화제가 된 해킹 사건 사고: 주요 사이버 공격 사례 정리와 대응 전략

Scattered Spider 해킹 사건: 항공 산업을 노리는 새로운 위협

배경 및 조직 개요

2022년 이후 활동을 시작한 해킹 그룹 Scattered Spider는 전통적인 사이버 범죄 조직과는 차별화된 특징을 갖고 있습니다. 이들은 주로 사회 공학 기법(Social Engineering)과 제로데이 취약점을 결합한 공격 방식을 활용하며, 클라우드 인프라를 포함한 기업 내부 시스템에 장기적으로 침투하는 전략을 사용합니다.

특히 이 그룹은 금융, 통신, 기술 기업을 넘어 최근에는 항공 산업과 운송 시스템에까지 그 공격 범위를 넓혔습니다. 이는 단순한 데이터 탈취를 넘어 물리적 인프라에까지 영향을 미칠 수 있는 심각한 위협으로 평가되고 있습니다.

---

2025년 항공사 공격 사건 요약

2025년 상반기, 다수의 글로벌 항공사들이 동시다발적인 해킹 공격을 받았습니다. 대표적인 사례로는 다음과 같습니다.

1) 하와이언 항공(Hawaiian Airlines)

• 공격 일시: 2025년 4월 말
• 피해 내용: 내부 예약 시스템 일시 마비, 일부 항공편 지연
• 공격 방식: 내부 직원 계정을 노린 피싱 메일 → 시스템 접근 권한 탈취
• 결과: 수시간 내 대응을 통해 복구, 고객 데이터 유출은 없음

2) 웨스트젯(WestJet)

• 공격 일시: 2025년 5월 초
• 피해 내용: 고객 마일리지 계정 접근, 일부 로그인 시도 흔적 발견
• 공격 방식: 다단계 인증(MFA)이 적용되지 않은 관리자 포털 침입
• 결과: 즉시 로그인 차단 및 비밀번호 초기화 조치

---

공격 기법의 특징

Scattered Spider의 공격은 기존 랜섬웨어 조직들과는 구분되는 여러 가지 특성을 보입니다:

1. 사회 공학을 중심으로 한 초기 침투
   • 직원에게 이메일, 전화 등을 통해 IT 지원을 가장하여 로그인 정보를 획득
   • 다단계 인증을 우회하거나 MFA 설정이 없는 시스템을 표적으로 삼음
2. 조직 내부의 움직임을 정밀 분석
   • 단순한 공격 후 탈출이 아닌, 시스템 내부에서 권한을 점차 확장
   • 자격 증명 탈취 후 수일에서 수주에 걸쳐 추가 시스템을 탐색
3. 수익화 방식이 랜섬웨어와 달리 고도화
   • 단순히 암호화 파일에 몸값을 요구하기보다는, 민감 데이터 유출과 공개 협박을 병행

---

피해 범위 및 보안상의 교훈

이 그룹의 공격은 단순한 서비스 장애를 넘어 항공 보안, 고객 신뢰, 국제 항공 스케줄 운영까지 영향을 미쳤습니다. 이는 항공사뿐 아니라, 전체 운송 및 물류 산업의 사이버보안 체계 강화가 시급하다는 경고로 해석됩니다.

주요 교훈:

• MFA(다단계 인증)의 철저한 적용이 필수
• 내부 직원 대상 보안 교육 및 대응 훈련 필요
• 로그 분석 및 이상 징후 감지 시스템 구축
• 제3자 공급망 업체 보안 점검 강화

---

Glasgow 시의회 해킹 사건: 공공기관 시스템 마비와 시민 사기 피해

사건 개요 및 경과

2025년 6월 중순, 스코틀랜드 글래스고 시의회(Glasgow City Council)는 사이버 공격을 받아 주요 공공 서비스가 일시적으로 중단되는 사고를 겪었습니다. 특히 공격자는 시의회의 ICT 외주 공급업체(CGI)의 시스템을 노려 침투하였으며, 시스템 마비와 함께 가짜 주차 과태료 사기 사건으로 이어졌습니다.

