‘스캐터 스파이더’ 해킹그룹, 타깃을 소매업체에서 보험사로

스캐터드 스파이더(Scattered Spider)로 알려진 분산형 해킹 그룹이 소매업체에서 보험 회사로 공격 대상을 전환한 것으로 나타났다.

구글의 자회사이자, 글로벌 사이버 보안 전문기업 맨디언트(Mandiant)는 최신 보안 트렌드 분석 보고서 ‘M-Trends 2025’에서 이같이 밝혔다.

보고서에 따르면, 보험업계는 전체 조사된 사이버 침입 사건 중 17.4%로 산업별 최고 타격률을 기록했다. 특히 사이버 공격자들은 고객 개인정보, 계약서, 청구 기록 등 민감 정보가 집적된 보험사의 데이터 환경을 주요 공격 자산으로 인식하고 있는 것으로 분석됐다.

맨디언트는 보험사를 노린 공격이 ▲대규모 고객 기반, ▲높은 민감도 데이터를 보유한 특성, ▲디지털 전환 가속화로 인한 보안 공백 등의 요인에서 비롯된다고 진단했다.

실제로 최근 몇 년간 보험사는 인공지능 기반 리스크 평가, 자동화된 보험금 청구 처리, 클라우드 기반 가입 시스템 등으로 빠르게 전환했으나, 이에 따른 보안 체계는 아직 완전하지 않은 것으로 알려졌다. 복합 인증 체계와 클라우드-온프레 환경 간 연동 취약점이 존재하며, 이는 공격자에게 ‘침투하기 쉬운 고가치 목표물’로 인식되는 계기가 되고 있다는 것이다.

보고서는 보험사 침해의 대표적인 공격 수단으로 ‘취약점 기반 침투’(33%), ‘도난 자격증명 활용’(16%), ‘북한 IT 인력의 내부 침투’를 꼽았다.

취약점 기반 침투는 공격자가 방화벽, 클라우드 게이트웨이, 보안 장비 등에 존재하는 알려진 취약점을 이용해 보험사의 내부망에 접근하는데, Palo Alto PAN-OS, Fortinet, Ivanti 등 주요 장비의 제로데이 취약점이 활용되고 있는 것으로 나타났다.

도난 자격증명 활용과 관련해선, 보험사 직원들이 브라우저에 저장해둔 ID/PW, 클라우드 계정 접근키 등이 인포스틸러(infostealer) 악성코드에 감염된 개인 장비에서 유출되는 사례가 다수 발생됐고, 탈취된 자격증명은 암시장에서 거래되며 2차 침입에 활용되 고있는 것으로 분석됐다.

특히 주목할 점은 북한 국적의 IT 개발자들이 허위 신분으로 보험사에 원격 근무자로 취업해 내부 시스템에 접근한 사례다. 보고서에 따르면, 이들은 입사 후 정상 업무를 수행하며 코드 수정, 시스템 설정, 데이터 접근 권한을 얻고, 이후 특정 정보를 탈취해 금전 요구형 협박으로 이어지기도 했다.

보험사들은 사고 발생 후 기업 내부에서 스스로 침입을 탐지한 비율은 단 43%에 불과했으며, 나머지 대부분은 공격자(14%) 혹은 외부 보안 파트너(43%)로부터 침해 사실을 통보받고 알게 된 것으로 조사됐다.

보험사를 포함한 금융 산업의 탐지 지연 시간은 평균 11일, 랜섬웨어의 경우 단 5일 이내 공격자가 직접 몸값을 요구하며 존재를 알리는데, 이는 보험업계 내부 보안 감시 시스템이 여전히 수동적이며, 실시간 탐지 및 대응 능력이 미흡하다는 점을 시사하는 것이라고 경고했다.