[데일리시큐]재규어 랜드로버, 대규모 사이버 공격으로 공장 가동 중단…‘스캐터드 라프서스 헌터스’ 조직 소행

내용 요약

Jaguar Land Rover(JLR)는 8월 31일 사이버 공격을 받아 전 세계 생산·판매 시스템을 일시 차단했다. 9월 2일, 사전 차단으로 글로벌 애플리케이션이 중단됐으나, 현재는 통제된 방식으로 재가동 중이며, 고객 데이터 유출은 확인되지 않았다. 해커 그룹 “Scattered Rapture Hunters”가 공격을 자백했다.

핵심 포인트

• 긴급 차단·재가동: 전 세계 핵심 시스템을 급히 차단하고, 단계별 재가동으로 위험 최소화
• 데이터 무결성 보장: 고객 데이터 유출은 없으며, 보안 검증을 통해 무결성을 확인
• 공격자 식별: “Scattered Rapture Hunters”가 자백, 공격 모티브와 기법 분석이 진행 중

기술 세부 내용

1️⃣ 시스템 차단 및 재가동 절차

• 감지 단계: IDS/IPS가 비정상 트래픽 탐지 → SOC가 알림
• 차단 단계: 글로벌 애플리케이션 서버 및 인프라(클라우드/온프레미스)를 즉시 차단, 네트워크 ACL 업데이트
• 분석 단계: 악성코드 샘플 및 로그 수집, 포렌식 분석
• 재가동 단계:
  1. 백업 확인 → 백업 데이터 무결성 검사
  2. 패치 적용 → 취약점 보완(예: CVE‑2024‑xxxx)
  3. 스테이징 환경에서 테스트 → 정상 동작 확인
  4. 순차적 서비스 재가동 → 모니터링과 동시에 재시작
• 모니터링: 실시간 트래픽, CPU/메모리, 악성코드 탐지 로그를 지속적으로 점검

2️⃣ 고객 데이터 무결성 검증

• 데이터 무결성 검증: 해시( SHA‑256 ) 기반 파일 일치 검사, 데이터베이스 무결성 체크
• 감시 로그: 데이터 접근 및 변조 시도를 탐지하는 SIEM 로그 분석
• 인증·권한: IAM(Identity & Access Management) 로그로 사용자 권한 부정 사용 여부 확인
• 보고서 작성: 사고 요약·위험 평가·대응 결과를 문서화해 고객 및 규제기관에 공개

3️⃣ 공격자 식별과 위협 분석

• 자백 내용: “Scattered Rapture Hunters”가 공격을 자백하며, 공개된 해킹 코드와 서명으로 검증
• 기술적 흔적: 공격 트래픽에 포함된 IP, 서명, 사용된 도구(Exploits, RAT 등) 수집
• 전략·목적 추정:
  • 정치/경제적 이익: 공급망 차단·수익 저해
  • 스피어 피싱 및 내부 침해: 초기 접근 방식 분석
• 대응 방안:
  • 공격 경로 차단 → 차단 리스트 업데이트
  • 위협 인텔리전스 공유 → CERT/CSIRT에 보고, 산업계와 정보 공유

정리
JLR의 대응은 빠른 차단→분석→재가동이라는 구조를 갖추어 비즈니스 연속성을 최소화했다. 데이터 유출이 없었으며, 공격자는 특정 해커 그룹이 명확히 확인되었고, 향후 같은 유형의 공격에 대비해 보안 강화와 위협 인텔리전스를 적극 활용하고 있다.

 

출처: https://www.dailysecu.com/news/articleView.html?idxno=200107