178억 달러 규모의 정체성 위기: 스캐터드 스파이더의 VMware 장악이 전통적인 사이버보안의 종말을 알리는 방식
고도화된 사회 공학 그룹, 악성코드가 아닌 인간 심리가 중요 인프라를 표적으로 하는 랜섬웨어 공격의 주요 벡터가 되었음을 입증하다
구글 위협 정보 그룹(Google's Threat Intelligence Group)은 전통적인 보안 조치를 우회하기 위해 인간 조작 기술을 완벽하게 습득한 정교한 사이버 범죄 집단인 스캐터드 스파이더(Scattered Spider)에 대한 긴급 경고를 발표했습니다. 중요 인프라, 소매, 항공, 보험 부문을 표적으로 하는 이 그룹의 최신 캠페인은 최소한의 기술적 복잡성으로 최대의 영향력을 얻는 랜섬웨어 운영 방식에 근본적인 변화를 가져왔음을 보여줍니다.
소프트웨어 취약점 악용에 의존하는 기존의 사이버 공격과 달리, 스캐터드 스파이더는 모든 조직의 가장 지속적인 약점인 '인간의 신뢰'를 무기화했습니다. 이들의 방법론은 직원을 사칭하여 IT 헬프데스크 직원을 조작해 비밀번호를 재설정하게 함으로써 초기 침투 거점을 확보하고, 몇 시간 내에 네트워크를 완전히 장악하는 방식으로 발전합니다.
스캐터드 스파이더 사이버 범죄 그룹의 주요 속성 및 활동
| 범주 | 세부 사항 |
|---|---|
| 그룹명 | 스캐터드 스파이더 (Scattered Spider) |
| 활동 시작 시기 | 최소 2022년부터 |
| 주된 동기 | 금전적 이득 |
| 표적 산업 | 통신, 소매, 보험, 항공, 운송 및 기타 |
| 공격 기법 | 사회 공학 (피싱, 스미싱, MFA 피로, SIM 스와핑), 랜섬웨어 (ALPHV/BlackCat, DragonForce), 데이터 절도 |
| 초기 침투 경로 | IT 헬프데스크 사칭, 원격 접속 도구 배포, 자격 증명 및 MFA 코드 절도 |
| 도구 및 기법 | 정상 도구 (Mimikatz, TeamViewer), 시스템 내부 기능 악용 기법 (living-off-the-land), 클라우드 환경 악용 (AWS, Azure) |
| 공격 단계 | 정찰, 내부망 이동, 권한 상승, 지속성, 데이터 유출, 암호화 |
| 피해 사례 | MGM 리조트 공격으로 10일간 서비스 중단 및 약 1억 달러 피해 |
| 지리적 거점 | 미국, 영국, 캐나다 |
| 언어/문화적 이점 | 효과적인 사회 공학이 가능한 영어 원어민 |
| 최신 정보 출처 | FBI 및 CISA 권고, MITRE ATT&CK 프레임워크 매핑, 민간 부문 연구 (2023-2025) |
| 최근 동향 (2025년) | 표적 산업 확대, FBI 및 법 집행 기관의 지속적인 조사 |
6시간 만의 강탈: 현대 랜섬웨어에서 전화 통화가 악성코드를 대체하는 방식
이 그룹의 운영 지침은 기술적 정교함보다 심리적 조작을 우선시하는 계산된 접근 방식을 보여줍니다. 보안 분석가들은 이들의 전술을 "파괴적으로 단순하지만 매우 효과적"이라고 묘사하며, 대부분의 기업 운영의 중추 역할을 하는 VMware 환경에 초점을 맞춥니다.
네트워크에 침투한 스캐터드 스파이더 운영자들은 VMware vSphere 관리자와 같이 가치가 높은 대상을 스캔합니다. 그런 다음 IT 직원을 다시 접촉하여, 이미 확립된 신뢰를 이용해 특권 계정의 비밀번호 재설정을 요청합니다. 이를 통해 가상화된 인프라의 중앙 관리 허브인 VMware vCenter Server Appliance에 접근 권한을 얻습니다.
