스캐터드 스파이더(Scattered Spider)가 공격 기법을 진화시키고 범죄 활동 대상을 보다 다양한 기업으로 확장하며 최근 주목을 받고 있다.
최소 2022년 5월부터 활동해 온 이 금전적 목적의 사이버 공격 집단은 초기에는 MGM 리조트(MGM Resorts), 시저스 엔터테인먼트(Caesars Entertainment) 등 통신 및 엔터테인먼트 기업을 대상으로 SIM 스와핑과 랜섬웨어 공격을 수행했다.
시간이 지나면서 스캐터드 스파이더는 점점 더 고부가가치 산업으로 공격 대상을 옮겼다. 특히 지난 5월에는 막스앤스펜서(Marks & Spencer), 코옵(Co-op), 해롯(Harrods) 등 대형 유통업체를 겨냥했고, 최근에는 하와이안 항공(Hawaiian Airlines), 콴타스(Qantas) 등 항공사를 공격해 운영 전반에 큰 혼란을 초래하고 수백만 달러 규모의 피해 및 복구 비용을 발생시켰다.
영국 국가범죄수사청(National Crime Agency)이 최근 막스앤스펜서, 코옵, 해롯 공격과 관련해 4명을 체포했다고 발표했지만, 당국은 이 공격 집단의 위협이 줄어들었다는 어떤 신호도 내놓지 않았다.
소셜 엔지니어링 기법을 공격적으로 활용하는 것으로 악명 높은 스캐터드 스파이더는 최근 더 정교한 공격으로 더 넓은 산업군을 겨냥하고 있는 것으로 보인다. 이 공격 집단의 최신 전술을 이해하면 위협에 대응할 준비를 하는 데 도움이 될 수 있다.
최근 보안 업체 릴리아퀘스트(ReliaQuest)가 사후 분석한 한 공격 사례에서, 스캐터드 스파이더는 고도화된 소셜 엔지니어링 기법을 활용해 피해 기업의 엔트라 ID(Entra ID), 액티브 디렉토리(Active Directory), 가상 인프라를 탈취했다. 이번 공격 사례는 스캐터드 스파이더가 치밀한 계획과 신속한 실행을 결합할 수 있는 능력은 물론, 클라우드 및 온프레미스 기반의 기업 IT 시스템에 대한 이해도를 한층 높였음을 보여준다.
스캐터드 스파이더는 탐지될 가능성을 최소화하기 위해 신중하게 움직였으며, 공격이 발견된 이후에도 탈취한 시스템에 대한 장악력을 유지하려고 공격적으로 대응했다.
스캐터드 스파이더의 진화하는 공격
스캐터드 스파이더는 이름이 공개되지 않은 해당 기업의 외부 공개용 오라클 클라우드 인증 포털에서 공격을 시작했다. 표적은 CFO였다.
스캐터드 스파이더는 공개 자료와 과거의 침해 사고에서 확보한 CFO의 생년월일과 사회보장번호 마지막 4자리 같은 개인 정보를 이용해 CFO로 위장했다. 이후 회사 헬프데스크에 전화를 걸어, 헬프데스크 직원을 속여 CFO 계정으로 등록된 기기와 자격 증명을 재설정하도록 만들었다.
릴리아퀘스트에 따르면, 이번 속임수가 빠르게 성공한 데는 두 가지 요인이 작용했다. 하나는 헬프데스크 직원이 경영진의 요청을 최우선으로 처리한다는 점, 다른 하나는 IT 기업이 C레벨 계정에 과도한 권한을 부여해 더 광범위한 IT 시스템에 접근할 수 있도록 하는 관행이다.
또한 이번 사례는 스캐터드 스파이더의 전술이 진화했음을 보여준다. 과거에는 피싱용으로 철자가 비슷한 도메인을 만들어 자격 증명을 수집했다면, 최근 공격에서는 애초에 이미 유효한 자격 증명을 확보한 상태로 공격을 시작했다.
CFO 계정에 접근한 스캐터드 스파이더는 엔트라 ID의 권한 계정과 그룹을 파악한 뒤, 셰어포인트(SharePoint)에서 민감한 파일을 찾아내고, 목표 기업의 온프레미스 IT 시스템과 클라우드 환경 전반에 대한 이해를 넓혀갔다.
