@minhyuc

FBI Warns of Scattered Spider's Expanding Attacks on Airlines Using Social Engineering

11 min read

Reference

The Hacker News

Contents

Figure 1

새로운 표적이 된 항공 산업

최근 미국 연방수사국(FBI)은 악명 높은 사이버 범죄 그룹 ‘Scattered Spider’가 공격 범위를 항공 산업으로까지 넓히고 있다는 중대한 사실을 발표했다. 이는 단순한 공격 대상의 확대를 넘어, 사회 기반 시설에 대한 직접적인 위협 가능성을 시사하는 것으로, FBI는 관련 업계 파트너들과 긴밀히 협력하여 대응에 나서고 있다고 밝혔다.

1. 핵심 공격 전술: 소셜 엔지니어링

‘Scattered Spider’의 가장 무서운 무기는 최첨단 해킹 기술이 아니라, 인간의 심리와 신뢰를 교묘하게 파고드는 소셜 엔지니어링(Social Engineering)이다.

  • IT 헬프데스크 무력화: 이들은 주로 기업 내부 직원이나 계약직원을 사칭하여 IT 헬프데스크에 전화하는 방식을 사용한다. 설득력 있는 연기로 긴급한 상황을 연출하여, 헬프데스크 직원이 의심 없이 접근 권한을 부여하도록 유도한다.

  • 다중 인증(MFA) 우회: 강력한 보안 장치로 여겨지는 다중 인증(MFA)도 이들에게는 걸림돌이 되지 않는다. 이들은 헬프데스크 직원을 설득하여 해킹하려는 계정에 공격자 소유의 기기를 새로운 인증 장치로 등록시킨다. 이로써 정상적인 MFA 절차를 완벽하게 우회하고 계정의 완전한 통제권을 확보한다.

  • 보안 전문가들의 경고: Palo Alto Networks, Mandiant 등 세계적인 보안 기업들은 이들의 항공 및 운송 산업 공격을 확인하며 최고 수준의 경계 태세 를 촉구했다. 특히 Mandiant는 “헬프데스크의 신원 확인 절차를 즉시 강화해야 한다”고 강조하며, 비밀번호 재설정이나 MFA 기기 추가 요청 시 더욱 엄격한 검증 프로세스를 적용할 것을 권고했다.

2. Scattered Spider가 위협적인 이유

이 그룹이 특별히 위험한 이유는 여러 정교한 능력을 결합한 하이브리드 위협이라는 점에 있다.

  • 치밀한 사전 준비와 빠른 실행력: 이들은 공격 전 소셜 미디어나 공개된 데이터 유출 정보를 통해 목표 대상에 대한 정보를 철저히 수집한다. 이렇게 확보한 개인 정보(e.g., 생년월일, SSN 일부, etc.)를 이용해 매우 정확하게 신분을 위장한다. 일단 침투에 성공하면, 불과 몇 시간 만에 내부 시스템을 장악하고, 데이터 유출, 복구 시스템 비활성화, 랜섬웨어 배포 까지 일사천리로 진행한다.

  • 조직의 특성: Scattered Spider는 LAPSUS$와 같은 다른 해킹 그룹도 속해 있는 The Com이라는 거대하고 비정형적인 연합체의 일부이다. Telegram, Discord 같은 플랫폼을 통해 점조직처럼 연결되어 있어 실체를 파악하거나 일망타진하기가 매우 어렵다.

  • 공격의 진화: 보안 기업 Halcyon은 이들을 “랜섬웨어 위협의 중대한 진화” 라고 평가했다. 과거의 단순 SIM swapping 공격에서 벗어나, 이제는 클라우드와 온프레미스 환경을 동시에 마비시킬 수 있는 복합적인 공격 역량을 갖추게 되었다.

3. 실제 공격 사례 심층 분석 (ReliaQuest 보고서)

보안 기업 ReliaQuest가 공개한 보고서는 이들의 공격이 얼마나 치밀하고 파괴적인지를 명확하게 보여준다.

  1. 표적 선정: 한 기업의 최고재무책임자(CFO)를 표적으로 삼았다. CFO 계정은 접근 권한이 매우 높고, 관련 IT 요청은 긴급하게 처리되는 경향이 있어 소셜 엔지니어링의 성공률이 높다는 점을 노렸다.