공격자들은 이어서 ESXi 호스트에 SSH를 활성화하고, 루트 비밀번호를 재설정하며, 원격 접속 도구를 설치합니다. 이 수준의 접근 권한을 통해 가상 머신을 종료하고, 민감한 데이터를 추출하기 위해 가상 디스크를 연결하며, 랜섬웨어를 배포하기 전에 백업 시스템을 체계적으로 파괴할 수 있습니다. 초기 접촉부터 네트워크 잠금까지 전체 과정이 몇 시간 안에 발생할 수 있습니다.
왜 하이퍼바이저가 새로운 핵심 자산이 되었나
VMware 환경을 표적으로 삼는 것은 랜섬웨어 운영의 전략적 진화를 나타냅니다. 기업 보안 전문가들은 하이퍼바이저 계층을 손상시키면 여러 시스템에 동시에 접근할 수 있기 때문에 가상화된 인프라가 공격자들에게 점점 더 매력적인 대상이 되고 있다고 지적합니다.
익명을 요구한 한 사이버보안 연구원은 "공격자가 가상 인프라 자체를 제어할 때 기존의 엔드포인트 보호는 무의미해집니다. 이들은 개별 컴퓨터를 공격하는 것이 아니라 수십, 수백 개의 중요 비즈니스 시스템을 호스팅하는 플랫폼을 공격하는 것입니다."라고 설명했습니다.
이러한 접근 방식은 많은 조직이 민감한 시스템에 대한 무단 인간 접근을 방지하기보다는 악성코드 탐지에 보안 투자를 집중하기 때문에 특히 효과적입니다. 그 결과 일부 분석가들은 '인간 방화벽' 문제라고 묘사하는 상황이 발생하는데, 이는 사회 공학이 기술적 통제를 완전히 우회한다는 것을 의미합니다.
무차별 공격에서 외과 의사의 칼날로: 랜섬웨어의 진화
스캐터드 스파이더 캠페인은 사이버 범죄 환경을 재편하는 광범위한 트렌드를 반영합니다. 최근 산업 데이터에 따르면 전 세계 조직의 거의 절반이 이제 랜섬웨어와 사회 공학을 주요 사이버 위험으로 인식하고 있으며, 지난 한 해 동안 42%가 사회 공학 침해를 성공적으로 경험했다고 보고했습니다.
인공지능 도구의 통합은 이러한 위협을 크게 증폭시켰습니다. 사이버 범죄자들은 이제 생성형 AI를 활용하여 더욱 설득력 있는 피싱 메시지를 작성하고, 전화 기반 공격을 위해 목소리를 복제하며, 전례 없는 규모로 개인화된 사칭 시도를 생성하고 있습니다.
블랙 바스타(Black Basta), 다크 엔젤스(Dark Angels), 3AM 등 여러 랜섬웨어 그룹이 유사한 전술을 채택하고 있으며, 이는 사회 공학이 생태계 전반에서 선호되는 공격 방식이 되었음을 시사합니다. 서비스형 랜섬웨어(Ransomware-as-a-Service) 플랫폼의 출현은 이러한 정교한 기술을 덜 기술적인 숙련도를 가진 행위자들도 접근할 수 있도록 민주화했습니다.
항공사와 전력망이 랜섬웨어의 황금광산이 될 때
이러한 공격이 중요 인프라 부문으로 확대되는 것은 국가 안보에 상당한 우려를 제기합니다. 에너지, 수도, 운송 및 의료 시스템 – 이들 중 다수는 레거시 인프라에 의존하고 있습니다 – 은 최대의 혼란과 재정적 영향을 추구하는 그룹에게 매력적인 표적이 됩니다.
항공 산업 소식통은 소매 및 보험 회사에 대한 성공적인 공격 이후 표적화가 증가했다고 보고했습니다. 이러한 부문에서 운영 중단의 잠재력은 재정적 손실을 넘어 공공 안전 및 경제 안정성까지 포함합니다.
정부 사이버보안 당국은 중요 인프라의 성공적인 침해가 실존적 위협에서 "예상되고 반복되는 사건"으로 진화했으며, 이는 자연재해나 군사 분쟁만큼이나 사회에 큰 혼란을 줄 수 있다고 강조합니다.