주요 피해 내역

• 주차 과태료 조회 및 납부 시스템 마비
• 쓰레기 수거 예약 시스템 중단
• 시의회 각종 행정 접수 시스템 일시 불능
• 시민 대상 허위 과태료 문자 및 이메일 발송

---

공격 방식과 특징

이번 해킹은 단순한 정보 유출이나 랜섬웨어 공격이 아닌, 서비스 무력화와 2차 사기 유도라는 복합적인 전략이 사용된 사례입니다.

1) ICT 공급업체를 통한 침투

• 시의회 시스템은 CGI라는 외부 IT 서비스 기업에 운영을 위임하고 있었음
• 공급업체의 인증 서버 또는 내부 관리자 계정을 통해 초기 침투
• 공격자는 시의회 운영 시스템에 대한 접근권을 획득하고 핵심 서비스를 정지시킴

2) 시민 대상 사기 메일 배포

• 실제 해킹 직후 공식 사이트가 정상 작동하지 않는 상황을 악용
• 공격자는 시민들에게 SMS 또는 이메일로 가짜 과태료 납부 링크를 배포
• “30분 내 미납 시 벌점 부과” 등의 긴급성 표현으로 클릭을 유도함

3) 금융 정보 수집 목적

• 사기 링크에 접속 시, 신용카드 및 은행 정보를 입력하게 설계됨
• 일부 시민은 납부 의무로 착각하고 실제 결제를 시도한 것으로 나타남

---

시의회의 대응과 조사 경과

Glasgow 시의회는 공격 직후 즉시 시스템 접속을 중지하고 공식 트위터 및 보도자료를 통해 사기성 메시지에 대한 경고를 발표했습니다. 이후 다음과 같은 조치를 취하였습니다:

1) 공공기관 보안체계 점검

• 외부 IT 공급사와의 연계 시스템 점검 및 접근제어 재설정
• 백업 서버를 통해 핵심 기능의 부분 복구를 시도함

2) 수사기관과 협업

• 스코틀랜드 경찰청 및 영국 정보커미셔너 사무국(ICO)에 즉시 신고
• 실제 개인정보 유출 여부와 데이터 암호화/무결성 여부를 분석 중

3) 시민 안내 및 보상

• 공식 웹사이트에 사기 문자 예시 및 신고 안내 공지
• 피해 신고 접수센터 운영 및 은행연합과의 협조를 통해 결제 취소 처리 지원

---

사회적 여파 및 보안 교훈

이번 사건은 특히 공공기관 시스템에 대한 신뢰를 기반으로 한 공격이라는 점에서 주목받았습니다. 시민들은 시의회 명의로 온 문자 메시지에 의심 없이 반응했고, 이로 인해 대중의 사이버 보안 인식의 필요성이 다시 한 번 강조되었습니다.

주요 교훈:

• 공공기관의 외주 시스템 보안 취약성 점검 필요
  • ICT 위탁 시, 보안 SLA(Service-Level Agreement) 필수화
• 시민 대상 정기적 보안 인식 교육
  • 과태료, 세금, 공공 요금과 관련된 사기 유형 사례 전파
• 긴급 공지 시스템 보완
  • 웹사이트 외에도 SNS, 문자 등 복수 채널로 즉각 공지할 수 있는 체계 필요
• SMS 기반 피싱 대응
  • 국가 단위로 URL 필터링, 신고 센터 연계 체계 구축 필요

---

유사 사례와 비교

구분	Glasgow 시의회	일반 랜섬웨어 사건
공격 방식	시스템 정지 + 사기 메시지 발송	데이터 암호화 후 몸값 요구
피해 대상	시민 전체, 행정 인프라	기업 내부 데이터
의도	금전 탈취 + 신뢰 훼손	직접적인 금전 갈취
대응 난이도	대중 안내 필요성↑	기술 복구 중심
2차 피해 가능성	매우 높음 (사기 피해)	비교적 낮음

---

인도 콜카타 대학입학 시스템 해킹 사건: 교육 인프라를 노린 랜섬웨어 공격

사건 개요 및 발단

2025년 5월, 인도 서벵골주 콜카타(Kolkata)에 위치한 Surya Shakti Infotech는 다수의 공립·사립 대학의 입학 시스템을 위탁 운영하는 IT 업체입니다. 이 회사는 온라인 원서 접수, 등록금 납부, 합격자 발표 시스템 등을 통합적으로 관리해왔습니다.

