최근 사이버 보안 업계에서 Scattered Lapsus ShinyHunters(SLSH)라는 데이터 랜섬 조직이 새로운 위협으로 주목받고 있습니다. 이들은 전통적인 러시아 기반 랜섬웨어 그룹과는 전혀 다른 방식으로 피해 기업을 압박합니다. 임원과 가족을 직접 괴롭히고, 언론과 규제기관에 동시에 정보를 유출하며, 심지어 스와팅 공격까지 감행하는 이들의 전술은 기업의 의사결정을 극도로 왜곡시킵니다. Unit 221B의 보안 전문가 Allison Nixon은 SLSH와의 협상 자체가 오히려 피해를 키운다고 경고하며, "지불하지 않겠다"는 단호한 입장만이 유일한 해법이라고 강조합니다.
협상금지가 최선인 이유
SLSH는 전통적인 랜섬웨어 조직과 근본적으로 다른 구조를 가지고 있습니다. Unit 221B의 연구 책임자 Allison Nixon에 따르면, SLSH는 규율 잡힌 러시아 기반 랜섬웨어 계열사 그룹과 달리 무질서하고 유동적인 영어권 갈취 조직입니다. 이들은 피해자가 돈을 지불하면 약속을 지킬 것이라는 신뢰를 구축하는 데 전혀 관심이 없습니다.
Nixon은 SLSH 구성원들이 다양한 Telegram 채널을 오가며 피해자를 갈취하고 괴롭히는 과정을 면밀히 추적해왔습니다. 그녀의 분석에 따르면 SLSH는 약속을 지킬 의도가 전혀 없는 상태에서 피해자를 갈취한다는 점에서, 누구도 이들과 협상해서는 안 됩니다. 이들은 The Com이라 불리는 사이버 범죄 중심의 Discord 및 Telegram 커뮤니티 출신으로, 즉각적인 협업을 촉진하는 일종의 분산 소셜 네트워크에서 활동합니다.
Com 기반 갈취 그룹의 특징은 구성원 간 불화와 드라마를 일으키는 경향이 있다는 것입니다. 거짓말, 배신, 신뢰 파괴 행위, 뒷통수 치기, 서로를 방해하는 행동이 끊임없이 발생합니다. Nixon은 이러한 지속적인 기능 장애가 약물 남용으로 더욱 악화되며, 이로 인해 이들 위협 행위자들은 성공적이고 전략적인 랜섬 작전을 완수하는 핵심 목표를 달성하지 못한다고 지적합니다. 그들은 전략과 운영 보안을 위험에 빠뜨리는 감정적 폭발로 지속적으로 통제력을 잃으며, 이는 전문적이고 확장 가능하며 정교한 범죄 조직 네트워크를 구축하는 능력을 심각하게 제한합니다.
더욱이 확립된 랜섬웨어 그룹의 침입은 일반적으로 영향을 받은 기계에 주로 남아있는 암호화/복호화 악성코드를 중심으로 이루어집니다. 반면 Nixon은 Com 그룹의 랜섬은 미성년자를 대상으로 한 폭력적인 섹스토션 계획과 동일한 구조로 되어 있다고 말합니다. Com 구성원들은 손상 정보를 훔쳐 공개하겠다고 위협하고, 피해자가 순응하면 삭제하겠다고 "약속"하지만 그들이 약속을 지킬 것이라는 보장이나 기술적 증거는 전혀 없습니다.
| 구분 | 전통적 랜섬웨어 | SLSH |
|---|---|---|
| 조직 구조 | 규율 잡힌 러시아 기반 | 무질서한 영어권 그룹 |
| 신뢰성 | 일정한 행동 패턴 구축 | 약속 이행 의도 없음 |
| 공격 방식 | 암호화/복호화 중심 | 심리전 및 괴롭힘 중심 |
| 협상 가능성 | 제한적 협상 여지 | 협상 자체가 피해 증폭 |
Unit 221B는 갈취 시도 중 압박 캠페인이 직원, 임원, 가족 구성원에게 트라우마를 줄 수 있지만, SLSH와 장기간 협상에 들어가는 것은 해악과 위험 수준을 높이도록 그룹에 인센티브를 주며, 여기에는 직원과 가족의 신체적 안전이 포함될 수 있다고 경고합니다. Nixon은 "유출된 데이터는 결코 원래대로 돌아갈 수 없지만, 괴롭힘은 끝날 것임을 보장할 수 있습니다"라고 말했습니다. 따라서 지불 결정은 괴롭힘과 별개의 문제여야 하며, 이 두 문제를 분리하면 단기적으로나 장기적으로 이익을 보호하는 최선의 조치가 지불 거부임을 객관적으로 알 수 있다고 강조합니다.