비밀번호 재설정 골드러시: MFA 주식이 급등하는 이유
사이버보안 시장을 추적하는 금융 분석가들은 인간을 표적으로 하는 공격으로의 전환에서 발생하는 상당한 투자 함의를 지적합니다. 현재 178억 달러 규모로 평가되며 연평균 성장률(CAGR) 18%를 기록하는 다단계 인증(MFA) 시장은 조직이 인간 방어를 강화하려는 노력의 가장 직접적인 수혜자입니다.
하드웨어 기반 인증 제공업체는 SIM 스와핑 공격에 취약한 SMS 및 음성 기반 인증 방식에서 기업들이 벗어나면서 25%의 매출 성장을 기록했습니다. 피싱에 강한 암호화 인증 방식인 패스키(passkeys)의 채택이 가속화되어, 미국과 영국의 대기업 87%가 이러한 기술을 구현하고 있습니다.
VMware 생태계는 보안 문제와 브로드컴(Broadcom) 인수 후 최근의 라이선스 변경으로 인해 특히 압력을 받고 있습니다. 유럽 시장에서 10~15배의 가격 인상 보고는 조직들이 뉴타닉스(Nutanix), 마이크로소프트 하이퍼-V(Microsoft Hyper-V) 및 클라우드 네이티브 솔루션을 포함한 대안을 평가하도록 촉발했습니다. 이는 특정 하이퍼바이저 기술과 독립적으로 작동하는 백업 및 복구 솔루션에 대한 투자 기회를 창출했습니다.
VMware의 이중고: 라이선스 인상과 랜섬웨어 현실
특권 접근 관리(Privileged Access Management) 부문은 또 다른 성장 영역으로 부상했으며, 관리자 권한을 부여하기 전에 여러 채널을 통해 인간 신원을 확인할 수 있는 솔루션에 대한 수요가 증가하고 있습니다. 음성 생체 인식 및 IT 서비스 관리 통합은 이 광범위한 범주 내에서 떠오르는 틈새시장입니다.
사이버 보험 시장은 정책 조건으로 더 강력한 인증 조치를 요구함으로써 이러한 인간 중심 위험에 적응하고 있습니다. 일부 업계 관찰자들은 사베인-옥슬리법(Sarbanes-Oxley) 내부 통제 증명과 유사하게, 피싱 방지 다단계 인증이 상장 기업의 필수 요건이 될 수 있다고 예상합니다.
암호화 없이 데이터만 절도하는 방식, 즉 민감한 정보 공개를 위협하는 순수한 협박으로의 전환은 랜섬웨어 경제를 더욱 재편할 수 있습니다. 이 접근 방식은 현대의 불변 백업 시스템을 우회하면서도 성공적인 공격에 필요한 기술적 복잡성을 줄입니다.
제로 트러스트의 필요성: 인간의 약점 주변에 요새를 건설하다
보안 전문가들은 조직이 인간의 침해를 완전히 막으려 하기보다는 이를 가정하는 '제로 트러스트(zero trust)' 원칙을 구현해야 한다고 권고합니다. 여기에는 모든 헬프데스크 자격 증명 재설정에 대한 콜백 절차 요구, 모든 특권 역할에 대한 피싱 방지 인증 구현, 그리고 백업 인프라와 같은 중요 시스템을 표준 인증 메커니즘으로부터 격리하는 것이 포함됩니다.
AI 기반 공격 기술의 빠른 진화는 공격 및 방어 능력 간의 지속적인 군비 경쟁을 시사합니다. 산업 분석가들은 AI 기반 피싱, 음성 사칭, 딥페이크 화상 통화가 향후 2년 내에 보편화될 것이라고 예측합니다.
중요 인프라 또는 민감한 데이터를 관리하는 조직은 사회 공학 위협을 즉각적인 주의가 필요한 시급한 운영 위험으로 간주해야 합니다. 심리 조작과 AI 강화의 결합은 전례 없는 효율성으로 전통적인 보안 조치를 우회할 수 있는 공격 능력을 창출했습니다.
인간 방화벽 시대: 기술이 심리전과 만나는 곳
스캐터드 스파이더 캠페인은 사이버보안이 근본적으로 기술적 도전에서 인간 위험 관리 문제로 전환되었음을 보여줍니다. 인간 중심 방어를 소홀히 한 채 전통적인 엔드포인트 보호에 주로 투자하는 조직은 이러한 진화된 공격 방식에 점점 더 취약해질 수 있습니다.
