러시아 APT28, 우크라이나·NATO 동시 타격… PRISMEX 악성코드의 정체
2026년 APT28 PRISMEX, GlassWorm, Marimo RCE 취약점과 Chrome DBSC 기술을 통해 국가 연계 해킹부터 공급망 침투까지 다층 사이버 위협의 현황과 대응 방안을 심층 분석
2026년 사이버 위협의 다층 공격 구조: APT28부터 공급망 침투, 제로데이까지
핵심 요약 (리드)
2026년 4월, 국가 지원 해킹 그룹부터 공급망 감염, 제로데이 취약점 즉각 악용에 이르기까지 사이버 위협의 다층적 공격 벡터가 동시다발적으로 현실화되었다. 러시아 APT28의 PRISMEX 악성코드(malware)는 우크라이나와 NATO 동맹국을 동시에 타격하며 사이버전의 지속성을 증명했고, GlassWorm 캠페인은 개발자 통합개발환경(IDE)을 겨냥한 공급망 공격의 정교화를 보여주었다. 동시에 Marimo의 원격코드실행(RCE) 취약점은 공개 후 10시간 이내 실전 악용되었으며, 구글은 Chrome 146에 DBSC 기술을 탑재해 세션 탈취에 대한 방어 전선을 새롭게 구축하였다.
배경 및 맥락
2022년 러시아-우크라이나 전쟁 발발 이후, 물리적 전장과 사이버 공간은 사실상 하나의 통합 작전 영역으로 수렴하였다. APT28(일명 Fancy Bear)은 러시아 군사정보기관(GRU) 산하 26165부대와 연계된 것으로 오랫동안 분석되어 왔으며, NATO 확장 국면에서 동맹국의 정보 인프라를 교란하는 임무를 지속적으로 수행해 왔다.
한편 2025년부터 급격히 확산된 AI 기반 소프트웨어 개발 환경은 새로운 공격 표면(attack surface)을 창출하였다. 개발자 IDE와 파이썬 기반 인터랙티브 컴퓨팅 프레임워크의 보급이 빠르게 이루어지면서, 공격자들은 최종 사용자가 아닌 소프트웨어 제조 단계 자체를 침투 목표로 설정하기 시작했다. 이는 전통적인 엔드포인트 방어 체계만으로는 대응이 근본적으로 불충분하다는 사실을 방증한다.
구글이 DBSC(Device Bound Session Credentials, 디바이스 연결 세션 자격증명) 기술을 크롬 브라우저에 정식 탑재한 것 역시 이러한 위협 환경의 변화에 대한 직접적 응답이다. 세션 탈취를 통한 계정 장악은 국가 지원 해킹부터 랜섬웨어 그룹까지 가장 범용적으로 활용되는 초기 침투 기법으로 자리 잡아 왔다.
핵심 내용 심층 분석
APT28 PRISMEX: 이중 타격 전략
러시아 APT28의 최신 작전에서 사용된 PRISMEX 악성코드는 우크라이나 군·정부 네트워크와 NATO 동맹국 기반시설을 동시 표적으로 삼는 이중 페이로드(dual-payload) 구조를 채택한 것으로 분석된다. 단일 감염 캠페인으로 복수의 지정학적 목표를 달성하는 이 전술은 제한된 작전 자원으로 최대 심리·전략적 효과를 추구하는 러시아 사이버 작전의 전형적 패턴을 따른다.
PRISMEX는 초기 침투 후 지속성 확보(persistence), 측면 이동(lateral movement), 데이터 유출(exfiltration) 등 고전적인 APT 공격 킬체인(kill chain)을 따르면서도, 탐지 회피를 위한 정교한 난독화 기법이 적용된 것으로 전해진다.
GlassWorm: Zig 언어로 무장한 공급망 공격
GlassWorm 캠페인은 Zig 프로그래밍 언어로 작성된 드로퍼(dropper)를 활용해 복수의 개발자 IDE를 감염시킨 사례다. Zig 언어는 메모리 안전성과 낮은 수준의 시스템 제어 능력 덕분에 보안 연구자와 공격자 모두의 주목을 받고 있는 신흥 언어다. 기존 악성코드 탐지 엔진(AV/EDR)이 Zig 기반 바이너리에 대한 탐지 시그니처를 충분히 축적하지 못했다는 점이 공격자에게 유리하게 작용하였다.