그러나 5월 중순, 해당 회사의 중앙 데이터베이스 서버가 랜섬웨어에 감염되어 수십 개 대학의 입학 일정이 심각하게 지연되었습니다.

---

해킹 방식 및 주요 피해

1) 초기 침투 경로

• 취약한 원격 데스크탑 포트(RDP) 개방 상태에서의 무차별 대입 공격
• 관리자 계정 크리덴셜 탈취 후, 핵심 서버 접근
• 입시 서버 백엔드에서 데이터 암호화 시작

2) 데이터 암호화 및 복호화 요구

• 공격자는 Surya Shakti의 8개 주요 서버를 암호화하고 비트코인으로 복호화 대가 요구
• 첫 72시간 내 복구 실패 시 데이터 공개 및 영구 삭제 경고

3) 피해 범위

• 지원자 수: 약 13만 명 이상
• 피해 내용:
  • 등록금 납부 중단
  • 가짜 납부 링크 유포 (피해자 다수 발생)
  • 합격자 명단 일부 삭제
  • 수험번호 중복 오류, 원서 접수 확인 불가

---

학생 및 학부모 대상 2차 피해

이번 공격으로 인해 많은 학생과 보호자는 실제로 사기 납부 링크에 속아 금전 피해를 입었습니다.

• 사칭 페이지 제작: ‘공식 대학 입학 포털’과 유사하게 만든 사칭 사이트
• 피싱 메일 유포: “지연 보상 차원으로 조기 합격 확인 가능”이라는 메시지 포함
• 결제 정보 탈취: 카드번호, CVV, OTP 등을 요구하는 방식

👉 일부 학생은 등록금 이중 납부를 하기도 하였으며, 사기 피해로 학기 등록을 하지 못한 사례도 존재합니다.

---

대학 및 정부의 대응

1) 긴급 백업 서버 전환

• 웨스트벵골주 교육부는 공격 이후 일부 대학에 대해 직접 백업 서버 및 수동 등록 시스템 가동
• 수기로 원서 접수를 허용하고, 피해자 중심의 인증 절차 간소화 운영

2) 수사 진행

• Bidhannagar 사이버수사국이 사건을 정식으로 접수하고 수사 개시
• 관련 서버에서 해외 IP 활동 기록 확보, 랜섬노트와 암호화 알고리즘 분석 중

3) 법적 조치 및 제도 개선

• Surya Shakti는 IT법 제66조(BNS 2023 개정 조항) 위반으로 조사를 받았으며, 재발 방지를 위한 IT 인프라 전면 점검 실시
• 주 교육청은 입시시스템 보안 가이드라인을 강화하고, OTP 기반 최종 확인 절차를 의무화

---

보안적 시사점 및 교육 분야의 리스크

콜카타 사건은 교육기관조차도 보안에 취약할 수 있음을 여실히 보여주었고, 이로 인해 사회 전반의 사이버 보안 인식이 제고되었습니다. 특히 인도처럼 대학입시가 사회적 경쟁의 중심축인 국가에서는 이런 공격이 갖는 파급력이 크며, 공격자들은 이를 알고 전략적으로 시스템을 노리고 있습니다.

주요 보안 시사점:

• 교육기관도 중요 인프라로 분류되어야 함
• 단일 시스템 의존도를 낮추는 다중 백업 체계 필요
• 사이버 사고 발생 시 빠른 대민 공지 시스템 확보
• 사기성 링크 탐지 시스템 및 교육용 캠페인 강화

---

관련 통계 및 표

항목	내용
공격 일시	2025년 5월 17일~20일
피해 대학 수	약 42개 대학
총 지원자 수	약 130,000명 이상
복구 시간	평균 6일
복호화 금액 요구	4.8 BTC
사기 납부 피해자 수	약 2,200명 (공식 보고 기준)

---

Snowflake 데이터 침해 사건: 클라우드 보안 실패의 교과서

사건 개요

Snowflake는 기업용 클라우드 기반 데이터 웨어하우스 솔루션을 제공하는 미국의 대표적인 SaaS 기업입니다. 2024년 말부터 2025년 상반기까지, Snowflake의 고객사 수십 곳이 자격 증명 탈취 및 MFA 미적용으로 인해 대규모 데이터 유출 피해를 입었습니다.

