🛡️ “미국 소매업계도 주의!”Scattered Spider, DragonForce 등 글로벌 랜섬웨어 그룹의 표적이 된 리테일 산업 🚨

안녕하세요,
오늘은 사이버 위협 분야에서 최근 특히 이슈가 되고 있는 Scattered Spider(스캐터드 스파이더, UNC3944)
그리고 DragonForce 랜섬웨어 그룹의 미국 리테일 산업(소매업계) 공격 전환에 대해 정리해 드립니다!

사이버 공격의 대상은 금융·헬스케어 등 고정된 영역을 넘어
이제는 일상에서 가장 많이 접하는 "리테일 기업"으로 빠르게 확장되고 있습니다.

특히 Google, Mandiant(구글 산하), 그리고 각종 보안 업체들은
“영국 소매업계에서 벌어진 대규모 침해 사건이, 이제 미국 리테일 업계로 확산 중”이라며
모든 소매·유통 기업들에게 “Shields up!”(방패를 올리세요!) 경보를 내렸습니다.

---

🎯 공격의 대상, 그 이유는?

리테일 기업들은 고객의 개인정보(PII), 결제 정보, 거래 내역 등
막대한 양의 데이터를 보유하고 있고
대부분 온라인/모바일/카드 결제 등 디지털 채널을 통해 운영되기 때문에
한 번의 공격으로 금전적 피해+평판 손실+업무 마비까지 발생할 수 있습니다.

특히, 랜섬웨어 공격에 성공할 경우
결제 시스템, POS(Point of Sale) 등 “돈이 오가는 시스템”이 멈추면
피해 기업은 즉각 ‘몸값’을 지불해야 하는 압박에 시달리죠.

---

🕷️ Scattered Spider(UNC3944)란 누구인가?

Scattered Spider(UNC3944)는

• 주로 미국, 영국, 호주 등 영어권 국가의 대형 기업을 노리는
• 사회공학, SIM 스와핑, 계정탈취, 랜섬웨어, 데이터 유출 등
  다양한 공격 방법을 혼합하는 ‘금전적 동기’ 사이버 범죄 집단입니다.

주요 특징

• 초기 침투: 전화·이메일·메신저 등을 활용한 '헬프데스크 사칭' 및 사회공학 기법
  (ex. 임직원 행세, 헬프데스크로 전화해 “비밀번호 리셋 요청”)
• 계정 장악: SIM 스와핑으로 2FA(이중 인증) 우회, 관리 계정 탈취
• 랜섬웨어 배포: 최근에는 DragonForce, RansomHub 등 RaaS(Ransomware as a Service) 그룹과 협력
• 신속한 내부 확장: 내부 네트워크 이동 속도 빠르고, 백업 시스템까지 노림

---

🏬 실제 피해 사례: 영국 리테일 기업에서 미국 리테일로

2024년 5월, DragonForce 랜섬웨어 그룹은

• Co-op, Harrods, Marks & Spencer(M&S) 등 영국 대형 리테일 기업을 공격해
  고객 데이터, 결제 내역, 내부 문서를 탈취·유출했습니다.

M&S는 실제로 고객 정보 유출을 공식 인정했고,
사건은 미국/글로벌 리테일 업계 전체에 큰 충격을 안겼습니다.

이후 Google, Mandiant, 그리고 각종 보안 분석가들은
“동일한 공격 집단이 이제 미국 리테일 업계를 겨냥해 랜섬웨어/사회공학 공격을 전개 중”이라고 밝혔습니다.

---

🇺🇸 미국 소매업계, 랜섬웨어 위협에 직면하다

1. 공격 방식 변화

• 영국 침해 직후, 미국 내 소매업계 대상으로 공격 "확대"
• Mandiant “실제 10개 미만의 미국 리테일 기업에서 침해 시도·피해 발생”
• 일부 기업은 직접 시스템을 오프라인 전환해 공격 확산을 막았으나, 영업 손실 불가피

2. 실제 침투 경로

• 내부 지원센터/헬프데스크 전화(사회공학)
• 임직원 계정 탈취 → 2FA 무력화 → 권한 상승
• 랜섬웨어 배포 및 데이터 탈취, 거래 중단 협박

3. 데이터 유출 위험

• 고객 이름/주소/이메일/전화번호/마스킹된 신용카드 정보
• 내부 지원 매뉴얼, 운영 매뉴얼, 사내 트레이닝 자료
• 영업 데이터, 결제 시스템 데이터 등

---

⚠️ 기업이 반드시 실천해야 할 보안 수칙 (실무 가이드)

1️⃣ 헬프데스크·내부 지원 시스템 접근 강화

• 임직원, 계약직, 3rd party 등 모든 사용자의 계정 접근 로그 주기적 점검
• 비밀번호 리셋, 권한 변경 등 민감 절차에 2인 승인(dual control) 필수

2️⃣ SIM 스와핑, 2FA 우회 탐지/차단

• 모바일 인증 방식 사용 시 ‘SIM 스와핑 알림’ 및 추가 인증체계 적용
• 이메일·모바일 변경 시 관리자 승인/별도 경고 메시지 안내

3️⃣ 랜섬웨어 대비 백업 전략

• 주요 시스템(결제, POS, 고객 DB) 오프라인/클라우드 백업, 정기 복원 테스트
• 백업 시스템에도 별도의 접근 제어, 이상 접근 자동 알림

4️⃣ 직원 대상 사회공학(피싱) 교육

• 헬프데스크 사칭, 계정 리셋 요청 등 실전 사례 중심 훈련
• "모르는 요청자에게 계정정보·인증코드 절대 제공 금지" 반복 교육

5️⃣ 비상 대응 매뉴얼, 사고대응팀(IRT) 구성

• 실시간 침해 탐지, 즉각적 시스템 격리, 피해확산 방지 체계 구축
• 침해 발생 시 신속한 복구/대응 및 고객 안내 체계 준비

---

📝 결론: 소매업계의 “보안 방패”, 이제는 선택이 아닌 필수입니다!

이제 사이버 공격은 '우리 업계와는 상관없다'라는 생각을 할 수 없는 시대입니다.
Scattered Spider, DragonForce와 같은 랜섬웨어 그룹은
전통적 보안이 단단한 대기업조차 내부 인적/사회공학 공격을 통해 무력화하고 있습니다.

미국 소매업계 뿐 아니라
국내외 유통, 쇼핑몰, 패션, F&B 등 모든 산업군이

• 헬프데스크·계정보안 강화
• 2FA 우회 방지
• 정기적 피싱/사회공학 교육
• 랜섬웨어 사고 대응 매뉴얼
  을 갖추어야 진짜 위협을 막아낼 수 있습니다.

조직 내 “작은 허점 하나”가 랜섬웨어, 대규모 데이터 유출, 영업 마비로 이어질 수 있음을
꼭 기억해 주세요!
오늘도 모두 안전한 비즈니스를 응원합니다 😊🛡️