SLSH의 심리전 특징과 공격 전술
SLSH의 가장 두드러진 특징은 극단적인 심리전과 다층적 압박 전술입니다. 많은 전통적인 러시아 랜섬웨어 그룹도 복호화 키 및/또는 도난 데이터 삭제 약속의 대가로 지불을 강요하기 위해 고압 전술을 사용해왔습니다. 예를 들어 도난 데이터 샘플과 함께 카운트다운 시계가 있는 다크 웹 수치심 블로그를 게시하거나, 언론인과 피해 회사의 이사회 구성원에게 알리는 방식입니다. 그러나 Nixon에 따르면 SLSH의 갈취는 그 수준을 훨씬 넘어 빠르게 확대됩니다.
SLSH는 임원과 가족에 대한 물리적 폭력 위협, 피해자 웹사이트에 대한 DDoS 공격, 반복적인 이메일 플러딩 캠페인을 포함한 다각도 공격을 펼칩니다. 피해자들은 종종 SLSH가 사용하는 일시적인 새 공개 Telegram 그룹 채팅에서 자신의 브랜드 이름이 언급될 때 침해 사실을 처음 알게 됩니다. Nixon에 따르면 SLSH Telegram 채널에서 조율된 괴롭힘은 피해 조직이 지불 임계값을 넘도록 밀어붙이는 굴욕감을 제조하여 압도하려는 잘 조율된 전략의 일부입니다.
특히 충격적인 것은 스와팅 공격입니다. Nixon은 표적 조직의 여러 임원들이 "스와팅" 공격의 대상이 되었다고 말합니다. SLSH는 표적의 주소에서 가짜 폭탄 위협이나 인질 상황을 전달하여 집이나 직장에서 중무장한 경찰의 대응을 이끌어내려 합니다. Nixon은 KrebsOnSecurity에 "그들이 피해자에게 하는 일의 큰 부분은 임원의 자녀를 괴롭히고 회사 이사회를 위협하는 것과 같은 심리적 측면입니다"라고 말했습니다. "그리고 이러한 피해자들이 갈취 요구를 받는 동안, 동시에 언론 매체로부터 '저희가 당신에 대해 나쁜 것을 쓰려고 하는데 어떤 의견이 있으신가요'라는 연락을 받고 있습니다."
Google의 보안 포렌식 회사 Mandiant는 1월 30일 블로그 게시물에서 SLSH의 가장 최근 갈취 공격이 2026년 1월 초에서 중순에 걸친 사건에서 비롯되었다고 밝혔습니다. 당시 SLSH 구성원들은 IT 직원인 척하며 회사가 MFA 설정을 업데이트하고 있다고 주장하면서 표적 피해 조직의 직원들에게 전화를 걸었습니다. 블로그 게시물은 "위협 행위자는 직원들을 피해자 브랜드의 자격 증명 수집 사이트로 안내하여 SSO 자격 증명과 MFA 코드를 캡처한 다음, MFA를 위해 자체 장치를 등록했습니다"라고 설명했습니다.
| 공격 단계 | 구체적 전술 | 목적 |
|---|---|---|
| 1단계: 침투 | IT 직원 사칭 전화 피싱 | SSO 자격 증명 탈취 |
| 2단계: 갈취 | Telegram 채널 공개 위협 | 초기 심리적 압박 |
| 3단계: 확대 | 임원 가족 괴롭힘, 스와팅 | 개인적 공포 조성 |
| 4단계: 동시 압박 | 언론/규제기관 동시 통보 | 평판 손상 및 외부 압력 |
SLSH가 피해자에게 지불하도록 설득하기 위한 노력의 핵심 구성 요소는 언론을 조작하여 이 그룹이 제기하는 위협을 과대 광고하도록 만드는 것입니다. Nixon은 이 접근 방식이 섹스토션 공격의 플레이북에서도 차용한 것으로, 표적이 불응의 결과에 대해 지속적으로 참여하고 걱정하도록 장려한다고 말했습니다. "SLSH가 발표할 실질적인 범죄 '승리'가 없는 날에는 법 집행 기관, 언론인, 사이버 범죄 업계 전문가들이 이 그룹에 계속 집중하도록 살해 위협과 괴롭힘을 발표하는 데 집중했습니다"라고 그녀는 말했습니다.
