내용 요약
호주 항공사 Qantas의 약 5.7 백만 고객 데이터가 “Scattered Lapsus$ Hunters” 해킹 조직에 의해 대량 유출되어 다크웹에 공개되었습니다. 공격자는 금전적 요구를 했으나 기업이 응하지 않아 협박 기한이 만료된 뒤 데이터를 공개했습니다. 이번 사건은 랜섬웨어 기반 위협이 단순 금전 요구를 넘어 데이터 유출과 공개까지 확장될 수 있음을 보여줍니다.
핵심 포인트
- 랜섬 요구가 데이터 공개로 이어진 전형적 사례: 공격자는 유출 데이터를 공개해 압박을 가하려 함.
- 다크웹 데이터 거래 플랫폼이 기업 비밀 유출의 주요 유통 경로가 됨.
- 해커 조직의 정체와 행동 패턴(Scattered Lapsus$ Hunters) 파악이 대응 전략에 필수적.
기술 세부 내용
1️⃣ 랜섬웨어 및 소프트웨어 기반 공격
| 단계 | 설명 |
|---|---|
| 1️⃣ 침투 | 해커는 Phishing, SMB 취약점(Zero-Day), 혹은 내부자 접근을 이용해 Qantas 내부 네트워크에 정체성을 구축합니다. |
| 2️⃣ 악성 코드 배포 | RAT(Remote Access Trojan) 또는 “Ransomware-as-a-Service(RaaS)” 플랫폼을 사용해 파일 시스템에 암호화 프로세스를 트리거합니다. |
| 3️⃣ 암호화 | AES‑256 또는 RSA‑2048 기반 공개키를 사용해 데이터베이스, 파일 및 메모리 내 데이터 블록을 암호화합니다. |
| 4️⃣ Ransom Note 배포 | Qantas 내부 시스템(이메일, 대시보드)에 Ransom Note를 삽입해 금전 요구와 해제키 제공 조건을 명시합니다. |
| 5️⃣ 협상 단계 | 공격자는 암호 해제키를 제공하지 않으면 데이터를 유출 또는 공개하겠다고 경고합니다. Qantas는 금전 요구에 응하지 않음. |
| 6️⃣ 데이터 공개 | 협박 기한이 만료되자 공격자는 암호화된 데이터를 포함한 원본을 암호화 해제키와 함께 다크웹 포럼에 업로드합니다. |
- 핵심 기술
- AES‑256: 대용량 데이터에 대한 대칭키 암호화.
- RSA‑2048: 공개키 기반 암호화(키 교환).
- Cryptographic Key Management: 암호화 키는 안전한 HSM(하드웨어 보안 모듈)에서 생성·저장.
- Ransomware‑Scripting: PowerShell, Python, Bash 스크립트를 이용한 자동화.
- 전문가 주의점
- 암호화되지 않은 백업은 데이터 복구에 필수입니다.
- 암호화된 파일 메타데이터를 분석하면 암호화 키가 어디에 저장되었는지 파악할 수 있습니다.
- 파일 무결성 검사(Checksum, SHA‑256)를 통해 암호화 여부를 신속히 확인합니다.
2️⃣ 데이터 유출 & 다크웹 공개
| 항목 | 설명 |
|---|---|
| ① 데이터 수집 | 공격자는 메모리 덤프, 파일 시스템 스캔, 클라우드 스토리지 스캔을 통해 고객 데이터(이메일, 항공권 예약, 신원정보)를 수집합니다. |
| ② 데이터 압축 | 수집된 파일을 ZIP/7z로 압축한 뒤, 필요 시 AES‑256로 암호화합니다. |
| ③ 다크웹 포럼 업로드 | Tor 네트워크를 통해 비공개 다크웹 포럼(예: “Dark Web Bazaar”)에 파일을 업로드합니다. 포럼은 Onion 주소를 사용하며, 익명 게시자 ID를 통해 인증합니다. |
| ④ 공개 가격 설정 | 공격자는 데이터 공개 시점에 따라 가격을 조정합니다. 예를 들어, 공개가 지연되면 가격이 상승하는 “Dynamic Pricing” 전략을 사용합니다. |
| ⑤ 거래 및 거래 추적 | 구매자는 Monero(MX, 0x)와 같은 암호화폐를 사용해 거래합니다. 블록체인 분석 툴(Chainalysis, CipherTrace)을 통해 거래 경로를 추적하고 익명화 단계(믹서, Tumblers)를 확인합니다. |
- 주요 기술 요소
- Tor (The Onion Router): 익명 접속을 제공.
- 암호화폐 지갑(Cold/Hot): Monero, Bitcoin, Litecoin 등.
- 암호화폐 익명화 서비스: CoinJoin, TumbleBit.
- 실전 팁
- Darknet Monitoring: Threat intelligence 플랫폼(Recorded Future, FireEye)에서 “Qantas”와 “Scattered Lapsus$” 키워드에 대한 알림을 설정합니다.
- 파일 서명 검사: PDF, CSV, JSON 파일에 대한 MD5/SHA‑1 해시를 저장하고, 다크웹에서 동일 해시를 찾으면 유출 여부를 즉시 판단합니다.
- 암호화폐 트레이싱: 거래가 Monero와 같은 익명화폐인 경우, 블록체인 분석이 어려우나, 거래소 KYC 데이터와 결합해 익명성 완화가 가능할 수 있습니다.