투자자와 비즈니스 리더에게 이러한 변화는 위험과 기회를 동시에 의미합니다. 강력한 신원 관리 및 인간 중심 보안 조치를 통해 이 새로운 위협 환경에 성공적으로 적응하는 기업은 경쟁 우위를 확보할 수 있는 반면, 진화하지 못하는 기업은 잠재적으로 치명적인 운영 및 재정적 결과를 직면할 수 있습니다.
투자 논지
| 범주 | 세부 사항 |
|---|---|
| 위협 메커니즘 | 단계 및 영향: 1. 헬프데스크 사기 (0-1시간): 즉각적인 평판 타격. 2. vCenter에 대한 권한 상승 (1-3시간): 중요 업무 부하 (결제, ERP, POS) 중단. 3. 하이퍼바이저 루트 장악 및 백업 삭제 (<6시간): 랜섬웨어 비용은 몸값이 아닌 수익 손실/벌금으로 발생. 침해 공개 ≈ 주가 하락. |
| 시장 동향 | 신원 및 접근: MFA 시장 2025년까지 178억 달러 (+18% CAGR); 대기업의 87%가 패스키 도입. 특권 접근: 이제 RFQ(견적 요청)는 '운영자 개입' 검증 요구. 하이퍼바이저: 브로드컴의 VMware 10-15배 가격 인상으로 뉴타닉스/하이퍼-V 채택 증가; 3만 7천 개 이상의 ESXi 호스트 미패치. 백업: 루브릭/코헤시티 'VMware 보호' 기능 추가. 자금 조달: 2025년 1분기 103건의 보안 거래에서 22억 달러; 신원 확인이 전체의 31% 차지. |
| 부문별 위험 | 중요 인프라: 높은 랜섬웨어 위험; 하드웨어 MFA 강세, 레거시 VMware 유틸리티 약세. 항공/여행: 운영 중단 = EBITDA 타격; 클라우드 기반 여행 기술 강세. 소매: PCI-DSPM 결제 제공업체와 뒤처지는 소매업체 간 페어 트레이딩. 보험: 독점 원격 측정 기능이 있는 보험사(예: Coalition) 강세. |
| 향후 전망 | 1. 랜섬웨어/브로드컴으로 인해 2026년까지 온프레미스 VMware 워크로드의 25% 이상 마이그레이션. 2. 2027년까지 패스키가 상장 요건이 될 것. 3. 2028년까지 데이터 유출 협박이 암호화 기반 랜섬웨어보다 우세할 것. 4. 헬프데스크 '서비스형 비디오 인증' 틈새시장 부상. |
| 포트폴리오 조치 | 1. 하드웨어 MFA 비중 확대 (유비코, 탈레스). 2. 사이버아크/비욘드트러스트 하락 시 매수. 3. VMware에 구애받지 않는 백업 SaaS 매수 (루브릭, 코헤시티). 4. VMware 의존도가 높고 현금 부족한 기업 공매도. 5. 패스키 전문 기업 (액시아드, 트루소나) M&A 동향 주시. |
| 운영자 지침서 | 1. 2025년 4분기까지 특권 역할에 피싱 방지 MFA 의무화. 2. 헬프데스크 '콜백 + 아웃오브밴드' 검증. 3. vCenter/ESXi 격리 (AD 통합 없음, 불변 백업). 4. 3~5일간의 매출 제로 다운타임 모델링. 5. 공급망 내 패스키 증명 요구. |
| 주요 지표 | FIDO2 사용 인력 비율 (2026년까지 50% 이상), vSphere vs. 대체 하이퍼바이저 성장률, 사이버 보험 비용/100만 달러, 불변 백업 지출/IT 자본 지출. |
| 결론 | 스캐터드 스파이더의 공격 사슬 (헬프데스크 → vSphere)은 심리학/가상화의 결함을 활용하는 새로운 랜섬웨어 경제를 반영합니다. 신원 보증, 하이퍼바이저 대체재, 불변 백업에 투자하십시오. 레거시 경계/VMware 종속성은 고위험입니다. |
투자 전문가는 과거 실적이 미래 결과를 보장하지 않는다는 점을 고려해야 하며, 사이버보안 시장 동향에 기반한 투자 결정을 내리기 전에 자격을 갖춘 금융 전문가와 상담해야 합니다.