스캐터드 스파이더, 항공업계 강타 – 생체인식이였다면 막을 수 있었던 공격

 

작성자: Joel R. McConvey

보도일자: 2025년 7월 3일

출처: Biometricupdate.com

 

이 지면에서 이제 “다중 인증(MFA)”이라는 단어는 다소 구식처럼 들리기 시작한다. 생체인식, 패스키, 근접 감지 등 다른 보안 도구들이 기존 MFA 시스템보다 훨씬 뛰어난 보호를 제공하기 때문이다. 사기범들은 이미 1회용 코드(OTP), 푸시 승인, 인증 앱 등 레거시 시스템에서 사용되는 방식들을 우회하는 법을 터득했다.

 

그럼에도 불구하고 이런 취약한 MFA 시스템은 여전히 광범위하게 사용되고 있다. 이는 결국 누군가가 허술한 보안의 뼈아픈 교훈이 될 수밖에 없다는 뜻이다. 그리고 이번 사례에서 그 희생양은 항공업계였다. 최근 항공사들은 연이어 해킹을 당해 수백만 고객의 데이터가 유출되는 사태를 겪고 있다.

 

해킹 리포트: 하와이안 항공, MFA 피로 공략 공격에 뚫리다

토큰(Token) 블로그는 최근 하와이안항공을 대상으로 발생한 침해 사고를 다뤘다. 활발히 활동 중인 위협 그룹 스캐터드 스파이더(Scattered Spider)의 소행으로 추정되는 이 공격은 상대적으로 단순한 전술로 이루어졌다. 바로 가짜 사이트를 통한 실시간 피싱(real-time phishing)과 약한 인증 체계를 우회하기 위한 MFA 피로(MFA fatigue) 공격이다.

 

공격 시나리오는 대략 이렇다. 직원이 가짜 로그인 페이지에 접속해 자격 증명을 입력하면, 공격자가 이를 즉시 진짜 사이트에 전달하면서 MFA 코드까지 입력해 접속 권한을 획득한다.

 

보안 하드웨어 기기를 만드는 토큰(Token)의 회장 케빈 서레이스(Kevin Surace)는 “이 공격들이 정교해서 성공하는 게 아니다. 기업들이 이런 위협을 전혀 고려하지 않고 설계된 MFA 도구를 여전히 신뢰하기 때문에 뚫리는 것이다. 도대체 몇 번의 침해 사고를 더 겪어야 보여주기식 보안(Security Theater)을 진짜 보안으로 바꿀 것인가?”라고 말했다.

 

문제는 인증에 사용되는 여러 요소(factor)들 자체에 있다. 토큰(Token)의 토큰 링(Token Ring)과 토큰 바이오스틱(Token BioStick)은 생체인증과 근접 기반 로그인(즉, 장치가 실제 접근하려는 기기 근처에 있어야만 로그인 가능) 그리고 암호학적 출처 검증을 결합한다. 또한 단일 도메인과 단일 기기에만 결합된 변조 방지 하드웨어로, 실제 지문 스캔을 통해서만 잠금 해제가 가능하다.

 

“하와이안항공 해킹 같은 상황이라면, 가짜 웹사이트가 아예 토큰 장치를 작동시킬 수도 없다. 근접 인증도, 생체 인증도 없으니 로그인도 없다. 그야말로 그렇게 단순하다.”

 

콴타스 해킹, 최대 600만 고객 데이터 유출

그렇다고 하와이안항공만 지나치게 비난할 일은 아니다. 콴타스(Qantas)도 똑 같은 문제를 겪고 있기 때문이다. 호주의 국적 항공사 콴타스는 자사 발표를 통해 컨택센터 중 한 곳에서 대규모 사이버 사고가 발생했으며, 이로 인해 최대 600만 명 고객의 이름, 이메일 주소, 전화번호, 생년월일, 마일리지 회원 번호 등이 유출되었다고 확인했다.

 

콴타스는 “사이버 범죄자가 콜센터를 표적으로 삼아 제3자 고객 서비스 플랫폼에 접근하면서 이번 사건이 발생했다”며 “현재 유출된 데이터의 비중을 계속 조사 중이지만, 상당할 것으로 예상된다. 고객들이 크게 우려할 사안임을 잘 알고 있다”고 밝혔다.

 

콴타스는 또한 이 서버에는 신용카드 정보, 개인 금융 정보, 여권 정보가 저장되어 있지 않았으며, 비밀번호, PIN 번호, 로그인 정보에도 접근되지 않았다고 강조했다. 이번 사건은 호주 사이버보안센터, 호주 정보보호위원회, 호주 연방 경찰에 모두 신고됐다.

 

콴타스 그룹 CEO 바네사 허드슨(Vanessa Hudson)은 “이번 일로 고객 여러분께 진심으로 사과드리며, 이로 인해 불안과 혼란이 커질 것을 잘 알고 있다. 고객들은 자신의 개인정보를 우리에게 믿고 맡기며, 우리는 그 책임을 매우 무겁게 받아들인다”고 밝혔다.

 

스캐터드 스파이더: 가짜 사이트 만드는 10대들이 만든 글로벌 위협

그 심각성을 얼마나 받아들여야 할지는 아직 불분명하다. 콴타스 공격의 배후로도 의심받는 스캐터드 스파이더에 대해, GovInfo Security는 이를 “영어를 쓰는 10대 해커들의 집단”이라고 묘사하고 있다. 그럼에도 불구하고, 이들의 활동 범위는 방대하며 계속 확장 중이다.

