샤이니헌터즈와 스캐터드스파이더, 손 잡았나?
- 두 유명 해킹 조직, 협력하는 듯
- 상호보완적 스킬셋 보유, 파괴력 막강할 것
- 아직 확인된 내용 아니지만, 보안 전문가들 다수가 수긍
사이버 범죄 집단 샤이니헌터즈(ShinyHunters)와 스캐터드스파이더(Scattered Spider)가 손을 잡은 것 같다는 조사 결과가 나오고 있다. 이들은 연합하여 세일즈포스(Salesforce) 고객들을 집중해서 노리는 것으로 보인다. 보안 업체 렐리아퀘스트(ReliaQuest)가 이와 관련한 보고서를 발표했다.
자꾸만 드러나는 정황 증거들
제일 먼저 포착된 건 “샤이니헌터즈가 세일즈포스 사용자들을 공격해 크리덴셜을 탈취하려 한다”는 것이었다. 그런데 조사를 이어가다 보니 조금 헷갈리기 시작했다. 전에 샤이니헌터즈사 사용하지 않았던 전술의 흔적을 발견한 것이었다. 그 전술은 과거 스캐터드스파이더가 사용하던 것과 상당히 비슷했다고 한다.
“고도로 표적화 된 비싱 및 소셜엔지니어링 공격, 악성 앱인데 합법적인 도구로 위장하는 전술, 옥타(Okta)를 테마로 한 피싱 페이지 사용, VPN 난독화 기법 활용 등이 기존 스캐터드스파이더의 수법입니다. 샤이니헌터즈는 취약점 익스플로잇이나 크리덴셜 스터핑을 위주로 활동해 온 그룹입니다.” 렐리아퀘스트 측의 설명이다.
또, 2025년에 등록된 700개 이상의 피싱 도메인 중 스캐터드스파이더가 선보였던 공격 패턴과 일치하는 도메인을 분석한 결과 금융 회사를 겨냥한 페이지가 12% 증가, 기술 기업을 겨냥한 페이지가 5% 감소했다는 사실도 렐리아퀘스트 측에서 알아냈다. “이 역시 스캐터드스파이더의 성향과 좀 더 맞아들어 갑니다. 스캐터드스파이더는 금융 쪽을 자주 노리거든요. 샤이니헌터즈는 각종 기술 기업들을 겨냥해서 유명세를 탔고요.” 이 때문에 금융 산업에 추가 피해가 있을 수 있다고 렐리아퀘스트는 경고했다.
샤이니헌터즈는 다크웹의 레이드포럼즈(RaidForums)와 브리치포럼즈(BreachForums) 등에서 왕성한 활동력을 보이는 조직이다. 심지어 이런 포럼들에서 관리자에 준하는 권한을 가지고 있는 것으로도 알려져 있다. 하지만 확실한 건 아니다. 얼마 전 프랑스 사법당국이 브리치포럼즈 운영자 4명을 체포했다고 발표하며 샤이니헌터즈 일원도 포함됐다고 했는데, 샤이니헌터즈는 이를 부정한 바 있다.
다른 보안 전문가들 역시 브리치포럼즈에 스파이더헌터즈(Sp1d3rHunters)라는 이름의 사용자가 등장했다는 것과, 샤이니헌터즈와 스캐터드스파이더 사이에 겹치는 도메인 패턴이 나타나기 시작했다는 것을 근거로 둘의 협력이 시작됐다고 주장했다. “스파이더헌터즈 계정의 경우 작년 5월에 생성됐는데, 만약 이 계정이 정말로 두 조직의 협력 관계를 나타내는 거라면 둘은 1년 넘게 손 잡고 활동해 왔다고 할 수 있습니다.”
방어에 있어 어떤 의미 갖는가
두 그룹이 정말로 손을 잡았다면 방어하는 입장에서 어떤 의미를 갖는 걸까? 중대 사안이라고 렐리아퀘스트는 설명한다. 둘의 공격 능력이 상호보완적이기 때문이다. 게다가 서로 노리는 표적들이 조금씩 달라, 이들은 오히려 더 큰 수익을 거둘 수도 있다.
“샤이니헌터즈의 경우 대량의 데이터를 탈취하는 데 일가견이 있습니다. 그리고 그 데이터를 영악하게 활용할 줄도 알죠. 다크웹에서 제법 유명하며, 영향력도 있는 편입니다. 반면 스캐터드스파이더는 소셜엔지니어링 공격 전문가들입니다. 다양한 기법을 활용하여 피해자를 속입니다. 다중인증도 잘 우회하고, 많은 기업들이 사용하는 IT 플랫폼을 잘 침투합니다. 이 둘을 합하면 어떻게 될까요? 스캐터드스파이더가 대형 기업들에 침투하여 샤이니헌터즈가 데이터를 가지고 나와 현금화할 수 있습니다. 이 과정이 대단히 효과적으로 진행될 겁니다.”
