스캐터드스파이더, 보안 체질 바꾸지 않으면 못 막아

구글이 스캐터드스파이더(Scattered Spider)라는 해킹 그룹의 위험한 공격 전략을 상세히 분석해 발표했다. 스캐터드스파이더는 보안 업체에 따라 옥타푸스(0ktapus)나 UNC3944라 불리기도 한다. 도소매 업체들은 물론 항공사, 보험사 등에도 피해를 끼치고 있는, 악명 높은 사이버 범죄 조직이다. 몇 년 전 MGM리조트(MGM Resort) 등 대형 업체들을 공격한 일로 미국과 영국의 사법 기관의 추적을 받았고, 일부 인원들이 체포되기까지 했지만 여전히 활동 중이다.

구글에 따르면 스캐터드스파이더는 먼저 피해자 액티브 디렉토리 계정을 탈취한 후 VM웨어 브이스피어(vSphere) 환경 전체를 장악한다고 한다. 그런 다음 민감한 데이터를 훔쳐내거나 하이퍼바이저에서 직접 랜섬웨어를 배포하기도 한다. “위험한 방법입니다. 엔드포인트 탐지 등의 기능을 가진 기존 보안 도구들은 하이퍼바이저 기반 환경에 대한 가시성이 부족하기 때문입니다. 보편적인 보안 도구들의 허점을 잘 노린 거라고 할 수 있습니다.” 구글의 설명이다.

공격 시나리오는 순서대로 다음과 같다.

1) 공격자는 일반 직원인 척 IT 지원팀에 전화를 건다.

2) 이 때 여러 개인정보 및 공개된 정보를 활용해 IT 지원팀을 속인다.

3) 이를 바탕으로 액티브 디렉토리 비밀번호 재설정을 유도한다.

4) IT 담당자가 속으면 공격자는 권한이 낮은 상태에서 시스템에 접근할 수 있게 된다.

5) 이를 바탕으로 공격자는 피해자 네트워크 내부를 정찰한다.

6) 정찰의 목적은 권한이 높은 계정을 찾는 것이다.

7) 그 다음 다시 전화를 걸어 높은 사람인 척 하여 권한이 많은 계정을 탈취한다.

이는 대부분 기업 내 IT 지원팀이 가지고 있는 ‘신원 확인 절차의 부실함’을 악용한 것이라고 구글은 분석했다. “또한 전화를 두 번 걸 생각을 했다는 것도 매우 영리합니다. 보통은 전화를 한 번 걸어서 모든 걸 해결하려 하는 게 보통이거든요. 자신들이 할 수 있는 일을 단계별로 차근차근 늘렸다는 게 경악스럽습니다.”

많은 권한을 가진 계정을 탈취한 공격자는 곧바로 브이센터 서버(vCenter Server)를 침해하여 가상 물리 접근 권한을 얻어간다. 그런 후 시스템 부트로더를 조작하여 루트 권한까지 가져가고, SSH를 활성화 한 뒤 텔레포트(Teleport)라는 오픈소스 도구를 설치한다. 텔레포트는 대부분 방화벽을 우회하는 특성을 가지고 있어 악용 가능성이 높은 도구다. “이를 바탕으로 공격자는 ESXi 호스트에서 SSH를 활성화 하고 비밀번호를 재설정할 수 있게 됩니다. 그러면 도메인 컨트롤러 같은 중요 가상기계도 공격할 수 있게 되죠.”

이 모든 작업이 하이퍼바이저 계층에서 이뤄진다는 게 핵심이다. 가상기계 내 보안 에이전트가 탐지할 수 없다는 의미다. “그렇기 때문에 랜섬웨어 배포 등의 악성 행위도 자유롭게 할 수 있게 됩니다. 이들은 백업 인프라를 파괴하여 복구도 방해하고, 작업과 저장소를 삭제합니다. 그 다음 가상기계도 종료시키고, 하이퍼바이저에서 직접 파일을 암호화 합니다. 아주 철저하게 피해자 시스템을 망가트리는 겁니다.”

어떻게 방어해야 할까? 구글은 엔드포인트 탐지에 대한 의존도를 낮춰야 한다고 강조한다. “네트워크 중심의 선제적 방어 전략으로 체질 개선을 이뤄내야 합니다. 근본적으로 보안 접근법 자체를 변경시켜야 한다는 뜻이죠. 스캐터드스파이더는 대단히 빠르게 움직이는 그룹입니다. 단 몇 시간 안에 저 모든 작업들을 다 마치는 것도 가능해요. 최초 침투부터 이행되는 모든 악성 행위들이 쉽게 진행되지 않도록 보안의 층을 충실히 쌓는 게 중요합니다.”

Related Materials

• Scattered Spider: The Most Imminent Threat – Analysis of Chaos-Causing Tactics and Ransomware Operations - Wired , 2025년
• Untangling the Web: Darktrace's Investigation of Scattered Spider’s Evolving Tactics (RaaS, LOTL, Social Engineering 등 상세 분석) - Darktrace Blog , 2025년
• Scattered Spider Attacks: Mitigation Strategies for Cyber Teams – 주요 공격 사례, 랜섬웨어 유형, 대응 전략 - Control Risks , 2025년
• Scattered Spider (UNC3944) – 기원, 주요 공격, 타깃, 전술(TTPs) 종합 해설 - 위키피디아 , 2024년

항공업계 노린 해킹…FBI, ‘스캐터드 스파이더’ 경고

💡Editor Pick - 항공사 및 운송업계를 대상으로 하는 공격 가능성 경고 - 최근 하와이안 항공, 웨스트젯 등 항공사 대상 공격은 현실화 - 스캐터스 스파이더는 그 외에 대양한 영역의 기업 공격 중 미국 연방수사국(FBI)과 글로벌 보안업체들이 항공사 및 운송업계를 겨냥한 해킹 조직 ‘스캐터드 스파이더(Scattered Spider)’의 공격 가능성을

The Tech EdgeCheifEditor

랜섬웨어 조직 ‘헌터스 인터내셔널’ 돌연 해산 선언…복호화 키 무상 배포

💡Editor Pick - 랜섬웨어조직 Hunters International 활동 중단 선언 - 활동 중단 선언 - World Leaks 라는 다른 이름으로 활동 정황 2년간 미국 내 주요 기관을 포함해 다수의 피해자를 만들어온 랜섬웨어 조직 ‘헌터스 인터내셔널(Hunters International)’이 활동 중단을 선언했다. 다크웹을 통해 이 같은 소식을 공개한 이들은 피해 기업들을 위한

The Tech EdgeCheifEditor