한국 보안기업 쿼드마이너(QuadMiners)가 신흥 랜섬웨어 조직 'nightspire'(나이트스파이어)의 공격을 받아 대규모 정보 유출 사고를 당한 것으로 전해졌다. 피해는 지난 6월 2일 발생했으며, 내부 감시 시스템에 의해 6월 6일 오후에서야 탐지됐다. 이번 공격은 쿼드마이너가 운영하는 미국 기반 자회사 또는 현지 사업 인프라를 대상으로 발생한 것으로 보이며, 약 40GB에 달하는 데이터가 탈취된 것으로 추정된다.
이 공격은 단순한 데이터 암호화에 그치지 않고, 탈취한 데이터를 암시장 또는 다크웹 상에서 유출하겠다고 협박하는 ‘이중 갈취(Double Extortion)’ 방식으로 이루어졌다. nightspire는 침투 직후 내부 시스템을 정찰하고 민감 정보를 수집한 뒤, 이를 암호화하고 피해 기업을 협상 테이블로 끌어내기 위한 심리적 압박을 가했다.
■나이트스파이어 조직의 공격 방식
나이트스파이어는 ‘RaaS(Ransomware-as-a-Service)’ 형태의 구조를 갖춘 조직으로 평가받고 있다. 개발과 운영을 담당하는 중앙 조직이 존재하며, 다양한 하위 공격자들이 이 플랫폼을 활용해 기업을 감염시키는 방식이다. 이들은 감염 이후 피해자의 데이터를 암호화하는 데 그치지 않고, 민감한 데이터를 외부로 유출한 뒤 다크웹에 게시하며 금전적 협상을 유도하는 이중 갈취(Double Extortion) 전략을 구사한다.
공격 방식은 고도화되고 있다. 나이트스파이어는 이메일 피싱 외에도, VPN 장비, 원격 데스크탑(RDP), 웹 애플리케이션, 방화벽 등 인터넷에 노출된 시스템의 취약점을 노려 직접 침투하는 방식을 즐겨 사용한다. 최근에는 Fortinet 장비의 알려지지 않은 취약점을 활용한 공격 정황도 보고된 바 있으며, 잘못 설정된 리버스 프록시나 웹 서버 구성이 취약한 환경이 우선 타깃이 되고 있다.
내부로 침투한 이후에는 ‘Mimikatz’, ‘PsExec’, PowerShell 등의 도구를 활용해 내부 인증 정보를 탈취하고, 이를 바탕으로 내부망에서 lateral movement(횡적 이동)를 수행한다. 공격자는 데이터를 확보한 뒤 기업의 핵심 시스템을 암호화하고, ‘README_NIGHTSPIRE.txt’와 같은 협박 메시지를 통해 랜섬 요구사항을 전달한다. 피해 파일은 주로 .nightspire 확장자로 변경되며, 내부 백업 시스템까지 함께 암호화하는 특징을 보인다.
이 조직의 위험성은 단순한 기술력만으로 설명되지 않는다. 정교한 공격 전개보다는 민첩한 조직 구조와 빠른 진화 속도가 강점이다. 조직화된 매뉴얼보다는 타깃 환경에 맞춰 유동적으로 공격 방식을 조정하며, 감염 기업을 압박하는 심리적 수법도 더욱 세련되게 진화하고 있다. 다크웹 유출 게시판에는 피해 기업의 로고와 이름, 유출된 문서 샘플이 게시되며, 일정 기간 안에 협상이 이루어지지 않을 경우 전체 유출을 경고하는 방식으로 압박 수위를 높이고 있다.
2025년 4월 이후 나이트스파이어의 공격을 받은 것으로 확인된 기업은 미국의 쿼드마이너를 포함해 캐나다 금융사 AetherBank, 대만 의료기관 MedixGroup, 독일의 제조업체 AutroPack 등이다. 산업군도 기술, 금융, 의료, 제조까지 다양하며, 피해 기업의 규모와 국가도 특정되지 않는다. 이는 나이트스파이어가 특정 국가나 대기업만을 타깃으로 하지 않고, 상대적으로 방어 체계가 취약한 중견 기업이나 보안 인프라가 노후화된 기관도 포함시켜 무차별 공격을 감행하고 있음을 의미한다.
