새로운 사이버 범죄 조직, ‘스캐터드 스파이더’ 수법 모방해 공격 급증

크라우드스트라이크, 새로운 사이버 위협 그룹 ‘코디얼 스파이더’와 ‘스나키 스파이더’ 경고

최근 사이버 보안 기업 크라우드스트라이크는 ‘코디얼 스파이더(Cordial Spider)’와 ‘스나키 스파이더(Snarky Spider)’로 명명한 두 새로운 사이버 범죄 그룹이 주요 인프라 sector를 대상으로 신속한 데이터 절도 및 금전적 갈취 공격을 수행 중이라고 밝혔다. 이 공격자들은 최소 2025년 10월부터 활동해 왔으며, 음성 피싱과 소셜 엔지니어링 기법을 활용해 조직의 ID 플랫폼에 침투하고 SaaS 환경을 장악했다고 크라우드스트라이크는 발표했다.

크라우드스트라이크의 애덤 메이어스(Adam Meyers) 수석 부사장은 이 두 그룹이 영어를 모국어로 사용하는 공격자들로, 미국 내 항공, 소매, 숙박, 자동차, 금융 서비스, 법률, 기술 sector의 조직을 주로 표적으로 삼고 있다고 설명했다. 이들은 ‘스캐터드 스파이더(Scattered Spider)’와 밀접한 관련이 있으며, ‘SLSH’와 ‘ShinyHunters’ 등 ‘더 컴(The Com)’의 하위 그룹과도 연계되어 있는 것으로 분석됐다.

정교한 공격 기법과 다단계 인증 우회

이 공격자들은 다단계 인증(MFA) 시스템을 우회하는 데 주력하고 있으며, 초기 침투 후에는 조직의 이메일과 알림을 삭제해 악성 활동이 노출되지 않도록 조치한다고 연구팀은 밝혔다. 특히, ‘블랙파일(BlackFile)’이라는 데이터 유출 사이트를 운영하던 코디얼 스파이더의 도메인이 최근 오프라인 상태로 전환된 것으로 확인됐다.

공격자들은 거주자 프록시 네트워크(Residential Proxy Networks)를 활용해 IP 기반 탐지를 회피하고 있으며, 이 네트워크는 실제 가정용 IP를 사용해 정상적인 트래픽으로 위장하는 특징이 있다. 크라우드스트라이크는 Mullvad, Oxylabs, NetNut, 9Proxy, Infatica, NSOCKS 등 다양한 프록시 서비스를 악용하고 있다고 지적했다.

금전적 갈취와 추가 공격 수법

크라우드스트라이크에 따르면, 코디얼 스파이더와 스나키 스파이더는 7자리 이상의 금액을 요구하는 금전적 갈취를 실시하고 있으며, 일부 피해 조직의 경우 DDoS 공격을 당하기도 했다. 특히 스나키 스파이더는 ‘스와팅(Swatting)’과 같은 공격적 후속 조치를 통해 피해 조직의 직원들에게 위협을 가하는 것으로 알려졌다.

이들은 사기성 피싱 페이지를 통해 직원들의 로그인 정보와 세션 키를 탈취하며, 이를 기반으로 SaaS 환경 전체에 접근권을 획득한다. 또한, MFA 장치를 제거하고 이메일 알림을 삭제하는 등 조직의 대응을 무력화하는 전략을 구사하고 있다.

유사 공격 사례 증가와 sector별 위협

이번 경고는 팔로 알토 네트워크스의 유닛 42(Unit 42)와 소매·숙박 정보 공유 분석 센터(Retail Hospitality Information Sharing and Analysis Center)가 지난주 발표한 연구 결과와도 맥락을 같이한다. 유닛 42는 코디얼 스파이더가 소매·숙박 sector를 비롯한 다양한 sector의 조직을 공격했다고 보고했으며, 이 공격들은 ‘CL-CRI-1116’과 ‘UNC6671’으로도 추적되고 있다.

크라우드스트라이크는 이 두 그룹의 공격이 ‘스캐터드 스파이더’의 수법과 유사하지만, 운영 시간, 피싱 도메인 제공업체, 선호 운영 체제, 데이터 유출 사이트, MFA 등록 도구 등에서 차이점을 보이고 있다고 분석했다. 이는 각 그룹의 독립적인 운영 전략을 반영한 것으로 보인다.

사이버 보안 전문가들은 조직들에게 다단계 인증 강화, 피싱 대응 훈련, SaaS 환경 모니터링 등을 통해 이러한 위협에 대비할 것을 권고하고 있다.