또한 CFO의 자격 증명을 이용해 목표 기업의 호라이즌(Horizon) VDI(Virtual Desktop Infrastructure)에 침투한 뒤, 소셜 엔지니어링 기법을 통해 추가로 두 개의 계정을 탈취하고 온프레미스 환경으로 공격을 확장했다. 동시에 기업의 VPN 인프라에도 침입해, 탈취한 시스템에 원격 접속할 수 있는 통로를 확보했다.
스캐터드 스파이더는 이후 사용 중단된 가상 머신을 다시 활성화한 뒤, 이를 기반으로 자신들의 통제하에 있는 별도의 가상 환경을 구축하기 시작했다. 이어 가상화된 프로덕션 도메인 컨트롤러를 종료하고, NTDS.dit 데이터베이스 파일(액티브 디렉토리 자격 증명)을 탈취했다. 이 모든 과정은 전통적인 엔드포인트 탐지 시스템을 교묘히 피해가며 진행됐다.
스캐터드 스파이더는 탈취한 관리자 계정과 여기에 연결된 기업의 사이버아크(CyberArk) 비밀번호 금고를 이용해 1,400개 이상의 시크릿(secret)을 추출했다. 이 과정에는 자동화 스크립트도 사용된 것으로 보인다. 스캐터드 스파이더는 탈취한 사용자 계정에 관리자 권한을 부여한 뒤, 엔그록(ngrok) 같은 포트 포워딩·터널링 툴을 활용해 침해된 가상 머신에 대한 접근 권한을 유지했다.
릴리아퀘스트는 “이 그룹은 여러 차례 탈취한 사용자 계정에 익스체인지 관리자(Exchange Administrator) 같은 추가 역할을 부여했다. 이를 통해 주요 임직원의 이메일을 모니터링하며 보안팀의 대응을 선제적으로 파악하고, 환경에 대한 장악력을 유지했다”라고 설명했다.
IT 자원 쟁탈전으로 번진 공방전
공격이 은밀하게 진행됐음에도, 침해당한 회사의 사고 대응팀은 이를 탐지하고 반격에 나섰다. 이에 따라 기업의 IT 자원 통제권을 놓고 일종의 줄다리기가 벌어졌다. 이에 맞서 스캐터드 스파이더는 은밀한 침투 시도를 포기하고, 사업 운영을 교란하고 대응 및 복구 작업을 방해하는 공격적 전술로 전환했다.
예를 들어, 이 그룹은 애저 파이어월(Azure Firewall)의 정책 규칙 모음 그룹을 삭제하기 시작했다. 그러나 궁극적으로 공격은 최소한의 주요 목표를 달성하지 못하고 저지됐다. 일부 민감한 데이터는 탈취됐지만, 최종적으로 계획한 것으로 보이는 랜섬웨어 배포까지는 이어지지 않았다.
특권 권한을 둘러싼 공방은 점점 격화됐고, 결국 마이크로소프트가 직접 개입해 테넌트의 통제권을 복구해야 했다.
릴리아퀘스트는 “스캐터드 스파이더의 최근 공격 캠페인은 이들이 인간 중심의 착취 기법과 높은 기술적 정교함을 결합해 ID 시스템과 가상 환경을 탈취하며, 스스로를 적응·진화시키는 능력을 보여준다”라고 평가했다.
더 빠르게, 더 멀리, 더 강하게
래피드7(Rapid7) 위협 분석 수석 이사 크리스티안 비크는 필자와의 인터뷰에서 “스캐터드 스파이더는 최근 몇 달간 클라우드 기반 시스템에 대한 이해도를 높이고, 보다 공격적이고 다각적인 방식의 공격을 전개하며 기법을 진화시켜왔다”라고 말했다.
비크는 스캐터드 스파이더의 전술에서 다음과 같은 추가 요소를 지적했다.
- - 클라우드 침투 기법 : 비크는 “이 그룹은 AWS 시스템 매니저 세션 매니저(AWS Systems Manager Session Manager), EC2 시리얼 콘솔(EC2 Serial Console), IAM(Identity and Access Management) 역할 열거와 같은 기법을 활용해 클라우드 인프라 내에서 이동하고 지속성을 유지하는 등, 고급 위협 행위자에게서 주로 볼 수 있는 수준 높은 클라우드 환경 이해도를 보여주고 있다”라고 분석했다.
