 취약점이 수정됨
• Discord, Twitch, Snapchat에서 사용하는 k-ID 연령 인증이 우회 가능한 것으로 밝혀짐. k-ID가 실제 얼굴 이미지 대신 메타데이터만 전송하는 설계 결함을 이용해 개발자 콘솔로 조작 가능함
• WordPress WPvivid Backup 플러그인의 인증 없는 파일 업로드 버그가 80만 개 이상의 사이트에 영향을 미침
• FIRST 추산에 따르면 2026년 취약점 보고 건수가 6만 건에 달할 전망이며, 최대 추정치로는 사상 최초로 10만 건을 넘을 수 있음

보안 업계 소식

• Chrome 145 출시로 Device Bound Session Credentials 기능이 정식 도입됨. 인포스틸러의 쿠키 탈취를 방지하기 위해 세션을 기기에 바인딩하는 기능임
• Trail of Bits와 SentinelOne이 Claude Code AI 코딩 어시스턴트 설정 파일을 오픈소스로 공개함
• AI 스타트업 Quesma가 컴파일된 바이너리에서 백도어를 찾는 AI 에이전트 벤치마크 BinaryAudit를 오픈소스로 공개함
• 중국 정부가 비공개로 Tianfu Cup 2026 해킹 대회를 개최함. AI를 활용한 제로데이 발굴과 n-day 익스플로잇 재현 트랙이 포함됨. 과거 대회에서 수집된 익스플로잇이 중국 정부 사이버 작전에 사용된 전력이 있음
• Check Point이 AI 보안 기업 Cyata와 공격 표면 관리 스타트업 Cyclops Security를 인수함
• 엡스타인 파일에 언급된 해커 Vincenzo Iozzo가 Black Hat과 Code Blue 컨퍼런스 리뷰 보드에서 퇴출됨