일명 '흩어진 거미'(Scattered Spider)로 불리는 해킹그룹 'UNC3944'이 올해부터 랜섬웨어를 활용해 관광·숙박업계는 물론 엔터테인먼트 업계까지 공격 대상을 확대한 것으로 분석됐다.
구글 계열 사이버 보안 기업 맨디언트는 지난 2년간 UNC3944를 추적한 내용을 담은 보고서를 1일 발표했다.
UNC3944는 지난해부터 올해 초까지는 SIM 스와핑 공격(휴대전화 유심칩을 복제해 개인정보를 빼돌리는 공격)에 필요한 개인정보나 시스템 접근에 주력했으나, 올해 중반 이후론 랜섬웨어 배포로 방향키를 돌렸다.
맨디언트는 “금전적 이익을 추구하는 UNC3944가 수익 창출 방법을 다변화하는 것으로 풀이된다”고 추정했다.
또 이들이 통신과 비즈니스 프로세스 아웃소싱을 넘어 숙박, 도매, 엔터테인먼트, 금융 등 다양한 산업으로 공격 범위를 확대하고 있는 것으로 확인됐다.
이들은 주로 사회관계망서비스(SNS) 피싱 캠페인을 통해 계정 등을 탈취하는 수법을 쓰는 것으로 파악됐다. SNS 피싱으로 확보한 피해자 개인정보를 활용, 헬프 데스크에 전화해 비밀번호를 재설정하거나 다중인증을 우회하는 코드를 얻는 식이다.
이를 통해 단 며칠 안에 중요 시스템에 접근하고 대량의 데이터를 빼낼 수 있으며, 특히 시스템 내 협박성 메모를 남기거나, 텍스트 메시지와 이메일로 경영진에게 직접 접촉하는 등 공격적인 커뮤니케이션 방식을 사용하는 것으로도 알려졌다.
조재학 기자 2jh@etnews.com