개발자 IDE를 감염시키는 공급망 공격은 단일 피해자가 아니라 해당 개발자가 생산하는 모든 소프트웨어 산출물이 잠재적 감염 매개체가 된다는 점에서 파급력이 기하급수적으로 확대된다.
CVE-2026-39987: 10시간의 창
Marimo의 RCE 취약점 CVE-2026-39987은 취약점 공개(disclosure) 후 단 10시간 만에 실제 공격에 악용되었다. Marimo는 파이썬 기반 반응형 노트북 환경으로, AI·데이터 사이언스 개발자들 사이에서 빠르게 채택되고 있는 플랫폼이다. RCE 취약점은 공격자가 원격에서 피해 시스템에 임의 코드를 실행할 수 있게 하는 최고 심각도 취약점으로 분류된다.
10시간이라는 악용 소요 시간은 패치 적용 주기(patch cycle) 가 현실적으로 대응 불가능한 수준으로 단축되었음을 의미하며, 취약점 공개 즉시 네트워크 격리 또는 임시 차단 조치를 취하는 가상 패치(virtual patching) 전략의 필요성을 다시금 강조한다.
Chrome 146 DBSC: 세션 보안의 새로운 패러다임
구글이 Chrome 146에 탑재한 DBSC는 세션 쿠키를 특정 디바이스의 하드웨어 보안 키(TPM, 신뢰플랫폼모듈)에 암호학적으로 바인딩함으로써 인포스틸러(infostealer) 악성코드가 세션 토큰을 탈취하더라도 다른 기기에서 재사용하지 못하도록 원천 차단한다. Windows 플랫폼에서 우선 적용되었으며, 인증된 세션의 도용을 통한 계정 탈취(ATO, Account Takeover) 공격 벡터를 구조적으로 무력화하는 것이 핵심 목표다.
글로벌 동향 비교
| 위협/방어 요소 | 주체 | 대상 | 핵심 기법 | 위협 수준 |
|---|---|---|---|---|
| PRISMEX 악성코드 | APT28 (러시아 GRU 연계) | 우크라이나·NATO 동맹국 | 이중 페이로드, 지속성 확보 | ★★★★★ |
| GlassWorm 캠페인 | 미상(공급망 위협 행위자) | 전 세계 소프트웨어 개발자 | Zig 드로퍼, IDE 감염 | ★★★★☆ |
| CVE-2026-39987 | 미상 위협 행위자 | Marimo 사용 AI/데이터 개발자 | RCE, 10시간 내 악용 | ★★★★★ |
| Chrome 146 DBSC | 구글 (방어) | Windows Chrome 사용자 | TPM 기반 세션 바인딩 | 방어 혁신 |
한국에 주는 시사점
한국은 이 네 가지 사이버 트렌드 모두에서 직접적 이해관계를 갖는다.
국가 안보 측면에서:
- 북한의 사이버 작전 그룹(Lazarus, Kimsuky 등)은 APT28과 유사한 국가 연계 해킹 패턴을 구사한다. PRISMEX 분석에서 도출된 이중 페이로드 및 지속성 확보 기법은 한국 방산·정부 네트워크 방어에 즉
시 적용 가능한 침투 모델로 평가된다. 특히 한반도 긴장 국면에서 북한의 사이버 공격이 물리적 군사 작전과 동시다발 조율될 가능성은 NATO-우크라이나 사례에서 검증된 위협으로 간주할 필요가 있다.
산업 생태계 측면에서:
- 한국의 반도체·자동차·방산 업체들은 글로벌 소프트웨어 공급망의 핵심 노드로 기능한다. GlassWorm 캠페인의 IDE 감염 기법이 국내 개발 환경으로 확산될 경우, 설계 단계부터 악성코드가 내재된 칩·부품이 양산될 위험에 직면하게 된다. 따라서 공급망 보안(SCRM, Supply Chain Risk Management) 고도화는 선택이 아닌 필수 과제로 부상하였다.
개발 환경 보안 측면에서:
- 국내 AI·데이터 사이언스 개발자들이 Marimo, Jupyter 등 오픈소스 IDE를 광범위하게 도입하고 있는 상황에서, CVE-2026-39987 같은 제로데이 악용은 국내 기업 R&D 네트워크의 초기 침투 경로로 충분히 작용할 수 있다. 개발 환경 격리(Dev Sandbox), 가상 패칭, 실시간 위협 탐지의 강화가 시급하다.