- - 새로운 지속성 확보 방법 : 비크는 “텔레포트(Teleport) 같은 합법적인 인프라 도구를 악용해 장기적인 접근 권한을 유지하고, 기존 탐지 메커니즘을 피할 수 있는 암호화된 아웃바운드 연결을 구축하고 있다. 이는 과거 상용 원격 모니터링·관리(Remote Monitoring and Management, RMM) 툴에만 의존하던 방식에서 벗어난 변화”라고 설명했다.
- - 더 빠르고 다층적인 공격 : 비크는 “스캐터드 스파이더의 작전은 더욱 공격적이고 압축적으로 변했다. 소셜 엔지니얼이 기법을 통한 초기 침투 후 몇 시간 이내에 권한을 상승시키고, 수평 이동하며, 지속성을 확보하고, 클라우드 및 온프레미스 환경 전반에서 정찰을 시작한다. 이런 속도와 유연성은 작전 성숙도가 크게 고도화됐음을 보여준다”라고 평가했다.
릴리아퀘스트 연구팀에 따르면, 스캐터드 스파이더는 최근 몇 달 동안 소매업을 시작으로 기술, 금융, 그리고 현재는 항공 산업까지 공격 대상을 확장해 왔지만, 고유의 작전 방식(Modus Operandi)은 여전히 유사한 것으로 나타났다.
릴리아퀘스트 대변인은 필자와의 인터뷰에서 “이런 변화는 스캐터드 스파이더가 금전적 이익 극대화를 위해 공격 대상을 유연하게 조정하고 있음을 보여준다. 그렇다고 이들의 전술 자체가 크게 달라진 것은 아니다. 여전히 정교한 소셜 엔지니어링 기법에 의존해 헬프데스크 직원을 노리고, 고가치 계정에 접근하고 있다”라고 전했다.
대응 방안
최근 래피드7은 블로그 게시글을 통해 스캐터드 스파이더의 최신 TTP(tactics, techniques, and procedures)를 상세히 분석하고, 이에 맞선 방어 베스트 프랙티스를 함께 제안했다.
래피드7 연구팀은 “공격 기법은 실행 면에서 정교하지만, 실상은 헬프데스크의 신원 확인 절차에 대한 과도한 의존이나 관리자 도구의 비감시 사용 같은 기본 보안 관리 소홀을 악용하는 경우가 많다. 이런 부분을 강화하고, 사용자 교육 및 최신 인증 통제를 결합하면 스캐터드 스파이더의 사회공학·기술력 결합형 공격에 강력한 방어책이 될 수 있다”라고 설명했다.
래피드7의 비크는 인터뷰에서 “피싱 저항형 MFA는 공격 초기 차단의 핵심이며, 클라우드와 엔드포인트의 면밀한 모니터링은 이상 징후가 확산되기 전에 포착하는 데 중요한 역할을 한다. 기술을 넘어서, 엄격한 ID 관리 관행을 유지하는 것이 무엇보다 중요하다. 이는 상시 특권을 제한하고, 민감한 작업에는 승인을 강제하며, 접근 권한을 정기적으로 검토하는 것을 포함한다”라고 강조했다.
스캐터드 스파이더에 효과적으로 대응하려면 인적 취약점과 기술적 취약점 모두를 함께 다뤄야 한다.
릴리아퀘스트 연구팀은 “이런 공격에 대응하려면 헬프데스크의 신원 확인 절차를 강화해 무단 접근을 막고, 가상화 인프라를 보강해 의심스러운 활동을 탐지하며, 소셜 엔지니어링 기법에 대비한 직원 교육과 모의훈련을 정기적으로 시행해야 한다. 이런 조치는 ID 시스템과 업무 흐름을 보호하고, 스캐터드 스파이더의 신뢰 조작 및 방어망 회피 능력을 차단하는 데 도움이 된다”라고 조언했다.
dl-itworldkorea@foundryco.com
John Leyden editor@itworld.co.kr
저작권자 Foundry & ITWorld, 무단 전재 및 재배포 금지
이 기사의 카테고리는 언론사의 분류를 따릅니다.