Security

랜섬웨어 그룹 메두사, 대형 통신사 컴캐스트 침해

문가용 기자

Published: 16:18, 29 Sep 2025 (Updated: 12:43, 05 Oct 2025)

💡

Editor's Pick
- 랜섬웨어 메두사, 컴캐스트 침해 주장
- 컴캐스트는 아직 묵묵부답에 침묵
- 각종 금융 및 보험 관련 내부 정보 유출된 듯

악명 높은 랜섬웨어 그룹 메두사(Medusa)가 대형 통신 및 엔터테인먼트 기업인 컴캐스트(Comcast)를 공략하는 데 성공한 것으로 보인다. 메두사가 다크웹에 마련된 자신들의 사이트를 통해 주장한 바에 따르면 이들은 컴캐스트로부터 834.4GB의 데이터를 훔쳐냈으며, 120만 달러에 이를 구매하고 싶어하는 자가 있다고 한다.

메두사는 아직 이 거래를 진행하지 않았다고 한다. 컴캐스트 측에 기회를 주기 위해서다. “우리는 컴캐스트에 이러한 사실을 알렸고, 같은 돈을 낸다면 데이터를 팔지 않고 삭제할 예정”이라고 밝히기도 했다. 컴캐스트는 아직 이렇다 할 움직임이나 입장 발표를 하지 않고 있다.

메두사는 위와 같은 주장 외에도 20장 정도의 스크린샷을 같이 게시했다. 자신들이 훔친 파일이 컴캐스트 내부에서 사용되는 것이라는 걸 보여주기 위함이었다. 스크린샷 외에 파일 이름만으로 된 목록도 같이 공개했다. 이 목록은 메두사가 훔쳐낸 파일들이 총망라 되어 있는데, 전부 16만 개가 넘는다. 파일 이름만 보면 각종 금융 정보와 제품 및 서비스 관리 데이터, 고객 클레임 관련 보고서 등이 포함돼 있는 것으로 추정된다.

컴캐스트의 과거 보안 사건
다양한 TV 네트워크와 영화 스튜디오, 스트리밍 플랫폼을 보유하고 있는 회사 컴캐스트는 큰 보안 사고에 연루된 적이 거의 없다. 20만 이상 사용자 크리덴셜이 2015년에 다크웹에서 발견된 사례가 있는 정도다. 그나마도 해커가 컴캐스트를 직접 침투해 가져간 게 아니라, 다른 보안 사고 관련 데이터베이스에서 갈무리했다는 주장이 나오기도 했다.

💡

여기서 잠깐!
데이터 유출 사고를 통해 세상에 공개된 정보들이 항상 보기 좋게 편집된 상태로 유통되는 건 아니다. 형식도, 내용도, 가지각색이다. 중복 자료도 많다. 그래서 데이터가 대량으로 유출된다 하더라도 어떤 정보가 어떤 규모로 포함돼 있는지 곧바로 파악되지 않으며, 분석과 정제 과정을 거쳐야 어떤 회사나 기관이 어느 정도의 피해를 입었다는 게 집계된다. 이런 정제 과정을 거치기 전 날 것의 데이터(raw data)들만 봐서는 과거 유출 사고에서 나온 건지 얼마 전 사고에서 나온 건지 금방 알 수 없다. 적잖은 다크웹 장사꾼들은 이 점을 노리고 각종 데이터들을 끌어모아 마치 새롭게 유출된 데이터인 것처럼 광고해 판매하기도 한다. 2015년 컴캐스트 사건이 그런 사례 중 하나다.

메두사는 전형적인 랜섬웨어 전략을 구사하는 조직이다. 즉, 데이터를 암호화 해서 사용하지 못하게 한 후 피해자로부터 돈을 요구하고, 여기에 응하지 않을 경우 그 데이터를 세상에 공개하거나 구매자에게 판매한다며 다시 한 번 협박한다. 현재까지 메두사가 공개한 데이터만 보면 이들은 컴캐스트 내 중요한 금융 및 보험 자료를 가져간 것으로 보인다. 즉 컴캐스트로서 누군가 가져가거나 열람하면 곤란할 데이터라는 의미다.

메두사의 과거 사례
이중으로 협박하는 메두사는 컴캐스트가 두 가지 조건에 응하지 않을 경우 어떻게 할까? 과거 사례를 봤을 때 자신들이 가져간 데이터를 조금씩 공개할 것으로 예상된다. 834GB 중 일부만 선공개하는 것으로, 그게 어느 정도나 될지는 알 수 없다. 다만 이렇게 조금씩 데이터를 공개하면서 압박 수위를 높일 경우, 컴캐스트로부터 요구한 금액도 같이 오를 가능성이 높다. 금액을 높이는 것 역시 심리적 압박을 가중시키기 때문이다.

올해 4월 메두사는 유명 자동차 경주 리그인 나스카(NASCAR)를 침해한 적이 있었다. 이러한 사실을 최초 공개했을 때 메두사는 400만 달러의 돈을 요구했었다. 하지만 나스카는 응하지 않았다. 메두사는 데이터를 공개하겠다고 재차 협박했고, 나스카는 여전히 이를 거절했다. 당시 나스카는 이 사건에 대해 침묵하기도 했었다.

나스카가 공식적으로 데이터 침해 사실을 인정한 건 7월의 일이었다. 하지만 범인들과의 협상은 여전히 하지 않고 있었고, 메두사는 자신들이 가지고 있던 데이터를 조금씩 공개했다. 나스카나 범인들이나, 요구 내용 등의협상 세부 과정을 공개하지 않았기 때문에 최초 400만 달러였던 금액이 올랐다거나 내렸다는 소식은 나오지 않았다.

이번 컴캐스트 사건도, 컴캐스트가 침묵을 지키고 있다는 면에서 나스카 사건과 비슷하다. 물론 나스카의 침묵은 3개월 유지됐고, 컴캐스트는 아직 일주일도 지나지 않았다는 차이가 있긴 하다. 각종 재무 정보가 포함돼 있어 컴캐스트는 이번 사안을 사법 기관 외에도 여러 유관 기관에 보고해야 할 것으로 보이며, 이 과정에서 공개 발표를 겸할 수도 있다. 나스카의 경우 재무 정보가 공개되지는 않았었다.