항공 산업 흔들리나? 더블린과 아라비아에서 울린 경보

항공 산업이 다시 한 번 랜섬웨어에 당했다. 이번에는 더블린공항(Dublin Airport)과 에어아라비아(Air Arabia)다. 에베레스트(Everest)라고 알려진 랜섬웨어 그룹이 자신들의 정보 유출 사이트에 이 두 곳의 이름과 데이터를 업로드하면서 피해 사실이 밝혀졌다. 아직까지 데이터는 비공개로만 게시돼 있는데, 만약 더블린공항과 에어아라비아가 에베레스트의 거래에 응하지 않는다면 전체 공개로 전환될 수 있다. 

현재 피해 상황

더블린공항의 경우 150만 건 이상의 개인정보가 현재 에베레스트 측의 손에 넘어간 것으로 보인다. 어떤 승객이 언제 어떤 비행기를 타서 어디로 갔으며, 심지어 어느 자리에 앉았는지까지 조합이 가능하다고 한다. 아직 에베레스트 측의 일방적 주장이고, 항공사 측의 발표는 없지만, 공격자가 밝힌 내용이 꽤나 세부적이라 아직까지는 신빙성이 있다는 쪽에 무게가 실린다.

에베레스트가 자신들의 다크웹 페이지를 통해 현재 보유하고 있다고 주장하는 정보는 승객들의 이름, 항공편 날짜, 승객 ID, 좌석 번호, 항공편 번호, 출발 공항 코드, 도착 공항 코드, 패스트 트랙 또는 우선 탑승 여부, 좌석 등급, 출발일자, 마일리지 항공사와 번호, 등급, 탑승권 발급 항공사 코드, 무료 수하물 허용량 및 수하물 태그 번호, 탑승권 발급일과 유형, 체크인 출처 및 탑승권 발급 출처, 체크인에 사용된 장치 이름과 ID 등이다.

에어아라비아의 경우 1만 8천 명의 직원 개인정보를 빼앗긴 것으로 보인다. 더블린공항보다 규모가 작다고 할 수 있지만, 그렇다고 1만 8천명 개인정보가 절대적 소량은 아니다. 다만 에베레스트는 더블린공항 관련 게시글에서처럼 자신들이 보유한 데이터가 무엇인지는 상세히 공개하지 않았다. 다만 6일 동안 생각할 기한을 회사 측에 주겠다고만 고지하고 있다. 이는 더블린공항도 마찬가지다. 진전 없이 6일이 지나면 모든 데이터가 공개될 것이라고 한다.

항공 산업, 위험한가?

에베레스트는 최근에도 항공 산업을 공략한 적이 있다. 이번 달만 하더라도 콜린스에어로스페이스(Collins Aerospace)라는 우주항공 분야 기업을 침해한 것으로 알려져 있다. 문제는 이 콜린스에어로스페이스가 단순히 ‘한 개 기업’이 아니었다는 것이다. 여러 공항들에 체크인 관련 기술과 시스템을 제공하는 기업이다. 즉 이곳 하나만 당하면 여러 공항에서 한꺼번에 장애가 발생할 수 있다는 것.

실제 콜린스에어로스페이스 침해 사고가 이번 달 공개되기 전인 9월, 주요 유럽 공항들에서 난리가 난 적이 있었다. 런던 히드로, 브뤼셀, 베를린 등에서 비행 및 수하물 처리 시간이 지연되는 통에 수많은 승객들이 불편을 겪은 것이다. 이 사건은 유럽연합의 사이버 보안 전담 기관인 에니사(ENISA)에서도 공식 ‘랜섬웨어 사건’으로 명명하기도 했었다. 즉 에베레스트의 일방적 주장은 아니라는 의미다.

항공 산업을 공략하는 움직임을 보이기 전에도 에베레스트는 은근 주목 받는 조직이었다. 코카콜라나 메일침프(Mailchimp) 등 수많은 ‘대기업’들을 침해하는 데 성공했기 때문이다. 이들은 기업의 데이터베이스를 통해 여러 민감 정보 및 금융 정보를 훔쳐냈으며, 이를 가지고 피해자들과 협상하는 전략으로 수익을 창출했다. 이런 그들이 왜 갑자기 항공 산업에 집중하기 시작했는지는 아직 정확히 알 수 없다.

다만 랜섬웨어 조직이 한 산업을 통째로 겨냥했을 때에는 그럴 만한 이유가 있으며, 그것은 거의 항상 ‘보안이 취약하기 때문’이다. 랜섬웨어 공격자들은 ‘금전’을 목적으로 한 경우가 대다수이며, 금전을 목적으로 한 공격자들은 효율을 중시하기 때문에(즉 투자의 최소화) 쉬운 표적을 노리려 한다. 어려운 표적을 기어이 뚫어내고 마는 ‘성취’와는 거리가 멀다. 항공 업계가 지금 ‘노리기 쉬운 상태’일 가능성이 높다.