 

콴타스는 이번 공격의 배후가 스캐터드 스파이더라고 공식 확인하지는 않았지만, “콜센터를 대상으로 한 사회공학적 공격을 포함해 스캐터드 스파이더의 전형적인 수법이 드러난다”고 밝혔다. 이 그룹은 사이버 사고를 공개한 캐나다 항공사 웨스트젯(WestJet)을 공격한 것으로도 추정된다. 또한 미국 보험 대기업인 Aflac, Eire Insurance, Philadelphia Insurance 역시 6월 해킹 공격을 보고하며, FBI에 경고등이 켜졌다.

 

이 그룹은 느슨하게 조직된 형태로, 주로 미국과 영국 거주자들로 구성된 약 1,000명 규모로 추산되며, 한 번에 특정 산업을 집중적으로 노리는 경향이 있다. 미국 최대 카지노·도박 업체 중 하나인 시저스 엔터테인먼트(Caesars Entertainment)와 MGM 리조트(MGM Resorts International)를 상대로 벌인 연쇄 공격으로 인해, 마이크로소프트는 이들을 “가장 위험한 금융 범죄 조직 중 하나”라고 평가하기도 했다.

 

또 이 그룹은 Star Fraud, Octo Tempest, Scatter Swine, Muddled Libra, Roasted Oktapus, UNC3944 등 여러 이름으로도 추적되며, Visa, Truist Bank, Marks & Spencer를 포함해 최소 130개 기업을 공격한 것으로 알려져 있다.

 

iProov: IT 헬프테스크 사칭, 생체인식이 해결책 된다

iProov의 CEO 앤드루 버드(Andrew Bud)는 Biometric Update에 보낸 이메일 논평에서 스캐터드 스파이더가 공격 대상을 Marks & Spencer, Co-op 같은 영국 소매업체에서 미국의 대형 기업들로 옮겼다며, 그 결과 Whole Foods에서는 진열대 품귀 현상이 발생했고, 빅토리아시크릿(Victoria’s Secret)은 자사 전자상거래 사이트를 일시적으로 폐쇄해야 했다고 밝혔다.

 

그는 이어 “원래 이런 공격을 막기 위해 설계된 현대적 다중 인증(MFA)은 종종 사람들이 아는 것, 예를 들어 비밀번호나 휴대폰으로 전송된 코드에 의존한다. 해커들은 IT 헬프데스크를 사칭해 직원들이 이 두 가지 요소를 모두 넘기도록 유도한다. 이는 직원들의 잘못이 아니라, 현재의 인증 방식에 내재된 치명적 약점이다.”라고 지적했다.

 

그러면서 “해결책은 얼굴 인증 같은 생체인식을 사용하는 것이다. 직원들의 얼굴은 속여서 가져갈 수도, 훔치거나 공유할 수도 없다. 물론 복제는 가능하지만, 현대의 강력한 라이브니스(liveness) 기술은 그 복제를 이용한 인증 시도를 차단한다. 그래서 가짜 헬프데스크가 직원에게 접근해 얼굴로 인증하도록 유도해도 해커가 얻는 것은 그저 몇 장의 셀카일 뿐이다. 사실 그런 사진은 LinkedIn이나 Instagram에서 누구나 구할 수 있다. 하지만 강력한 클라우드 기반 라이브니스 보장 기술은 해커가 그 사진들을 이용해 조직에 침투하는 것을 막는다. 그리고 무엇보다 이 기술은 공격자보다 한발 앞서기 위해 끊임없이 진화하고 있다.”라고 강조했다.

 

이 위협은 단순히 공격의 직접적인 표적에만 국한되지 않는다. FBI는 공지를 통해 스캐터드 스파이더의 수법으로 인해 “최근 발생한 침해 사건 이후, 항공사 생태계에 있는 누구든 – 신뢰받는 벤더나 하청업체까지도 위험에 처할 수 있다”고 경고했다.

 

사이버 위협을 탐지하기 위해 인터넷 환경을 모니터링하는 연구자들은 합법적인 기업 및 인증 서비스를 모방한 새로운 도메인 등록이 증가하고 있음을 확인했다. 이는 스캐터드 스파이더가 자주 사용하는 전술로 알려져 있다. 많은 가짜 기업 도메인은 석유·가스 산업 부문에서 등록되어, 이 분야가 다음 공격 표적이 될 수 있다는 우려를 낳고 있다.

 

다만 이들의 활동에는 차질이 빚어질 가능성도 있다. 지난 4월, 스페인 경찰은 스캐터드 스파이더의 수괴로 지목된 23세 스코틀랜드인 타일러 로버트 뷰캐넌(Tyler Robert Buchanan, 일명 TylerB)을 미국으로 송환했다. 그는 전신 사기(wire fraud), 공모, 신원 도용 혐의로 최대 47년형에 처할 수 있다. 함께 조직을 이끌어 온 것으로 알려진 노아 마이클 어번(Noah Michael Urban)은 플로리다에서 구금 중이며, 연방 교도소에서 최대 20년형을 받을 수 있다.