  2. 침투 과정: 사전 조사로 알아낸 CFO의 생년월일과 SSN(사회보장번호) 마지막 4자리를 이용해 헬프데스크에 전화, 성공적으로 CFO의 계정 접근 정보를 초기화하고 MFA 장치를 변경했다.

  3. 침투 후 활동 (Tug-of-War)

    • 권한 상승: CFO 계정으로 침투한 뒤, Entra ID(구 Azure AD) 내 다른 관리자 계정과 그룹을 정찰하며 더 높은 권한을 확보했다.
    • 정보 탈취: SharePoint에서 민감 파일을 뒤지고, VMware 가상 환경에 침투하여 회사의 IT 아키텍처를 파악했다. 심지어 운영 중이던 도메인 컨트롤러를 종료하고 NTDS.dit(Active Directory 데이터베이스) 파일을 통째로 훔쳤다.
    • 비밀번호 장악: CyberArk와 같은 통합 비밀번호 관리 시스템을 해킹하여 1,400개 이상의 비밀번호를 탈취, 사실상 회사 내부 시스템 전체에 접근할 수 있게 되었다.

  4. 초토화(Scorched-Earth) 전략

    • 기업의 보안팀이 이들의 존재를 탐지하고 대응에 나서자, 이들은 은밀한 활동을 멈추고 속도 우선의 파괴적인 전략으로 전환했다.
    • 정상적인 비즈니스 운영을 방해하기 위해 의도적으로 Azure 방화벽 정책과 규칙 그룹을 삭제했다.
    • Entra ID의 전역 관리자(Global Administrator) 권한을 두고 보안팀과 공격자 간에 치열한 주도권 다툼(Tug-of-war)이 벌어졌으며, 결국 마이크로소프트가 직접 개입하여 간신히 통제권을 회복할 수 있었다.

4. 결론 및 핵심 대응 방안

Scattered Spider 의 사례는 현대 사이버 위협의 본질이 어디에 있는지를 명확히 보여준다.

핵심적인 취약점은 기술이 아닌 ‘사람 중심의 신원 확인 절차’에 있다. 이들은 신뢰를 무기 삼아 견고한 기술적 방어 체계를 우회했다. 따라서 이에 대한 가장 효과적인 대응은 새로운 보안 솔루션을 구매하는 것을 넘어, 다음과 같은 근본적인 프로세스를 강화하는 것이다.

  • 내부 프로세스 강화: 특히 IT 헬프데스크의 계정 복구, 비밀번호 재설정, MFA 기기 변경 요청 시, 다단계에 걸친 엄격한 신원 확인 절차 를 의무화해야 한다.

  • 실질적인 직원 교육: 모든 직원을 대상으로 실제 공격 사례와 유사한 시나리오를 바탕으로 한 모의 훈련을 정기적으로 실시하여, 소셜 엔지니어링 공격에 대한 경각심과 대응 능력을 높여야 한다.

Discussion

Scattered Spider의 활동은 사이버 위협의 전장이 순수한 기술 시스템에서 이를 운영하는 ‘인간’으로 결정적으로 이동했음을 보여주는 중대한 패러다임의 전환을 의미한다. 이들은 단순히 다중 인증(MFA) 같은 기술적 방어를 무력화하는 것을 넘어, IT 헬프데스크라는 인간 중심의 workflow 자체를 공격 경로로 활용하여 신뢰를 무너뜨린다. 치밀한 사전 정보 수집을 통해 CFO 등 고위직을 사칭하고, 일단 침투하면 클라우드 인프라 파괴와 핵심 DB 탈취 등 신속하고 파괴적인 기술 공격을 감행하는 이들의 하이브리드 방식은, 기술적 방어벽만으로는 더 이상 안전을 보장할 수 없다는 현실을 보여준다. 결국, 이 위협에 대응하기 위해서는 새로운 보안 솔루션 도입에 앞서, 신원 확인과 계정 복구 같은 가장 basic한 내부 프로세스를 단순한 행정 절차가 아닌 최전선의 보안 통제 지점으로 재정의하고, 이에 대한 전사적인 인식과 검증을 강화하는 근본적인 변화가 필요하다.

Graph View