콜린스 사건의 연장선?

최근 사이버 사건들에서 나타나는 중요 트렌드 중 하나는 ‘연쇄 공격’이다. 기업들 사이에서 널리 사용되는 솔루션을 침해해, 여러 사용자 기업을 한꺼번에 공략하는 것인데, 이는 클롭(Cl0p)이라는 랜섬웨어 조직이 서서히 유행시키고 있는 현상이기도 하다. 클롭은 기업용 파일 전송 프로그램들을 다수 공략함으로써 여러 기업들의 데이터를 손쉽게 가져간 전적을 가지고 있다. 최근에는 세일즈포스(Salesforce)와 오라클 EBS가 일부 해킹 그룹의 공격 통로로서 활용돼, 지금까지도 관련 피해자가 하나 둘 발굴되는 상황이다.

에베레스트가 9월에 콜린스에어로스페이스를 침해했다는 것도 이런 맥락에서 의미심장하다. 콜린스가 공항 인프라를 제공하는, 공항사들의 서드파티 벤더사이기 때문이다. 심지어 에베레스트는 얼마 전 자신들의 사이트에 “9월 10일 콜린스에서 대량으로 데이터를 다운로드 했다”고 주장하며 “FTP 서버를 통해 접근해 항공사 운영과 승객 관련 문서들을 획득했음을 확인했다”고 주장하기도 했다. 

아직 더블링공항이나 에어아라비아가 콜린스의 고객사인지는 확인되지 않고 있다. 하지만 이 둘이 콜린스의 직접 고객이 아니라 하더라도, 당시 에베레스트가 가져간 데이터를 통해 적잖은 힌트를 얻어 추가 공격을 기획했을 가능성도 낮지 않다. 콜린스 침해 사건 이후 1개월 남짓한 시간에 여러 공항들에서 피해가 발생했는데, 그 중 더블린공항과 에어아라비아가 있는 게 우연일 수 없다는 게 현재까지 보안 전문가들의 중론이다. 다만 확정적 증거는 없다.

콜린스 사건과 이번 사건, 그리고 이후에 혹여 더 터질지 모르는 항공 산업 내 사건들이 연계돼 있다면, 이는 대규모 공급망 공격이 성립한 것이라 할 수 있다. 항공 산업 내 공급망이 상당히 취약하다는 게 알려진다면, 에베레스트 외 더 많은 공격자들이 뛰어들 가능성이 높다. 더블링공항과 에어아라비아 측에서는 아직 “유관 기관에 신고해 상황을 조사 및 모니터링 하고 있다”는 발표만 한 상황이다.

by 문가용 기자(anotherphase@thetechedge.ai)

Related Materials

• Everest Ransomware Says It Stole 1.5M Dublin Airport Passenger Records, HackRead, 2024년
• From Airport Chaos to Cyber Intrigue: Everest Gang Takes Credit for Collins Aerospace Breach, SecurityAffairs, 2024년
• Collins Aerospace Attack Claimed by Everest, Linking Ransomware Group to Europe Airports Disruption, CyberNews, 2024년
• Everest Ransomware Group – Threat Actor Profile (U.S. Dept of Health and Human Services, HC3), 2024년

[TE머묾] 세일즈포스 사건의 전말이 궁금하다

💡Editor’s Pick - 뭔가 커다란 사건이 일어난 것 같긴 한데... - 매체마다 조금씩 다른 정보 보도...무슨 일 있던 걸까? - 사건 전말 알 수 없는 사이, 공격자의 일방적 주장만 계속돼 콴타스항공의 고객 데이터가 공개됐다. 협상 기한이 지나자 항공사를 공격한 해커인 스캐터드랩서스헌터스(Scattered Lapsus$ Hunters)가 500만 명의 개인정보를 고스란히

The Tech Edge문가용 기자

오라클 EBS 사태의 두 번째 피해자는 엔보이에어

💡Editor’s Pick - 오라클 EBS 제로데이 공격, 점점 확대되는 듯 - 첫 번째 하버드에 이어 엔보이에어에서 피해 발견돼 - 클롭의 고효율 공격 전술, 아직까지 효과적 오라클 이비즈니스 스위트(Oracle E-Business Suite, EBS)와 관련된 해킹 사고의 피해자 중 하나가 밝혀졌다. 미국 아메리칸항공사 산하 운항사이자 텍사스의 지역 항공사인 엔보이에어(Envoy Air)

The Tech Edge문가용 기자