英 당국, 현지 대형 유통업체 해킹 혐의 일당 4명 체포

[아이티데일리] 영국 대형 유통업체 ‘마크스앤스펜서(M&S)’를 해킹해 랜섬웨어 감염을 일으킨 일당이 덜미를 잡혔다.

14일 BBC 등 외신에 따르면, 영국 국가범죄청(NCA)은 M&S와 소비자생활협동조합 ‘코업(Co-op)’ 등을 겨냥해 사이버 공격을 벌인 일당 4명을 체포했다. 지난 10일 자택에서 체포된 이들은 영국의 컴퓨터 오용법(Computer Misuse Act) 위반, 협박, 자금 세탁 등 혐의로 구속돼 있다.

이들 일당은 지난 4월 발생한 M&S 해킹에 대해 당국의 조사를 받고 있다. M&S는 지난 4월 23일경 랜섬웨어 공격으로 인해 온라인 주문 서비스 일체가 중단됐다. 이 과정에서 전화번호, 집 주소, 생년월일 등 일부 고객 데이터가 유출됐다. 1884년 설립된 M&S는 식료품, 생활용품을 판매하는 유통업체로, 영국 내에서 고급 소매점으로 알려져 있다.

NCA에서는 이번 사건의 배후로 사이버 범죄 조직 ‘스캐터드 스파이더(Scattered Spider)’를 추정했다. 이 조직은 영미권 10대 해커들로 구성됐는데, 검거된 일당 4명 역시 10대 청소년 3명과 20세 여성 1명이었다.

스캐터드 스파이더는 인간 심리를 악용한 사회공학적 공격을 주로 활용한다. 사회공학적 공격은 보이스 피싱, 스미싱(Smishing) 등으로 사용자를 기만하고 내부 시스템에 침투하는 방식이다.

이 조직은 콜센터에 전화를 건 뒤 직원을 빙자해 자격증명과 다중 인증(MFA) 방법을 재설정하도록 요구한다. 그다음 확보한 정보로 랜섬웨어 유포, 데이터 탈취 등 더 광범위한 공격을 시도한다.

구글 위협 인텔리전스 그룹(GTIG) 이하오 림(Lihao Lim) 수석 어드바이저는 “스캐터드 스파이더는 전화를 걸 때마다 콜센터 담당 직원이 바뀐다는 점을 이용한다”며 “통화 과정에서 ‘비밀번호를 재설정해 달라’, ‘MFA가 작동하지 않는다’라고 요구하며 직원을 속여 정보를 빼내거나 랜섬웨어를 퍼뜨린다”고 설명했다.

스캐터드 스파이더는 M&S 같은 유통업체 외에도 항공사를 대상으로 사이버 공격을 감행하고 있다. 지난달 캐나다 ‘웨스트제트(WestJet)’와 미국 ‘하와이안항공(Hawaiian Airlines)’에서 시스템 해킹으로 인한 서비스 장애가 발생했다. 미국 연방수사국(FBI)은 이 사고의 배후로 스캐터드 스파이더를 지목했다.

FBI는 지난달 28일 성명을 통해 “스캐터드 스파이어가 항공 산업으로 공격 대상을 넓혀 나가고 있음을 확인했다”며 “이들은 대기업과 IT 공급업체를 표적으로 삼고 있으며 항공 업계 전반이 위험에 노출될 수 있다”고 경고했다.