Security

스캐터드스파이더, 보안 체질 바꾸지 않으면 못 막아

문가용 기자

30 Jul 2025 — 7 min read

💡

Editor's Pick
- 구글, 스캐터드스파이더라는 해킹 그룹의 전략 파헤쳐
- 전화 이용한 사회 공학적 공격을 두 번이나 실행
- 하이퍼바이저 단에서 공격 실행...기존 보안 제품 무력화

구글이 스캐터드스파이더(Scattered Spider)라는 해킹 그룹의 위험한 공격 전략을 상세히 분석해 발표했다. 스캐터드스파이더는 보안 업체에 따라 옥타푸스(0ktapus)나 UNC3944라 불리기도 한다. 도소매 업체들은 물론 항공사, 보험사 등에도 피해를 끼치고 있는, 악명 높은 사이버 범죄 조직이다. 몇 년 전 MGM리조트(MGM Resort) 등 대형 업체들을 공격한 일로 미국과 영국의 사법 기관의 추적을 받았고, 일부 인원들이 체포되기까지 했지만 여전히 활동 중이다.

구글에 따르면 스캐터드스파이더는 먼저 피해자 액티브 디렉토리 계정을 탈취한 후 VM웨어 브이스피어(vSphere) 환경 전체를 장악한다고 한다. 그런 다음 민감한 데이터를 훔쳐내거나 하이퍼바이저에서 직접 랜섬웨어를 배포하기도 한다. “위험한 방법입니다. 엔드포인트 탐지 등의 기능을 가진 기존 보안 도구들은 하이퍼바이저 기반 환경에 대한 가시성이 부족하기 때문입니다. 보편적인 보안 도구들의 허점을 잘 노린 거라고 할 수 있습니다.” 구글의 설명이다.

공격 시나리오는 순서대로 다음과 같다.

1) 공격자는 일반 직원인 척 IT 지원팀에 전화를 건다.

2) 이 때 여러 개인정보 및 공개된 정보를 활용해 IT 지원팀을 속인다.

3) 이를 바탕으로 액티브 디렉토리 비밀번호 재설정을 유도한다.

4) IT 담당자가 속으면 공격자는 권한이 낮은 상태에서 시스템에 접근할 수 있게 된다.

5) 이를 바탕으로 공격자는 피해자 네트워크 내부를 정찰한다.

6) 정찰의 목적은 권한이 높은 계정을 찾는 것이다.

7) 그 다음 다시 전화를 걸어 높은 사람인 척 하여 권한이 많은 계정을 탈취한다.

이는 대부분 기업 내 IT 지원팀이 가지고 있는 ‘신원 확인 절차의 부실함’을 악용한 것이라고 구글은 분석했다. “또한 전화를 두 번 걸 생각을 했다는 것도 매우 영리합니다. 보통은 전화를 한 번 걸어서 모든 걸 해결하려 하는 게 보통이거든요. 자신들이 할 수 있는 일을 단계별로 차근차근 늘렸다는 게 경악스럽습니다.”

많은 권한을 가진 계정을 탈취한 공격자는 곧바로 브이센터 서버(vCenter Server)를 침해하여 가상 물리 접근 권한을 얻어간다. 그런 후 시스템 부트로더를 조작하여 루트 권한까지 가져가고, SSH를 활성화 한 뒤 텔레포트(Teleport)라는 오픈소스 도구를 설치한다. 텔레포트는 대부분 방화벽을 우회하는 특성을 가지고 있어 악용 가능성이 높은 도구다. “이를 바탕으로 공격자는 ESXi 호스트에서 SSH를 활성화 하고 비밀번호를 재설정할 수 있게 됩니다. 그러면 도메인 컨트롤러 같은 중요 가상기계도 공격할 수 있게 되죠.”

이 모든 작업이 하이퍼바이저 계층에서 이뤄진다는 게 핵심이다. 가상기계 내 보안 에이전트가 탐지할 수 없다는 의미다. “그렇기 때문에 랜섬웨어 배포 등의 악성 행위도 자유롭게 할 수 있게 됩니다. 이들은 백업 인프라를 파괴하여 복구도 방해하고, 작업과 저장소를 삭제합니다. 그 다음 가상기계도 종료시키고, 하이퍼바이저에서 직접 파일을 암호화 합니다. 아주 철저하게 피해자 시스템을 망가트리는 겁니다.”

어떻게 방어해야 할까? 구글은 엔드포인트 탐지에 대한 의존도를 낮춰야 한다고 강조한다. “네트워크 중심의 선제적 방어 전략으로 체질 개선을 이뤄내야 합니다. 근본적으로 보안 접근법 자체를 변경시켜야 한다는 뜻이죠. 스캐터드스파이더는 대단히 빠르게 움직이는 그룹입니다. 단 몇 시간 안에 저 모든 작업들을 다 마치는 것도 가능해요. 최초 침투부터 이행되는 모든 악성 행위들이 쉽게 진행되지 않도록 보안의 층을 충실히 쌓는 게 중요합니다.”