알림

2026년 5월 다크웹 위협 행위자 동향 보고서는 딥웹 및 다크웹에서 활동하는 위협 행위자와 핵티비스트의 동향을 정리했다. 일부 내용은 사실 관계를 확인할 수 없다고 명시했다.

주요 이슈

• 한국 지역을 겨냥한 핵티비스트 활동이 집중되었다. 일부 핵티비스트 그룹은 대한민국 육군 특수전사령부 웹사이트 대상 DDoS 공격을 주장했다. 또 다른 핵티비스트 그룹은 한국 정부기관 다수를 대상으로 한 DDoS 공격을 주장했다. 출처가 불명확한 텔레그램 채널에서는 부산지방 관세사회 웹사이트 대상 DDoS 공격 주장도 관측되었다.
• 일본 지역에서는 Money Forward의 GitHub 무단 접근과 레포지토리 복사가 공식 확인되었다. 미국 지역에서는 CB Financial Services가 비인가 AI 소프트웨어 사용과 관련된 고객 정보 노출 사고를 공시했다.
• 글로벌 공급망 측면에서는 OpenAI가 TanStack npm 공급망 공격에 대응해 macOS 앱 인증서를 교체했다.
• ShinyHunters(샤이니헌터스) 관련 동향도 다수 관측되었다. 공식 채널을 사칭하는 계정에 대한 주의 경보가 제기되었고, 클리어넷 도메인 압수 의심 정황과 VECT 랜섬웨어 무료 복호화 도구 공개 주장도 확인되었다. 또한 올해 기업 대상 갈취 수익이 3,800만 달러라는 주장은 확인되지 않은 일방적 주장으로 제시되었다.
• Scattered LAPSUS$ Hunters는 ShinyHunters(샤이니헌터스) 및 DLS와의 연관성을 부인하는 정황이 확인되었다.
• 신규 클라우드 위협 행위자 PCPJACK이 등장했으며 TeamPCP와의 대립 정황이 관측되었다.
• LAPSUS$ Group은 웹사이트 변조를 캠페인형 콘테스트 방식으로 진행하는 정황이 확인되었다.
• 법 집행 기관은 여러 성과를 거두었다. KimWolf(킴울프) DDoS 봇넷 운영 혐의자가 체포 및 기소되었다. 네덜란드 FIOD는 Stark Industries 방탄 호스팅 인프라를 압수하고 운영자를 체포했다. Operation Saffron(오퍼레이션 사프론)을 통해 First VPN이 압수 및 중단되었다. 독일 수사기관은 Crimenetwork(크라임네트워크) 재출범 마켓 운영자를 체포했다. Karakurt(카라쿠르트) 협상 담당자 Deniss Zolotarjovs(데니스 졸로타르요프스)는 미국에서 징역 8년 6개월을 선고받았다.

결론

2026년 5월에는 한국 지역을 향한 복수 핵티비스트의 DDoS 공격 주장, 신규 클라우드 위협 행위자 PCPJACK 등장, 비인가 AI 소프트웨어로 인한 고객 정보 노출, 공급망 공격 대응, 그리고 여러 사이버 범죄 인프라와 운영자에 대한 법 집행 성과가 함께 관측되었다. 보고서는 한국 지역 공공·군사 기관에 대한 반복적 표적화와 공급망, 클라우드, AI 도구 사용에 대한 경계가 필요하다고 정리했다.