이번 공격은 단일 고객의 사고가 아닌, 플랫폼 전체의 구조적 취약점을 노린 조직적 해킹 캠페인으로 간주되며, 해커 그룹 UNC5537(일명 Scattered Spider 계열)이 배후로 지목되고 있습니다.

---

공격 방식 및 취약점

1) MFA 미적용 고객 계정 노림

• Snowflake는 자체 보안 권고사항으로 MFA 설정을 제공했지만, 강제사항은 아니었음
• 일부 대기업 고객이 MFA 없이 관리자 계정으로 클라우드에 접속 가능한 상태 유지
• 해커는 다크웹에서 유출된 자격증명을 구매하거나 피싱을 통해 수집 후 접근

2) 접근 권한 상승

• 기본적인 사용자 계정을 확보한 후, 내부 설정 오류 및 권한 상속을 통해 관리자 권한 획득
• 이후 SQL 쿼리를 통한 대량 데이터 추출 실행 → 외부 저장소로 전송

3) 로그 감시 미흡

• Snowflake 내부 보안 경고 시스템이 모든 비정상 활동을 즉시 감지하지 못함
• 특히 “정상 로그인처럼 보이는 API 호출”을 이용해 탐지를 회피

---

피해 기업 및 유출 정보

이번 공격에서 영향을 받은 기업은 160곳이 넘으며, 미국 내 통신, 티켓 예매, 금융, 의료, 정부기관 등 민감 데이터를 보유한 대기업과 기관이 다수 포함되어 있습니다.

기업명	유출 정보	특이사항
AT&T	통화·문자 기록, 상담 내용	수천만 고객 정보 유출
Ticketmaster	티켓 구매 내역, 고객 이메일	다크웹에 판매 시도
LendingTree	대출 이력, 신용 점수 정보	데이터 완전 유출
미국 교육부 일부 부서	학생 지원금 처리 기록	연방기관 연계 조사 진행 중

유출 범위

• 약 9천만 명 이상의 민감한 개인정보
• 전화번호, 이메일, 주소, 생년월일 등
• 일부 기업은 내부 재무자료 및 계약서 초안 등 기밀문서도 포함됨

---

피해 복구 및 대응 조치

1) Snowflake의 공식 입장

• 2025년 5월, Snowflake는 사건을 공식 인정하고 고객 계정 보안 가이드라인 강제화
• MFA 설정 의무화 조치 발표 및 기본 템플릿 보안 강화

2) FBI 및 법 집행기관 대응

• FBI, CISA, 뉴질랜드 CERT 등과 연계한 국제 공동 수사 개시
• 일부 고객사에서 비트코인으로 약 37만 달러 상당의 금액을 해커 측에 지급한 정황 확인

3) 고객사 내부 보안 강화

• 고객사별로 다음과 같은 조치 시행:
  • 관리자 계정 MFA 일괄 적용
  • API 접근 제한 재설정
  • 정기적 로그 분석 및 외부 감사 도입

---

구조적 문제와 시사점

이번 사고는 단순한 사용자 과실이 아니라, 클라우드 SaaS 환경 전체의 보안 설계 부재에서 비롯된 구조적 한계도 드러냈습니다.

