Security

컴캐스트 침해한 메두사, 거래 실패하자 800GB 데이터 공개

문가용 기자

Published: 12:15, 24 Oct 2025 (Updated: 10:42, 25 Nov 2025)

💡

Editor's Pick
- 9월말 컴캐스트 침해한 메두사, 834GB 데이터 탈취
- 120만 달러에 데이터 복구 약속...하지만 협상 실패한 듯
- 같은 가격에 판매 시도하기도...지금은 무료로 풀어

세계적인 미디어 기업인 컴캐스트(Comcast)가 랜섬웨어 때문에 위기를 맞았다. 메두사(Medusa)라고 알려진 해킹 조직이 컴캐스트의 내부 데이터를 공개했기 때문이다. 이 데이터는 186.36GB에 달한다. 압축된 형태로 제공되고 있는데, 이를 풀면 총 834GB가 될 것이라고 메두사는 주장하고 있다. 메두사는 9월 말에 컴캐스트 내부로 침투했다고 밝혔다.

이 대용량 데이터가 공개된 건 19일의 일이다. 처음에는 유료였다. 메두사가 다크웹에서 운영하는 데이터 유출 전용 웹사이트를 통해 데이터를 게시한 후 “다운로드 받으려면 120만 달러를 내야 한다”고 고지한 것이다. 이 120만 달러는 메두사가 원래 컴캐스트 쪽에 요구한 금액이기도 하다. 컴캐스트 쪽에서 충분한 돈만 낸다면 데이터를 조용히 삭제하겠다는 게 이들이 제시한 조건이었다. 지금은 판매조차 잘 되지 않았는지 무료로 공개하고 있다.

컴캐스트는 이번 사안과 관련해 아무런 발언도 하지 않고 있다. 그러므로 데이터를 직접 받아 분석하지 않는 이상 제3자가 메두사의 어떤 주장이 사실이며 과장됐는지 판단하기는 힘들다. 일부 보안 전문가들은 메두사가 처음 컴캐스트 침해를 주장하며 샘플 데이터를 공개했을 때 이를 다운로드 받아 분석했었다. 그리고 Esur_rerating_verification.xlsx(아마도 보험 관련 데이터)와 Claim Data Specifications.xlsm(아마도 다양한 청구 관련 데이터)과 같은 파일을 찾아냈다고 밝혔다. 그 외에도 파이선과 SQL 스크립트가 추출되기도 했었다. 세부 내용은 아직까지 밝혀진 바가 없다.

메두사는 어떤 그룹인가?
메두사는 굵직한 기업과 기관, 단체들을 노린 과거 사건들로 인해 크게 악명을 떨친 랜섬웨어 조직이다. 요 근래에는 나스카(NASCAR)가 이들에게 당했다. 그 외에도 메두사는 클롭(Cl0p)처럼 여러 기업들에서 사용하는 솔루션의 취약점을 익스플로잇 하는 전술도 구사한다. 이번 달만 해도 고애니웨어(GoAnywhere)라는 기업용 파일 전송 프로그램의 취약점인 CVE-2025-10035를 익스플로잇 하다가 적발됐다.

2021년부터 활동한 메두사는 처음부터 ‘서비스형 랜섬웨어(RaaS)’ 형태로 사업을 시작했다. 또한 당시에도 유행했던 이중협박 전략을 차용하고 있다. 즉 데이터를 암호화 하면서 외부로 빼돌려 피해자를 이중으로 압박한다는 것이다.

방어자 입장에서 중요한 건 메두사의 주력 전술이다. 이들은 자신들이 노리는 기업의 직원들을 주로 공략하는 것으로 알려져 있다. 피싱 메일이나 메시지로 직원 계정을 훔치는 건데, 이러한 방법으로 큰 결실을 맺지 못할 경우 RDP 등 공개 서비스의 취약점을 익스플로잇 한다. 침투 후에는 권한 상승 공격을 진행하여 횡적으로 이동한다. 이 과정에서 중요한 시스템들로부터 여러 데이터를 수집 후 외부로 빼돌린다. 자신들의 행적이 기록된 로그도 삭제한다.

그러므로 방어법은 ‘기본기’
메두사가 최근 이름을 날리고 있긴 해도, 공격법이나 전술이 특출난 건 아니다. 피싱에 낚이지 않고, 취약점 패치를 제때 하는 것만으로도 이들이 공격을 포기하게 만들 수 있다. 다만 이것은 수시로 수행해야 하는 예방책이고, 감염이 의심될 때 취해야 할 방법들은 따로 있다.

만약 메두사 감염이 의심되는 상황이라면 다음 조치를 권장한다.
1) 감염이 된 것으로 보이는 호스트와 계정을 즉시 격리한다
2) 백업 데이터가 무사한지 확인한다(온라인/오프라인 모두)
3) 로그를 수집해 포렌식용으로 보존한다
4) 다단계 인증을 강제로 활성화하여 횡적 이동을 막는다
5) 관리자 계정 비밀번호를 교체하고 수상한 세션은 강제로 종료한다
6) 유관 기관과 사법기관에 신고한다