랜섬웨어 사이버 보안 소매업 데이터 유출 사회공학적 공격 블랙파일 보이스 피싱 호텔업계 RH-ISAC Unit 42

블랙파일, 소매·호텔업계에 대규모 사이버 공격 확산

사이버 보안 연구기관인 팔로 알토 네트워크스의 Unit 42는 블랙파일(BlackFile) 해킹 그룹이 소매 및 호텔업계 기업을 대상으로 한 데이터 유출 및 금전 갈취 공격을 지속하고 있다고 밝혔다. 이 공격은 지난 2월부터 본격화되었으며, 관련 지표가 RH-ISAC(Retail Hospitality Information Sharing and Analysis Center)에 의해 공개되었다.

블랙파일이란?

블랙파일은 CL-CRI-1116, UNC6671, Cordial Spider로도 불리는 해킹 그룹으로, 타겟 조직의 주요 계정을 탈취해 7자릿수 규모의 몸값을 요구하는 것이 주 목표다. Unit 42의 수석 연구원인 Matt Brady는 "이 threat actor들은 조직에 압박을 가해 대량의 몸값을 지급하도록 유도한다"고 설명했다.

공격 방식: 보이스 피싱과 사회공학적 기법

블랙파일은 다음과 같은 다단계 공격을 진행한다:

  • 사회공학적 공격: IT 지원 사칭 전화를 통한 보이스 피싱으로 초기 접근 시도
  • 피싱 페이지: 기업의 싱글 사인온(SSO) 서비스와 유사한 가짜 로그인 페이지로 로그인 정보 탈취
  • 임원 대상 스와팅: 일부 공격에서는 임원 및 직원 대상 스와팅을 동원해 압박을 가함
  • 내부 계정 탈취: 탈취한 로그인 정보를 바탕으로 권한이 높은 계정으로 침투

RH-ISAC는 "공격자들은 내부 직원 디렉토리를 스크래핑해 임원의 연락처를 확보하고, 이를 바탕으로 추가적인 사회공학적 공격을 진행한다"고 밝혔다. 이렇게 확보된 계정을 통해 SaaS 환경, Microsoft Graph API, Salesforce API 등에 접근해 광범위한 데이터 유출을 시도한다.

데이터 유출 사이트까지 동원한 갈취

블랙파일은 몸값 요구에 응하지 않거나 거부한 조직을 대상으로 데이터 유출 사이트를 운영하고 있다. 이 사이트를 통해 유출된 데이터를 공개하거나 추가적인 금전적 요구를 하는 방식으로 압박을 가하고 있다.

보안 권고사항

RH-ISAC는 조직들에게 다음과 같은 보안 조치를 권고했다:

  • 통화자의 다단계 인증(MFA) 관리 강화
  • 단일 통화 내 IT 지원 조치 제한(관리자 승인 필수)
  • 내부 계정 접근 권한 최소화

관련 그룹과의 연관성

블랙파일의 활동은 CrowdStrike2025년 10월부터 추적 중인 Cordial Spider 캠페인과도 연관성이 있는 것으로 나타났다. 또한 구글의 Threat Intelligence GroupOkta가 1월에 경고한 다중 사이버 범죄 그룹의 보이스 피싱 공격과도 연계되어 있다.

피해 규모 및 대응 현황

Unit 42는目前为止(현재까지) 몇 개의 조직이 피해를 입었는지 공개하지 않았다. RH-ISAC 또한 요청에 대한 답변을 거부했다. 그러나 블랙파일의 공격은 의료, 기술, 운송, 물류, 도매업 등 다양한 산업으로 확산되고 있는 것으로 확인되었다.

"블랙파일의 공격은 단순히 데이터 탈취를 넘어 조직의 운영을 마비시킬 수 있는 수준으로 진화하고 있다. 보안 인프라의 강화가 시급하다."

— Unit 42 수석 연구원 Matt Brady
출처: CyberScoop
백악관 correspondents dinner 총격 용의자, 트럼프 기독교 비판에 분노
← 이전

백악관 correspondents dinner 총격 용의자, 트럼프 기독교 비판에 분노

 NBC 풋볼 나이트 인 아메리카, 원정 방송 전환…Mike Tomlin 합류
다음 →

NBC 풋볼 나이트 인 아메리카, 원정 방송 전환…Mike Tomlin 합류