- 약 10년간 운영된 Sniper Dz 피싱-as-a-서비스(PhaaS) 플랫폼이 인터폴 중심의 다국적 합동 수사 Operation Ramz를 통해 무력화되었다.
- 중동 및 북아프리카(MENA) 지역 13개국에서 약 5개월간 201명이 체포되었으며, 1차 관리자로 알려진 Guedz가 포함된 것으로 확인되었다.
- Group-IB가 위협 인텔리전스를 제공해 작전 성공에 기여했으며, 장기 PhaaS에 대한 글로벌 법 집행 대응 모델로 평가받는다.
Sniper Dz 해체는 단순한 단일 사건이 아니라 PhaaS 생태계 전체를 겨냥한 국제 공조 수사의 새로운 기준점으로 작용할 것으로 분석된다.
2026년 6월 12일자로 발표된 The Hacker News 보도에 따르면, 인터폴은 중동 및 북아프리카를 중심으로 약 10년간 활동해 온 피싱-as-a-서비스 플랫폼 Sniper Dz를 무력화하는 데 성공했다. 이번 Operation Ramz는 MENA 지역 13개국이 함께 참여한 합동 법 집행 작전으로, 5개월간의 수사 끝에 플랫폼 관리자와 다수의 이용자가 연쇄적으로 검거된 것으로 전해졌다.
Sniper Dz와 PhaaS 위협의 이해
피싱-as-a-서비스란 무엇인가
피싱-as-a-서비스(Phishing-as-a-Service, PhaaS)는 피싱 공격에 필요한 도구, 템플릿, 인프라, 대시보드까지 패키지 형태로 제공하는 범죄 모델을 의미한다. 공격자가 직접 키트(kit)를 개발하지 않더라도 구독형 또는 정액제 방식으로 손쉽게 피싱 캠페인을 운영할 수 있어, 기술력이 낮은 범죄자도 대규모 금융 사기를 저지를 수 있다는 점에서 전통적인 피싱보다 위협이 크다.
Sniper Dz의 10년 운영 배경과 서비스 구조
Sniper Dz는 2010년대 중반부터 활동한 것으로 알려진 PhaaS 플랫폼으로, 사용자 인증 기반의 관리자 패널과 정기 갱신되는 피싱 키트, 피해자 식별용 통계 기능을 제공한 것으로 보고되었다. 이러한 구성은 상업적 SaaS 서비스와 유사한 사용자 경험을 제공해 충성 고객층을 확보했다는 점에서, 단순 범죄 포털에 가까운 사업형 서비스로 평가된다.
Operation Ramz의 전개와 다국적 공조
13개국 합동 수사의 타임라인
Operation Ramz는 2025년 10월부터 2026년 2월 사이 약 5개월간 진행된 것으로 보고되었다. 2026년 6월 12일 발표 시점을 기준으로 실제 법 집행 활동은 이미 종료된 것으로 보이며, 수사 결과 검증과 정보 공개 절차가 순차적으로 진행된 것으로 보인다.
| 구분 | 내용 |
|---|---|
| 작전명 | Operation Ramz |
| 참여 국가 | MENA 지역 13개국 |
| 작전 기간 | 2025년 10월 ~ 2026년 2월 |
| 체포 인원 | 201명 |
| 핵심 체포 대상 | Guedz(Sniper Dz 1차 관리자) |
| 위협 인텔리전스 제공 | Group-IB |
Group-IB의 위협 인텔리전스 역할
이번 작전에서 Group-IB는 다국적 수사단에 Sniper Dz의 인프라 정보, 관리자 활동 패턴, 결제 흐름 등 위협 인텔리전스를 제공한 것으로 확인되었다. 사설 분석 기업과 국제 법 집행 기관이 실시간으로 데이터를 공유하는 방식은, 장기간 은폐된 PhaaS를 추적하는 데 결정적인 역할을 한 것으로 평가된다.
핵심 인물 Guedz 체포의 의미
관리자 체포가 플랫폼 생태계에 미치는 영향
1차 관리자 Guedz의 체포는 단순한 개인 검거를 넘어 Sniper Dz의 운영 거점 자체를 무력화시키는 의미가 있다. PhaaS는 단일 공격자보다 관리자-중개자-최종 사용자라는 다층 구조를 형성하기 때문에, 상위 운영자가 제거될 경우 하위 이용자도 자금 흐름과 키트 배포 경로가 차단되어 자연스럽게 연쇄 무력화될 가능성이 커진다.
피싱 서비스 연쇄 해체 가능성
인터폴 측의 통상적인 수사 절차에 따르면, Guedz 확보 이후 통신 기록과 자금 흐름 분석을 통해 산하 운영자 및 자금 제공자까지 확대 조사될 가능성이 있다. 이러한 연쇄 효과는 Sniper Dz 외에도 유사 PhaaS 서비스에 대한 예방적 억제력으로 작용할 것으로 분석된다.
국내 보안 업계에 대한 시사점
한국 사용자의 피싱 노출 경로 점검
Sniper Dz는 MENA 지역 중심 플랫폼으로 확인되며, 공개된 자료 기준으로 한국 금융 및 공공기관을 대상으로 한 직접적 대규모 피해 사례는 확인되지 않는다. 다만 PhaaS의 글로벌 임대 구조상 한국 사용자에게도 표적화된 피싱이 시도될 가능성을 배제할 수 없으므로, 금융·공공기관 및 일반 사용자는 인증서 재발급, 세금 환급, 택배 조회 등 사칭형 메세지에 대한 경계 수준을 상시 점검할 필요가 있다.
PhaaS 시대의 탐지 및 예방 전략
이번 사례는 PhaaS 대응에 있어 국제 공조와 민간 위협 인텔리전스 협업의 효과를 보여주는 사례다. 한국 기업과 보안 조직도 단일 국가 내 탐지에 머무르지 않고, 글로벌 위협 인텔리전스 공유 채널에 적극 참여하고, 피싱 키트 시그니처와 도메인 패턴을 자사 탐지 체계에 반영하는 등의 대응이 요구된다.
핵심 정리
- Operation Ramz는 PhaaS에 대한 다국적 법 집행의 새로운 모델을 제시한 사례로 평가된다.
- Group-IB의 위협 인텔리전스는 장기간 운영된 PhaaS 추적에 핵심적인 역할을 수행했다.
- Guedz 체포는 관리자 중심 PhaaS 생태계의 연쇄 해체로 이어질 가능성을 시사한다.
- 한국은 직접 피해가 확인되지 않았으나 PhaaS 글로벌 임대 구조를 감안한 예방적 경계가 필요하다.