서로가 서로에게 배울 수 있다는 것도 큰 위협이다. 다크웹의 범죄 포럼이라는 존재가 위험한 건, 거기서 많은 사이버 공격자들이 육성되기 때문이다. 많은 해커들이 돈을 벌기 위해서 공격 노하우를 매뉴얼로 정리해 판매하기도 하며, 이런 자료들은 인기리에 판매된다. 사이버 공격자들 간 파트너십을 통해서도 학습이 이뤄진다. 한 마디로 ‘상향평준화’가 이뤄지는 건데, 이 때문에 수년 전에는 소수의 고급 해커들만 발휘할 줄 알던 기술들이 일반화 되기도 했다.
공격자들이 상향평준화 되면 사이버 공격의 질과 양이 빠르게 확대된다. 랜섬웨어가 대표적인 사례다. 일종의 사이버 공격 기법에 불과했던 것이 단 몇 년 만에 하나의 산업으로 성장하면서 현재 랜섬웨어 사건은 빈도가 높아지는 중이다.
해커들 간 협력 체계, 빈번해질까?
하지만 해커 조직 간 협력이 다크웹에서 불길처럼 번질 걱정은 하지 않아도 된다는 게 보안 전문가들 사이에 중론이다. 왜냐하면 범죄자와 범죄자가 온라인에서 약속에 의존한 관계를 맺는 것이기 때문에 서로를 신뢰하는 게 쉽지 않기 때문이다. 실제로 다크웹에서 가장 많이 사기를 당하는 건 다름 아닌 사이버 범죄자들이라는 연구 결과도 존재할 정도다. 사기꾼들은 같은 다크웹 포럼에서 활동하는 멤버라고 해서 공격 대상에서 제외시키지 않는다.
같은 조직 내에 있더라도 국적이나 정치적 성향의 차이 때문에 갈라지는 사례도 빈번하다. 콘티(Conti)라는 랜섬웨어가 대표적이다. 이들은 러시아인과 우크라이나인으로 구성된 범죄 조직이었는데, 러우 전쟁 발발 후 순식간에 갈라졌다. 그러면서 콘티 내부 정보가 같이 공개되기도 했었다.
하지만 자기들끼리 싸운다며, 마냥 안심할 수는 없다. 협력의 사례들이 하나 둘 등장하고 있으며, 신뢰를 대신할 장치들이 자생적으로 마련되고 있기 때문이다. 최근 다크웹 포럼 운영자들은 회원이 회원을 상대로 사기치지 못하게 적지 않은 보증금을 받고 있다. 특정 회원이 다른 회원을 저격하여 사기의 근거 자료를 제출할 경우, 이 보증금을 피해자에게 주는 방식이다.
명성 시스템도 작동한다. 판매자나 구매자마다 명성 점수를 주기 때문에 거래하려는 자가 이를 보고 상대를 선택할 수 있다. 초대를 기반으로 한 비밀 포럼들도 상당 수 존재하는데, 여기에 들어가려면 꽤나 높은 실적과 명성을 쌓아야만 한다. 이런 제도들이 정착하면 범죄 조직 간 활발한 협력이 시작되는 것도 가능하며, 그럴 경우 공격의 속도와 규모는 걷잡을 수 없이 커질 수 있다.
Related Materials
- Researchers firm up ShinyHunters, Scattered Spider link - ComputerWeekly: 협력 혹은 동일 조직설, 인프라·전술·포럼 행적 등 신증거 분석(2024–2025년 주요 사건), 2025년
- ShinyHunters Targets Salesforce Amid Clues of Scattered Spider Collaboration - ReliaQuest: 도메인·포럼·피싱 캠페인 조사를 통한 협력 가능성 분석, Sp1d3rhunters 논란, 2025년
- Cybercrime Groups ShinyHunters, Scattered Spider Join in High-Profile Salesforce Attacks - The Hacker News: 합동 피싱·랜섬 캠페인, 신생 포럼·인프라 공유, 연구자 경고, 2025년
- ShinyHunters Tactics Now Mirror Scattered Spider - Dark Reading: 두 조직의 전술/표적 동기화, 동시기 동일 타깃을 노린 공격 패턴 소개, 2025년
CheifEditor
CheifEditor