1) 사용자 중심 보안 한계

• SaaS 서비스는 고객사에게 설정을 위임하는 구조가 많음
• 이로 인해 설정 오류 또는 미흡한 구성은 곧 보안 리스크로 직결

2) 보안의 자동화/기본화 필요

• MFA는 “선택 옵션”이 아니라 기본 전제 조건으로 설계되어야 함
• 백엔드에서 비정상 쿼리/출력 탐지 시스템의 내재화 필요

3) 클라우드 환경의 사고 복잡도

• 멀티테넌시 구조에서는 단일 침입이 전체 서비스로 확산 가능
• 감사 및 로그 시스템의 복잡성으로 인해 사고 경로 추적이 지연됨

---

요약 비교표

항목	내용
해커 그룹	UNC5537 (Scattered Spider 계열)
공격 방식	자격 증명 탈취 + MFA 미적용 이용
피해 기업 수	160개 이상
피해 규모	약 9천만 명 이상 정보 유출
유출 정보	개인 식별 정보(PII), 통화기록, 티켓 정보 등
보안 교훈	클라우드 기본 보안 설정의 강제화 필요

---

Sepah 은행 해킹 사건: 이란 금융 시스템의 붕괴 위협

사건 개요 및 해커의 주장

2025년 3월, 이란 최대 국영은행 중 하나인 Sepah 은행이 대규모 사이버 공격을 당했습니다. 이 사건의 주체는 해킹 그룹 Codebreakers로 알려져 있으며, 이들은 4,200만 명에 달하는 이란 국민의 금융 정보를 확보했다고 주장했습니다.

해커들은 이 정보를 인질로 삼아 72시간 내에 4,200만 달러 상당의 비트코인을 지불하지 않으면 모든 데이터를 공개하겠다는 협박을 담은 랜섬노트를 게시했습니다.

---

해킹 수법과 침입 경로

1) VPN 장비의 취약점 활용

• 보안 업데이트가 적용되지 않은 VPN 접속 장비에서 제로데이 취약점이 발견됨
• 해당 장비를 통해 내부 네트워크로 침입한 후, 핵심 서버 접근

2) 계정 권한 상승 및 DB 직접 조회

• 내부 관리자 계정 탈취 후, 고객 정보가 저장된 중앙 데이터베이스에 직접 접근
• 고객의 계좌 번호, 로그인 기록, 거래 내역, 신분증 스캔본까지 복사

3) 백업 서버 암호화

• 주 서버 뿐만 아니라, 재난 복구용 백업 서버까지 암호화
• 실시간 복구 및 운영 회복이 불가능한 상태로 만들어, 협상력을 높임

---

유출 정보와 피해 범위

해커 그룹은 자신들이 탈취한 데이터 일부를 다크웹에 공개하며 협박을 현실화했습니다. 이후 이란 국내에서 해당 정보 일부가 유출된 것으로 확인되었습니다.

유출 항목:

• 개인 정보: 이름, 주민번호, 전화번호, 주소
• 금융 정보: 계좌 번호, 잔액, 거래 내역, OTP 연동 휴대폰 정보
• 공무원/군인 대상 특별 계좌 데이터 포함
• 국가 고위 관료 및 은행 고위직의 사적 거래 내역

---

정부 및 은행의 대응

1) 초기 부인 → 일부 인정

• 은행 측은 첫 24시간 동안 해킹 사실을 부인, “일시적 시스템 점검”이라는 발표만 진행
• 하지만 Codebreakers가 일부 고객 데이터를 공개하자, 공식적으로 데이터 유출 사실을 일부 인정

2) 비상조치 발동

• 이란 중앙은행과 정보부는 공동으로 비상대응 TF 구성
• 인터넷 뱅킹 일시 중단, 신규 거래 제한, 내부망 격리
• 은행 웹사이트 및 전산망에 대해 군사 수준의 보안 감사 진행

3) 사회적 혼란

• SNS를 통해 가짜 ‘은행 폐쇄설’ 퍼지며 현금 인출 대란 발생
• 사설 환전소에서 화폐 가치 급락, 국민 불안 심화
• 일부 은행 직원 내부 공모설까지 제기되며 신뢰도 하락

---

사회·정치적 여파

이번 해킹 사건은 단순한 금융 시스템의 문제를 넘어 정치·사회 전반에 걸쳐 충격을 유발했습니다. 이유는 다음과 같습니다:

1) 국가 고위직 정보 노출

• Codebreakers는 일부 고위 공무원의 비자금 거래 또는 국외 송금 기록을 공개하며 부패 의혹 제기
• 이란 내 정치 불신 및 시민 항의 촉발