흥미롭게도 Nixon 자신도 SLSH의 위협 대상이 되었습니다. 지난 몇 달 동안 이 그룹의 Telegram 채널은 그녀, Brian Krebs, 기타 보안 연구원들에 대한 물리적 폭력 위협으로 가득했습니다. 그녀는 이러한 위협이 그룹이 언론의 관심을 얻고 신뢰성의 겉모습을 달성하려는 또 다른 방법일 뿐이지만, SLSH 구성원들이 피해자와의 커뮤니케이션에서도 보안 연구원들을 언급하고 비방하는 경향이 있기 때문에 침해 지표로 유용하다고 말합니다.
피해기업 보호를 위한 실질적 대응 전략
Unit 221B의 자문에 따르면 피해 기업이 취해야 할 최선의 대응은 명확합니다. "우리는 지불하지 않습니다"라는 답변을 넘어서는 어떤 참여도 추가 괴롭힘을 장려할 뿐입니다. 이는 SLSH의 분열적이고 신뢰할 수 없는 역사를 고려할 때, 유일하게 이기는 방법은 지불하지 않는 것임을 의미합니다.
Unit 221B의 자문은 피해 기업이 SLSH와의 소통에서 또는 공개 성명에서 다음과 같은 행동을 주시하라고 권고합니다. "Allison Nixon(또는 'A.N'), Unit 221B, 사이버 보안 언론인—특히 Brian Krebs—또는 기타 사이버 보안 직원이나 사이버 보안 회사에 대한 반복적인 모욕적 언급. 내부 직원, 사이버 보안 직원, 조사관, 언론인에 대한 살해 위협, 테러 또는 폭력 위협." 이러한 지표들은 SLSH의 전형적인 행동 패턴을 드러내며, 조직이 실제로 이 그룹과 대면하고 있음을 확인시켜줍니다.
사용자 비평에서 지적된 것처럼, 이 글은 강력한 "노페이" 처방을 제시하지만 정량적 근거가 부족한 것이 사실입니다. 실제로 얼마나 많은 기업이 지불했는지, 지불 규모는 어느 정도인지, 협상 시 괴롭힘이 실제로 얼마나 증가하는지에 대한 구체적 통계나 비교 사례는 제시되지 않았습니다. 또한 법무, 보험, 규제 리스크, 고객 통지 의무, 유출 데이터의 민감도 등 현장에서 고려해야 할 다양한 요소들도 있습니다.
그러나 Nixon의 핵심 논지는 여전히 설득력이 있습니다. 데이터 유출은 이미 일어난 일이며 되돌릴 수 없지만, 괴롭힘은 끝날 것이라는 것입니다. 따라서 지불 결정은 괴롭힘과 별개의 문제로 다루어져야 합니다. 이 두 문제를 분리하면, 단기적으로나 장기적으로 조직의 이익을 보호하는 최선의 조치가 지불 거부임을 객관적으로 알 수 있다는 것입니다.
실질적인 대응 전략으로는 다음과 같은 조치들이 권장됩니다. 첫째, 초기 침해 탐지 시스템을 강화하여 전화 피싱이나 자격 증명 수집 시도를 조기에 차단해야 합니다. Mandiant의 보고서에 따르면 SLSH는 IT 직원을 사칭하여 직원들에게 접근하므로, 직원 교육과 다중 인증 절차 강화가 필수적입니다. 둘째, 침해가 발생했을 경우 법 집행 기관과 즉시 협력하고, 전문 보안 컨설팅 업체의 도움을 받아 체계적으로 대응해야 합니다. 셋째, 임원과 그 가족들의 개인 정보 보호를 강화하고, 스와팅 위협에 대비한 지역 경찰과의 사전 협조 체계를 구축해야 합니다.
마지막으로, 언론 대응 전략도 중요합니다. SLSH는 언론을 통한 압박을 주요 전술로 사용하므로, 침해 사실이 공개될 경우를 대비한 위기 커뮤니케이션 계획을 미리 수립해야 합니다. 투명하고 신속한 고객 및 이해관계자 소통이 장기적으로 조직의 신뢰를 보호하는 데 더 효과적일 수 있습니다.
SLSH 같은 새로운 유형의 위협에 대응하기 위해서는 전통적인 랜섬웨어 대응 매뉴얼을 넘어서는 통합적 접근이 필요합니다. 기술적 보안 강화는 물론, 심리적 압박에 대한 준비, 법률적 대응 계획, 위기 커뮤니케이션 전략이 모두 포함된 포괄적인 사이버 복원력 프레임워크를 구축해야 합니다. Unit 221B와 같은 전문가들의 조언은, 비록 일부 정량적 데이터가 보강되면 더 좋겠지만, 이러한 새로운 위협에 대응하는 실질적인 출발점을 제공합니다.
