--- title: "IcedID 악성코드 개발자, FBI 수사 피하려 자신의 사망을 위조" published: 2026-02-16T23:51:28.000Z canonical: https://jeff.news/article/926 --- # IcedID 악성코드 개발자, FBI 수사 피하려 자신의 사망을 위조 IcedID 봇넷 핵심 개발자가 우크라이나 경찰을 매수해 사망을 위조했으나 결국 체포됨. 이번 Risky Business 뉴스레터는 200개 공항 자격증명 유출, 네덜란드 통신사 620만 명 침해, 한국 패션 브랜드 360억 원 과징금 등 주요 침해 사고와 함께 LockBit 5.0 재기 시도, Apple 제로데이 패치, 국가 지원 APT의 LLM 활용 등 광범위한 보안 동향을 다룸. ## IcedID 개발자 체포 - IcedID 봇넷을 개발·운영한 우크라이나 남성이 FBI와 미국 형사처벌을 피하기 위해 자신의 사망을 위조함 - 우크라이나 경찰을 매수해 사망자 문서를 위조하고 자기 이름으로 사망증명서를 발급받음. 시점은 2024년 4월로, Europol과 FBI가 Operation Endgame으로 IcedID 서버를 압수하기 한 달 전임 - 사망을 위조하고도 슬로바키아 국경 근처 우지호로드의 자택에 계속 거주하는 어이없는 보안 실패를 보여줌 - 2024년 12월 체포 시 다른 사람으로 위장하며 위조 신분증까지 제시함. 보석금은 4억 UAH(930만 달러)로 설정됨 - 두 번째 IcedID 개발자도 키이우에서 체포됨. 법원 문서에 따르면 이들은 'Digital 8'이라는 그룹의 일원이었으며, 보석금은 3억8,270만 UAH(890만 달러)임 ## 주요 침해 사고 - 기술 지원·유지보수 업체의 유출된 자격증명이 200개 이상 공항의 IT 네트워크에 접근 가능한 상태로 발견됨. MFA도 미적용 상태였음 - 네덜란드 통신사 Odido가 해킹당해 620만 명 이상의 고객 데이터가 유출됨. 다만 비밀번호, 통화기록, 위치 데이터 등 민감 정보는 포함되지 않았다고 밝힘 - 한국 개인정보보호위원회가 크리스찬 디올, 루이비통, 티파니 한국 지사에 총 360억 원(2,500만 달러) 과징금 부과. 550만 명의 개인정보가 유출됨 - 한국 최대 온라인 쇼핑몰 쿠팡이 3,300만 명 규모의 보안 침해 관련 로그를 보존하지 않았다는 혐의를 받고 있음. 미국 투자자들이 서울 정부를 상대로 불공정 대우 소송을 제기함 - 일본 맥주 회사 아사히가 지난해 11월 랜섬웨어 공격 이후 정상 판매 수준을 회복함 ## 정부·정책 동향 - 이란 해커들이 지난해 6월 이스라엘-이란 전쟁 이후 이스라엘 관료들의 개인 Gmail 계정을 집중 공격 중. 정부·국방 관료, 학자, 언론인 대상 수백 건의 공격이 탐지됨 - 카자흐스탄, 몰도바, 루마니아가 16세 미만 소셜미디어 가입 금지를 검토 중임 - 미국 백악관이 중국과의 협상을 앞두고 차이나텔레콤, TP-Link, 차이나유니콤 등에 대한 기술 제재를 일시 중단함 - 스위스 정부가 미국 분석 기업 Palantir와의 계약을 종료함. 스위스 군 검토 결과 미국 정부가 스위스 기밀 데이터에 접근할 가능성이 높다고 판단함 - 네덜란드 하원이 국가 신분 서비스 DigiD를 미국 기업으로부터 분리하라고 정부에 지시함. 호스팅 업체 Solvinity가 미국 기업에 인수된 것이 발단임 - 러시아 인터넷 감독 기관이 YouTube, Facebook, WhatsApp, Instagram 도메인을 국가 DNS에서 완전 차단함. Tor, Windscribe VPN, BBC 등도 추가 차단됨 - CISA 연례 보고서: 148건의 사이버·물리 보안 훈련 실시, 30,000건 이상의 사이버 사고 분류 처리. 한편 70명의 CISA 직원이 다른 DHS 부서로 강제 재배치됨 ## 체포 및 사이버범죄 - 우크라이나 사이버 경찰이 병원 회계 PC를 해킹해 11만5,000달러를 빼돌린 2명을 체포함. 별도로 피싱 조직과 사기 콜센터도 적발함 - Phobos 랜섬웨어 핵심 제휴자 Ilia D.의 재판이 파리에서 시작됨. 2023년 8월 밀라노에서 체포됨 - 미 검찰이 Trenchant 직원에게 9년 구형. 호주 국적의 Peter Williams가 고용주의 제로데이 익스플로잇 8개를 러시아 기업에 130만 달러에 판매한 혐의로, 3,500만 달러 배상금과 25만 달러 벌금도 청구됨 - IT 네트워크의 약 80%가 CVE-2025-8088에 취약한 WinRAR 버전을 실행 중이라는 조사 결과가 나옴 - 이스라엘 스파이웨어 기업 Paragon이 체코 데모데이 사진을 통해 Graphite 스파이웨어 제어판을 실수로 노출함. WhatsApp, Signal, Telegram, Line, Snapchat, TikTok 등에서 메시지 추출 가능한 것으로 확인됨 - 287개 Chrome 확장 프로그램이 사용자 브라우징 히스토리를 탈취하는 것으로 발견됨. 