[Techmeme 요약] 이란 해킹 그룹, AI와 SEO로 무장해 미-이란 분쟁 중 기업 공격
28
설명
최근 이란 정부와 연계된 것으로 알려진 해킹 그룹 '님부스 맨티코어(Nimbus Manticore)'가 미국-이란 분쟁 기간 동안 기업들을 대상으로 한 사이버 공격에서 놀랍도록 진화한 전술을 선보였습니다. 이들은 인공지능(AI)을 활용한 악성코드 개발과 검색 엔진 최적화(SEO) 포이즈닝 같은 새로운 기술을 동원해 전 세계 기업들을 위협했습니다. 이번 공격은 국가 지원 해킹 그룹의 역량이 얼마나 빠르게 발전하고 있는지 보여주는 중요한 사례입니다.
### 배경 설명
님부스 맨티코어는 이란 혁명수비대(IRGC)와 연계된 것으로 알려진 고도로 정교한 사이버 위협 행위자입니다. 이들은 주로 국방, 항공, 통신 분야를 표적으로 삼아 이란의 전략적 목표를 지원하는 사이버 작전을 수행해왔습니다. 특히 2026년 2월 28일 미국이 이란을 상대로 시작한 군사 작전인 '에픽 퓨리(Operation Epic Fury)' 기간 동안, 님부스 맨티코어는 기존의 복잡한 악성코드 도구 세트에 더해 새로운 공격 기법들을 도입하며 그 역량을 한층 강화했습니다.
이번 공격에서 주목할 만한 점은 **인공지능 기반 악성코드 개발(AI-assisted malware development)**과 **검색 엔진 최적화 포이즈닝(SEO poisoning)**이라는 두 가지 신기술의 활용입니다. 인공지능 기반 악성코드 개발은 대규모 언어 모델(LLM)과 같은 AI 도구를 이용해 악성코드를 더 빠르고 효율적으로 만들고, 탐지를 회피하도록 끊임없이 변형시키는 기술을 의미합니다. SEO 포이즈닝은 검색 엔진의 순위 결정 알고리즘을 악용하여 악성 웹사이트를 검색 결과 상위에 노출시켜 사용자들이 가짜 사이트에 접속하도록 유도하는 기법입니다. 이러한 기술들은 사이버 공격의 난이도를 높이고 방어를 더욱 어렵게 만듭니다.
### AI와 SEO, 사이버 공격의 새로운 무기
님부스 맨티코어는 이번 작전에서 '미니패스트(MiniFast)'라는 새로운 백도어(backdoor) 악성코드를 선보였습니다. 이 미니패스트는 AI의 도움을 받아 개발된 것으로 추정되는데, 이는 악성코드가 더 빠르게 진화하고 다양한 환경에 맞춰 유연하게 변형될 수 있음을 시사합니다. AI는 과도한 오류 처리, 반복적인 함수명 패턴, 상세한 디버그 메시지 등 특정 코딩 패턴을 생성하는 데 기여한 것으로 분석됩니다. 또한, 이들은 악성코드 유포 수단으로 SEO 포이즈닝을 처음으로 사용했습니다. 가짜 SQL 개발자(SQL Developer) 다운로드 웹사이트를 만들어 수십 개의 도메인을 등록하고 키워드 스터핑(keyword stuffing)을 통해 검색 엔진 상위에 노출시켰습니다. 사용자가 합법적인 소프트웨어를 찾는 과정에서 악성 사이트에 접속하도록 유도하는 매우 교묘한 방식입니다.
### 교묘한 침투 전략: 위장과 은밀함
님부스 맨티코어는 표적을 속이기 위해 다양한 위장술을 사용했습니다. 가짜 채용 공고를 미끼로 한 피싱(phishing) 캠페인부터, 합법적인 화상 회의 소프트웨어인 Zoom의 설치 파일을 위장한 트로이 목마(Trojanized) 악성코드까지 동원했습니다. 특히, 이들은 **애플리케이션 도메인 하이재킹(AppDomain Hijacking)**이라는 기술을 이용해 합법적인 .NET 애플리케이션의 실행 흐름을 악용하여 악성 DLL(Dynamic Link Library)을 로드했습니다. 이는 시스템 활동에 자연스럽게 녹아들어 탐지를 어렵게 만듭니다. 또한, Zoom 설치 과정에서 생성되는 합법적인 예약 작업(scheduled task)을 가로채 악성코드를 실행하는 **작업 하이재킹(Task hijacking)** 기법을 사용해 지속성을 확보하는 등, 탐지를 회피하기 위한 고도의 은밀성을 보여주었습니다.