2) 금융기관의 구조적 취약성 노출

• 이란 국영은행 다수가 동일한 전산 시스템과 운영 인프라를 사용
• 하나의 은행이 무너지면 다른 은행에도 연쇄 피해가 이어질 수 있는 상황

3) 국제 금융제재의 역이용

• 미국과 유럽의 금융제재로 인해 이란 은행들이 글로벌 보안 솔루션 도입에 제한을 받아, 구형 시스템을 유지하고 있었음
• Codebreakers는 이러한 국제 제재의 ‘구멍’을 정확히 노림

---

보안적 교훈 및 정책적 시사점

이 사건은 단지 사이버보안의 문제가 아니라, 국가 기반 시설 운영 전반의 보안 전략에 대해 다음과 같은 교훈을 남깁니다:

• 금융기관은 클라우드 이전보다 보안 우선 전략이 필요함
• 비상 백업망과 비연결식 보조 시스템 유지가 핵심
• 제로트러스트 아키텍처 적용이 필요
• 관리자 권한 이중 인증 강화와 외부 접근 로깅 필수

---

요약 정보 및 비교표

항목	내용
사건명	Sepah 은행 해킹
해커 그룹	Codebreakers
피해자 수	약 4,200만 명
요구 금액	4,200만 달러 (BTC 기준)
유출 정보	개인 식별 정보, 계좌 및 거래 기록, 고위직 민감 정보
사회적 여파	SNS 대란, 현금 인출 혼란, 정부 신뢰도 하락

---

FAQ – 사이버 해킹 사건에 대한 자주 묻는 질문

---

결론 – 사이버 위협 시대, 예방이 최고의 대응이다

전 세계적으로 해킹 사건의 빈도와 정교함은 해마다 증가하고 있으며, 이제는 단순한 개인 해킹을 넘어 국가 기반 시설, 금융 시스템, 교육 기관, 항공 산업 등 모든 분야가 대상이 되고 있습니다.

이번 콘텐츠에서 다룬 여러 사례들은 공통적으로 다음과 같은 교훈을 전달합니다:

• MFA를 포함한 인증 시스템의 강화는 필수
• 취약점 패치 및 백업 체계는 정기적으로 검토되어야 함
• 공급망 보안 및 외주 업체 관리 체계도 내재화해야 함
• 사회 공학 기법에 대한 대국민 인식 교육이 필요

또한 각국 정부와 기업은 사이버보안을 단순한 IT 문제가 아닌, 운영 리스크 관리와 국가 안보 차원의 문제로 인식해야 하며, 지속적이고 전방위적인 방어 전략을 수립해야 할 것입니다.

사이버 공격은 기술만으로 막을 수 없습니다. 사람, 프로세스, 기술이 유기적으로 연결된 통합 보안 전략이 이 시대에 반드시 필요한 대응 방식입니다.

---

함께보면 좋을 사이버보안 시리즈

• 사이버보안 입문하기: 내 정보를 지키는 첫 걸음
• 사이버보안이란 무엇인가? 기초부터 알아보는 개념 정리
• 사이버보안: 암호화 기술? 데이터 보호의 핵심 기술
• 사이버 공격의 유형: 해킹, 피싱, 멀웨어, DDoS 등
• 개인 사이버보안: 나만의 보안을 지키는 10가지 방법
• 기업을 위한 사이버보안: 작은 기업도 할 수 있는 기본 보안 전략
• 사이버 보안: 제로트러스트? 내부도 신뢰하지 않는 보안 모델

출처 및 참고자료:

1. Scattered Spider 관련 보도 (Reuters)
2. Glasgow 시의회 해킹 관련 (The Scottish Sun)
3. 인도 대학입학 시스템 랜섬웨어 사건 (Times of India)
4. Snowflake 해킹 사건 요약 (Wikipedia)
5. MOVEit 해킹 사건 요약 (Wikipedia)
6. Sepah 은행 해킹 사건 요약 (Wikipedia)
7. Salt Typhoon / 미국 통신기기 해킹 (Wikipedia)
8. 2025년 5월 사이버 공격 사건 정리 (CM Alliance)