총 설치 수 3,700만 회 이상 - 최초의 악성 Outlook 애드인이 발견됨 — 버려진 AgreeTo 애드인의 만료된 Vercel 도메인을 공격자가 탈취해 4,000명 이상의 Microsoft 자격증명을 피싱함 - 동남아 사이버 사기 거점 관련 인신매매 자금세탁 암호화폐 거래가 전년 대비 85% 급증함 (Chainalysis 분석) - 글로벌 Telnet 트래픽이 한 달 만에 2/3 감소함. 1월 14일부터 시작된 하락으로, ISP들이 구식 프로토콜을 차단하는 것으로 추정됨 ## 악성코드 동향 - Crazy 랜섬웨어가 직원 모니터링 도구 Net Monitor for Employees Professional을 암호화 전 백도어로 활용하는 것이 포착됨 - LockBit 5.0 랜섬웨어가 수개월째 재기를 시도 중. DragonForce 랜섬웨어는 지난달 세네갈 정부 네트워크를 공격한 조직임 - LummaStealer가 작년 5월 법 집행 기관의 테이크다운 이후 약 1년 만에 새로운 캠페인으로 복귀함 - CISA가 Ivanti 장치에 설치되는 BRICKSTORM 백도어의 새 버전에 대한 권고를 업데이트함 - 0APT 랜섬 그룹은 가짜로 판명됨. 다크웹 유출 사이트에 게시된 "증거"가 수 테라바이트의 널 바이트 반복 패턴으로 위조된 것이 확인됨 ## APT 및 사이버 스파이 활동 - 북한 IT 인력이 서방 기업에 취업 지원하는 네트워크가 Okta에 의해 분석됨. 별도로 북한의 암호화폐 개발자 대상 RAT 배포 캠페인(Graphalgo)도 발견됨 - 프랑스 당국이 러시아 허위정보 그룹 Storm-1516이 운영한 100개 이상의 가짜 지역 뉴스 사이트를 폐쇄함. 다음 달 지방선거를 앞두고 특정 후보를 공격·홍보하는 데 사용됨 - Google이 중국, 러시아, 이란, 북한의 국가 지원 해킹 그룹이 LLM을 핵심 도구로 활용하기 시작했다고 발표함. 피싱 미끼 생성, 코드 작성, 취약점 연구 자동화에 Gemini 등을 사용 중임 - Lotus Blossom(G0030) APT 그룹이 최근 Notepad++ 공급망 공격의 배후로 지목됨. 2016~2024년 사이 Sagerunex 백도어로 전환하며 전문화된 것으로 분석됨 ## 취약점 및 보안 연구 - Apple이 "극도로 정교한 공격"에 사용된 제로데이(CVE-2026-20700)를 패치함. iOS 26 이전 버전 대상 표적 공격에 사용되었으며 Google 보안팀이 발견함. 총 37개 취약점이 수정됨 - Discord, Twitch, Snapchat에서 사용하는 k-ID 연령 인증이 우회 가능한 것으로 밝혀짐. k-ID가 실제 얼굴 이미지 대신 메타데이터만 전송하는 설계 결함을 이용해 개발자 콘솔로 조작 가능함 - WordPress WPvivid Backup 플러그인의 인증 없는 파일 업로드 버그가 80만 개 이상의 사이트에 영향을 미침 - FIRST 추산에 따르면 2026년 취약점 보고 건수가 6만 건에 달할 전망이며, 최대 추정치로는 사상 최초로 10만 건을 넘을 수 있음 ## 보안 업계 소식 - Chrome 145 출시로 Device Bound Session Credentials 기능이 정식 도입됨. 인포스틸러의 쿠키 탈취를 방지하기 위해 세션을 기기에 바인딩하는 기능임 - Trail of Bits와 SentinelOne이 Claude Code AI 코딩 어시스턴트 설정 파일을 오픈소스로 공개함 - AI 스타트업 Quesma가 컴파일된 바이너리에서 백도어를 찾는 AI 에이전트 벤치마크 BinaryAudit를 오픈소스로 공개함 - 중국 정부가 비공개로 Tianfu Cup 2026 해킹 대회를 개최함. AI를 활용한 제로데이 발굴과 n-day 익스플로잇 재현 트랙이 포함됨. 과거 대회에서 수집된 익스플로잇이 중국 정부 사이버 작전에 사용된 전력이 있음 - Check Point이 AI 보안 기업 Cyata와 공격 표면 관리 스타트업 Cyclops Security를 인수함 - 엡스타인 파일에 언급된 해커 Vincenzo Iozzo가 Black Hat과 Code Blue 컨퍼런스 리뷰 보드에서 퇴출됨 ## 핵심 포인트 - IcedID 개발자가 사망 위조 후에도 자택에 거주하다 체포됨, 보석금 930만 달러 - 200개 공항 IT 네트워크 접근 가능 자격증명 유출, 620만 명 규모 네덜란드 통신사 침해 등 대형 보안사고 다수 발생 - Apple이 CVE-2026-20700 제로데이 포함 37개 취약점 패치, 2026년 취약점 보고 10만 건 돌파 전망 - Google이 중국·러시아·이란·북한 APT의 LLM 활용이 본격화됐다고 발표 - 스위스 Palantir 계약 종료, 네덜란드 DigiD 미국 이탈, 러시아 YouTube·Meta 완전 차단 등 기술 주권 움직임 확대 ## 인사이트 국가 간 기술 주권 갈등이 심화되는 가운데 APT 그룹의 AI 활용이 본격화되면서 공격과 방어 모두 새로운 국면에 진입하고 있음.