3️⃣ ️♂️ 해커 조직: Scattered Lapsus$ Hunters
| 특징 | 설명 |
|---|---|
| 조직 구조 | “Hunters”라는 별칭은 팀이 “Hunter‑Killer” 모델(탐지 → 공격 → 회수)을 사용함을 암시합니다. |
| 전술(ATT&CK) | - Initial Access: Phishing & malicious attachments. - Execution: PowerShell & WMI. - Persistence: Scheduled Tasks & Services. - Privilege Escalation: Credential Dumping (Mimikatz). - Defense Evasion: Process Hollowing, Fileless malware. |
| 지리적 범위 | 전 세계적으로 다수의 보안 연구기관이 “Lapsus$”를 인도, 중국, 러시아 등 다양한 국적 공격자로 지목하고 있습니다. |
| 인증서 위조 | 공인 인증서(Certificates)와 서명(Authenticode) 을 위조해 악성코드를 숨깁니다. |
| 피싱 메일 | 매출부서, IT팀 등을 가장해 로그인 요청 메일을 보내며, HTTPS 링크를 통해 악성 payload를 다운로드합니다. |
- 키워드 및 도구
- Mimikatz: 비밀번호 캐시(LSASS) 읽기.
- SharpHound: AD 정보 수집.
- Empire / Cobalt Strike: 포스트 익스플로잇 도구.
- SMBv3 Exploit: EternalBlue 등.
- 보안 대응 전략
- SOC 인텔리전스 통합: ThreatIntel 플랫폼에서 Lapsus$ 관련 태그를 자동 알림으로 설정.
- Endpoint Detection & Response (EDR): 공격 시도 시 바로 탐지·격리.
- Zero Trust: 내부 네트워크에 최소 권한 원칙 적용.
- 로그분석: Sysmon, Windows 이벤트를 활용해 비정상적 Process Creation을 모니터링.
4️⃣ ️ 사고 대응 및 포렌식
| 단계 | 내용 |
|---|---|
| ① 초기 탐지 | SIEM(시큐리티 정보 이벤트 관리)에서 Ransomware Pattern Detection(파일 이름, 경로, 암호화 키 요청) 알림을 수신. |
| ② 격리 | 공격자가 접근한 호스트를 네트워크에서 분리하고, 파일 복사본을 별도 스토리지에 보관. |
| ③ 데이터 복구 계획 | 백업이 최신이라면 백업에서 복구, 아니라면 암호화 키를 수집·분석(암호화폐 거래 추적, 파일 메타데이터). |
| ④ 사고 분석 |
- 정적 분석: PE 파일 분석(IDA, Ghidra).
- 동적 분석: 샌드박스(Windows Sandbox, Cuckoo).
- 네트워크 트래픽 캡처: Wireshark, Zeek. | | ⑤ 법적·규제 대응 | GDPR, Australian Privacy Principles(APP) 및 PCI DSS와 같은 규정 준수 여부 검토. 유출 통보를 고객 및 규제 기관에 제공. | | ⑥ 사후 예방 | - 패치 관리 강화.
- MFA 도입.
- 보안 인식 교육 재강화.
- 다중 인증과 암호화 키 관리를 개선. |
- 포렌식 도구
- Volatility: 메모리 덤프 분석.
- Autopsy: 디스크 이미지 분석.
- FTK Imager: 법적 증거 보존.
- Darktrace: AI 기반 이상 징후 탐지.
- 전문가 팁
- 암호화 키 저장소: HSM 또는 보안 키 관리 서비스(AWS KMS, Azure Key Vault) 사용.
- 데이터 레이스 방지: DLP(Data Loss Prevention) 솔루션을 통한 파일 이동 모니터링.
- 시뮬레이션 테스트: Red Team 연습을 통해 Ransomware 시나리오에 대한 대응 시간을 측정.
마무리 요약
Qantas 사건은 랜섬웨어가 단순히 데이터 암호화에 그치지 않고, 데이터를 다크웹에 공개함으로써 기업 명성을 손상시키는 복합 위협이 될 수 있음을 보여줍니다. 이번 사례를 통해 IT 보안 담당자는 랜섬웨어 탐지와 대응에 대한 실질적 절차, 다크웹 모니터링 및 포렌식 분석의 중요성을 재인식해야 합니다. 조직 차원에서 Zero‑Trust 정책, 보안 인식 교육 및 정기적인 보안 감사를 강화하여 유사한 공격을 예방하고, 발생 시 신속하고 체계적으로 대응할 수 있는 역량을 갖추는 것이 필수적입니다.
출처: https://www.dailysecu.com/news/articleView.html?idxno=201263
728x90
반응형
'보안이슈' 카테고리의 다른 글
| [데일리시큐][긴급] 중국계 해킹그룹 '스톰-2603', 오픈소스 포렌식 도구 악용해 다중 랜섬웨어 유포중 (0) | 2025.10.13 |
|---|---|
| [보안뉴스]‘K-특허’ 세계로...한국인 출원 건수, 올 상반기 국내·외 모두 UP! (0) | 2025.10.12 |
| [데일리시큐]애플, 버그바운티 보상 최대 500만 달러로 인상…보안 연구자 유치 본격화 (0) | 2025.10.12 |
| [보안뉴스]소닉월 SSL VPN 대규모 털렸다! 비밀번호 훔쳐 100개 계정 무단 침입 발생 (0) | 2025.10.12 |
| [보안뉴스]美 CISA, “협업 플랫폼 짐브라 XSS 제로데이 취약점” 경고...이메일 열기만 해도 해킹 (0) | 2025.10.11 |