결론적으로 SLSH와 같은 분열적이고 예측 불가능한 조직과의 협상은 피해를 키울 뿐이라는 Nixon의 경고는 심각하게 받아들여져야 합니다. 비록 현장에서는 다양한 변수를 고려해야 하지만, "협상 자체가 해악"이라는 강력한 메시지는 많은 경우 타당합니다. 데이터는 이미 유출되었지만 괴롭힘은 멈출 수 있다는 구분, 그리고 장기적 관점에서 조직을 보호하는 최선의 방법이 단호한 거부라는 원칙은 SLSH 대응의 핵심 지침으로 삼을 만합니다. 다만 사용자 비평이 지적했듯, 구체적 사례 데이터와 다양한 상황별 대응 체크리스트가 보강된다면 더욱 균형 잡힌 정책 결정이 가능할 것입니다.
자주 묻는 질문 (FAQ)
Q. SLSH는 기존 랜섬웨어 그룹과 어떻게 다른가요?
A. SLSH는 전통적인 러시아 기반 랜섬웨어 그룹과 달리 규율이 없고 유동적인 영어권 조직입니다. 암호화보다는 심리전, 스와팅, 가족 괴롭힘에 집중하며, 약속을 지킬 의도가 전혀 없다는 점에서 근본적으로 다릅니다. 또한 The Com이라는 사이버 범죄 커뮤니티 출신으로 내부 분열과 배신이 잦아 신뢰할 수 없는 구조를 가지고 있습니다.
Q. 피해 기업이 SLSH에 돈을 지불하면 안 되는 이유는 무엇인가요?
A. Unit 221B의 Allison Nixon에 따르면 SLSH와 협상하거나 돈을 지불하는 것은 오히려 괴롭힘을 증폭시킬 뿐입니다. 이들은 약속 이행 의도가 없고, 내부적으로 분열되어 있으며, 섹스토션과 유사한 구조로 지속적인 압박을 가하기 때문에 지불해도 데이터가 삭제된다는 보장이 전혀 없습니다. 데이터 유출은 되돌릴 수 없지만 괴롭힘은 단호한 거부로 멈출 수 있다는 것이 전문가의 조언입니다.
Q. SLSH 공격을 예방하기 위해 기업이 취할 수 있는 조치는 무엇인가요?
A. 가장 중요한 것은 직원 교육입니다. SLSH는 IT 직원을 사칭한 전화 피싱으로 SSO 자격 증명과 MFA 코드를 탈취하므로, 직원들이 이런 시도를 식별하고 거부할 수 있도록 훈련해야 합니다. 또한 MFA 설정 변경 시 다층 검증 절차를 강화하고, 침해 탐지 시스템을 업그레이드하며, 임원 개인정보 보호를 강화하고, 법 집행 기관과 사전 협조 체계를 구축하는 것이 필요합니다.
Q. SLSH가 보안 연구원들을 언급하는 이유는 무엇인가요?
A. SLSH는 Allison Nixon, Brian Krebs 같은 보안 전문가들을 반복적으로 위협하고 비방함으로써 언론의 관심을 끌고 자신들의 위협이 실재한다는 인상을 주려 합니다. 이는 심리전 전략의 일환이며, 동시에 피해 기업과의 소통에서도 이러한 인물들을 언급하는 경향이 있어 SLSH의 공격임을 확인하는 침해 지표(Indicator of Compromise)로 활용될 수 있습니다.
Q. 만약 우리 조직이 SLSH의 표적이 되었다면 어떻게 대응해야 하나요?
A. 즉시 전문 보안 컨설팅 업체와 법 집행 기관에 연락하고, "우리는 지불하지 않습니다"라는 명확한 입장을 취해야 합니다. 그 이상의 협상이나 대화는 괴롭힘을 증폭시킬 뿐입니다. 동시에 임원과 가족의 안전을 위한 조치를 취하고, 언론 대응을 위한 위기 커뮤니케이션 계획을 실행하며, 고객과 이해관계자에게 투명하고 신속하게 소통해야 합니다. Unit 221B의 조언처럼 데이터 유출과 괴롭힘을 분리해서 판단하고, 장기적 관점에서 조직을 보호하는 선택을 해야 합니다.
[출처]
KrebsOnSecurity: https://krebsonsecurity.com/