사용자 보안 전략 측면에서:
- Chrome 146의 DBSC 기술은 Windows 환경에서 우선 적용되는 만큼, 국내 기업·정부의 Windows 기반 업무 환경에서 즉시 혜택을 받을 수 있다. 다만 엔터프라이스 환경에서의 호환성·배포 체계 정비가 전제되어야 한다.
정부·기업 대응 체크리스트
| 조직 수준 | 즉시 조치 (1개월) | 단기 강화 (3개월) | 중기 전략 (6~12개월) |
|---|---|---|---|
| 정부(국방·정보기관) | ·APT28 PRISMEX 특성 분석·공유 ·관계기관 정보 공유 체계 가동 | ·국가 위협 인텔 플랫폼 고도화 ·NATO 연계 정보 교환 프로토콜 정비 | ·사이버 대응 합동 참모부 확대 편성 ·제로데이 조기 탐지 AI 시스템 구축 |
| 방산·대형 IT 기업 | ·개발 환경 감시 체계 구축 ·공급망 리스크 카테고리화 | ·IDE 감염 탐지 솔루션 도입 ·보안 개발(SecDev) 교육 전사 배포 | ·공급망 보안 인증(NIST SSDF) 획득 ·제로데이 대응 자동화 체계 운영 |
| 중소 소프트웨어·DevOps 기업 | ·Marimo, Jupyter 환경 보안 점검 ·직원 보안 인식 교육 | ·IDE 격리 정책 도입 ·패치 자동화 파이프라인 구성 | ·SCRM 프로세스 정형화 ·상위사 보안 요건 대응 체계 확립 |
| 일반 사용자 | ·Chrome 146 업데이트 즉시 적용 ·비밀번호 관리자 사용 점검 | ·다요소 인증(MFA) 활성화 | ·보안 인식 정기 갱신 |
자주 묻는 질문
Q1. APT28 PRISMEX 악성코드가 한국 조직을 노린다는 신호가 있었나요?
A. 직접적 국내 감염 보고는 아직 없으나, APT28은 NATO 분석 자료에서 한반도 지정학적 이해관계 국가인 한국·일본을 잠재 표적으로 분류한 것으로 알려졌다. 국방부·정보기관은 이미 침투 시뮬레이션(Red Team) 훈련을 통해 PRISMEX 변종에 대비 중이다.
Q2. 개발자 IDE가 감염되면 회사 전체가 위험해지나요?
A. 네. GlassWorm 같은 공급망 공격에서 IDE 감염은 그 개발자가 생산하는 모든 소프트웨어에 백도어를 내재화할 수 있다. 따라서 조직 차원에서 IDE 격리, 소스 코드 무결성 검증, 런타임 탐지 강화가 필수다.
Q3. CVE-2026-39987처럼 10시간 안에 악용되는 취약점에는 어떻게 대응하나요?
A. 자동 패치는 불가능하므로 가상 패칭(WAF 규칙, 방화벽 차단) 즉시 적용, 해당 애플리케이션 비활성화, 네트워크 격리가 우선이다. 조직 위협 인텔 및 CISO 자동 알림 체계 구축도 병행해야 한다.
Q4. Chrome 146 DBSC 기술이 모든 브라우저에 적용될까요?
A. 아직 Google Chrome의 Windows 플랫폼에만 적용되어 있다. Mozilla Firefox, Safari 등 다른 브라우저의 적용 시점은 미정이며, 엔터프라이스 환경에서는 호환성 검증 후 배포가 권장된다.
Q5. 한국 방산업체는 SCRM 인증을 어디서 받을 수 있나요?
A. 미국 NIST SSDF(Secure Software Development Framework) 인증, 국내 정보보호관리체계(ISMS) 인증이 일반적이다. 방위사업청은 이미 일부 제1차 공급업체에 NIST SSDF 준용을 권고하고 있으며, 단계적 확대 중이다.
여러분은 국내 소프트웨어 공급망 보안에서 가장 시급한 과제가 개발 환경 격리인지, 아니면 공급업체 인증 제도 확대라고 생각하십니까?
관련 글
이 글이 도움이 되셨나요?
댓글