HookPhish 웹사이트 자료
■락빗이나 블랙캣과 같은 대형 조직으로 성장 우려
보안 전문가들은 나이트스파이어가 향후 락빗(LockBit)이나 블랙캣(BlackCat)과 같은 대형 랜섬웨어 조직의 뒤를 이을 수 있는 잠재력을 지닌 신흥 위협군으로 보고 있다. 공격 기술은 일부 미완성된 부분이 있으나, 짧은 시간 내 빠르게 진화하고 있으며, 이미 공격 규모와 파급력에서는 상위권에 근접하고 있다는 평가가 나오고 있다.
한국 기업들도 안심할 수 없는 상황이다. 특히 미국, 대만 등 해외 지사나 클라우드 인프라를 활용하고 있는 기업은 보안 구성이 느슨한 경로를 통해 외부로부터 노출될 가능성이 크다. 더불어, 보안 솔루션을 개발·판매하는 보안기업조차도 이제 공격 대상에서 예외가 아님을 이번 쿼드마이너 사건이 보여주고 있다.
전문가들은 나이트스파이어와 같은 신흥 위협에 대응하기 위해서는 전통적인 백신이나 방화벽 중심의 방어가 아닌, 행위 기반 탐지(EDR, XDR), 위협 인텔리전스 기반의 선제적 차단, 다크웹 유출 모니터링, 실시간 사고 대응 체계 구축 등 다층적 보안 접근이 필요하다고 강조하고 있다. 또한 경영진과 실무자 대상의 피싱 훈련 및 사회공학 기법 대응 교육도 반드시 병행되어야 한다고 조언한다.
신생 조직인 나이트스파이어는 아직 조직 구성이나 전략이 완전히 체계화되진 않았지만, 그만큼 보안 솔루션의 패턴 탐지를 회피할 수 있는 변칙성이 존재한다. 이런 유연성과 기민함은 기존 보안 시스템이 예상하지 못한 방식으로 침투할 가능성을 높인다. 보안 담당자들은 자신이 지키고 있는 시스템이 이미 누군가의 레이더에 포착되어 있을 수 있다는 가정 아래, 모든 엔드포인트와 외부 노출 장비에 대한 철저한 점검과 방어 전략을 수립해야 할 시점이다.
■공격 목표로 떠오른 한국 보안 기술기업
쿼드마이너는 한국을 기반으로 하는 보안 기술 기업으로, 보안 분석과 위협 탐지 솔루션 개발에 집중해온 업체다. 특히 최근 몇 년간 미국을 포함한 해외시장 공략에 나서며 글로벌 보안 시장에서 입지를 넓혀가던 상황이었다. 이번 공격은 이러한 해외 비즈니스 영역에서 발생한 것으로 추정되며, 나이트스파이어 측은 공격 직후 피해 기업의 이름과 일부 데이터 샘플을 다크웹 유출 게시판에 공개하며 압박 수위를 높였다.
한국 내 주요 보안 커뮤니티와 정보보호 기관들은 이번 사건을 계기로 "한국 보안기업도 주요 공격 타깃이 되고 있다."는 점을 경고하고 있다. 실제로 최근 몇 달간 대만, 싱가포르, 인도네시아 등의 보안 관련 업체들이 연쇄적으로 공격을 받은 사례가 늘고 있으며, 한국 기업도 그 연장선상에 있다는 평가다.
이번 사건은 단순한 한 기업의 피해를 넘어서 한국 사이버보안 산업 전반에 알람을 울리고 있다. 전문가들은 나이트스파이어와 같은 랜섬웨어 그룹이 특정 지역이나 산업군을 선별하지 않고, 글로벌 타깃을 무작위적으로 공격하는 특성을 가지고 있다는 점에서, 그 어느 때보다도 사전적 방어 전략과 내부 보안 체계 강화가 필요하다고 강조한다.
특히 보안기업의 경우 고객사 및 파트너사의 민감한 정보나 시스템 연계성을 보유하고 있기 때문에, 2차 피해로 이어질 가능성도 배제할 수 없다. 쿼드마이너 측은 공격 발생 이후 외부 유출을 차단하고 피해 범위 파악에 나선 것으로 전해졌으며, 내부 시스템을 분리하고 디지털 포렌식 절차를 진행 중인 것으로 알려졌다.
국내 사이버보안 전문가들은 “이제 보안 솔루션을 제공하는 기업조차 공격자의 표적이 되는 시대”라고 진단하며, 보안기업 내부의 대응 체계 또한 일반 기업 이상으로 고도화될 필요가 있다고 강조했다. 특히 고객사와 연계된 시스템이 많을수록 위협의 확산 가능성은 기하급수적으로 커질 수 있어 각별한 주의가 필요하다. |