### 지정학적 목표와 확장되는 위협
님부스 맨티코어의 주요 표적은 유럽, 중동, 아프리카 지역의 국방, 항공, 통신, 소프트웨어 개발 분야 기업들이었습니다. 특히 이스라엘과 아랍에미리트(UAE)가 주요 대상이었으나, 이번 캠페인에서는 미국 항공 부문으로 표적을 확장한 것이 확인되었습니다. 이는 이란 혁명수비대의 광범위한 정보 수집 목표와 일치하며, 지정학적 긴장 상황이 사이버 공격의 범위와 강도를 증폭시키는 요인임을 보여줍니다. 가짜 채용 공고가 실제 항공사 직원을 노린 것처럼, 공격 미끼와 표적 산업 간의 명확한 연관성을 통해 전략적인 접근 방식을 엿볼 수 있습니다.
### 가치와 인사이트
이번 님부스 맨티코어의 활동은 국가 지원 사이버 위협 행위자들이 얼마나 빠르게 진화하고 있는지를 명확히 보여줍니다. AI와 SEO 포이즈닝 같은 신기술의 도입은 사이버 공격의 효율성과 은밀성을 극대화하며, 기존의 보안 방어 체계를 무력화할 수 있습니다. 이는 사이버 안보가 더 이상 기술적인 문제에만 국한되지 않고, 지정학적 갈등과 맞물려 국가 안보와 경제에 직접적인 영향을 미치는 핵심 요소가 되었음을 시사합니다. 기업과 개인 모두가 이러한 복합적인 위협에 대한 인식을 높이고, 더욱 정교한 방어 전략을 마련해야 할 시점입니다.
### 기술·메타
- 대규모 언어 모델(LLM)
- 그래픽 처리 장치(GPU)
- DLL(Dynamic Link Library)
- .NET 애플리케이션
- C2(Command and Control)
- JSON(JavaScript Object Notation)
- HTTP(Hypertext Transfer Protocol)
- PE DLL(Portable Executable Dynamic Link Library)
- UAC(User Account Control)
- PID(Process ID)
- SHA256(Secure Hash Algorithm 256)
### 향후 전망
님부스 맨티코어의 사례는 미래 사이버 보안 환경의 변화를 예고합니다. 첫째, **AI 기반 악성코드 개발**은 악성코드의 생성 및 변형 속도를 기하급수적으로 가속화하여, 시그니처 기반의 전통적인 보안 솔루션으로는 탐지하기 매우 어려워질 것입니다. 이는 제로데이(zero-day) 공격의 증가와 함께 보안 시스템의 예측 및 대응 능력을 시험하게 될 것입니다. 둘째, **SEO 포이즈닝**과 같은 사회 공학적 기법은 일반인들의 디지털 리터러시(digital literacy)를 더욱 중요하게 만들 것입니다. 검색 엔진 결과나 이메일의 신뢰도를 맹신하지 않고, 출처를 꼼꼼히 확인하는 습관이 필수적이 됩니다. 셋째, 국가 지원 해킹 그룹의 활동은 지정학적 긴장과 더욱 밀접하게 연동될 것입니다. 특정 국가나 산업을 대상으로 한 사이버 스파이 활동 및 파괴적 공격이 빈번해지면서, 기업들은 국가 안보 차원의 위협에 대한 대비를 강화해야 할 것입니다. 이는 국제적인 사이버 보안 협력과 규제 마련의 필요성을 더욱 부각시킬 것입니다.
📝 원문 및 참고
- Source: Techmeme
- Techmeme 리버: [techmeme.com](https://www.techmeme.com/260525/p15#a260525p15)
- 원문 기사: [링크 열기](https://research.checkpoint.com/2026/fast-and-furious-nimbus-manticore-operations-during-the-iranian-conflict/)
---
출처: Techmeme ([Original Article](https://research.checkpoint.com/2026/fast-and-furious-nimbus-manticore-operations-during-the-iranian-conflict/))
댓글 0
아직 댓글이 없습니다. 첫 댓글을 남겨 보세요.