뉴스로 돌아가기
연구높음

SLSH 랜섬웨어 전술 고도화: 사이버 공갈에 연료를 더하는 몸값 지불의 위험성

3분 읽기출처: Krebs on Security
Cybercriminal in hoodie using laptop with ransomware extortion messages and Telegram logos on screen

Scattered Lapsus Shiny Hunters(SLSH)가 랜섬웨어 공격에 심리전 전술을 도입하며 몸값 지불의 악순환을 가속화하고 있다. 전문가들은 ‘지불 불가’ 원칙만이 사이버 공갈 확산을 막을 수 있다고 경고한다.

SLSH, 랜섬웨어 전술에 심리전 도입으로 압박 강화

악명 높은 사이버 공갈 조직 **Scattered Lapsus Shiny Hunters(SLSH)**가 피해 기업에 대한 압박 수단을 고도화하며 데이터 유출, 협박, 스와팅(swatting), 언론 조작 등을 결합한 공격 전술을 구사하고 있다. 전통적인 랜섬웨어 조직과 달리, SLSH는 임원 및 가족을 대상으로 한 개인 위협, DDoS 공격, 규제기관 신고 등을 통해 피해 기업에 지속적인 압박을 가한다. 일부 피해 기업이 유출 데이터 차단이나 공격 중단 목적으로 몸값을 지불했다는 보고가 있지만, 사이버 보안 전문가들은 ‘지불 불가’ 원칙 외의 모든 대응이 추가 악용을 부추길 뿐이라고 경고한다.

기술 분석: SLSH의 공격 방식

SLSH의 전술은 기존 랜섬웨어 공격과 몇 가지 결정적인 차이점을 보인다.

  • 초기 침투: SLSH는 **전화 기반 피싱(voice phishing)**을 통해 IT 담당자로 위장, 직원들을 속여 SSO(Single Sign-On) 자격 증명 및 MFA(Multi-Factor Authentication) 코드를 탈취한다. 구글의 Mandiant는 2026년 1월 SLSH의 공격에서 피해 기업 브랜드를 도용한 자격 증명 탈취 사이트가 사용되었다고 보고했다.

  • 공갈 단계: 피해 기업은 SLSH가 Telegram을 통해 공개적으로 기업명을 언급할 때 처음으로 침해 사실을 인지하는 경우가 많다. 이 과정에서 다음의 공격이 동반된다.

    • 스와팅 공격: 가짜 폭탄 신고나 인질극을 통해 무장 경찰 출동을 유도.
    • 이메일/SMS/전화 폭격: 통신망 마비 목적의 대량 메시지 전송.
    • 부정적 언론 캠페인: 언론사에 정보 유출로 악의적인 보도 유도.
    • 규제기관 신고: 기업 평판 훼손을 위한 허위 신고.

  • 심리전: SLSH는 임원의 가족을 대상으로 협박하고, 이사진을 위협하며, 언론인을 조작지속적인 위기 상태를 조성한다. Unit 221B의 연구 책임자 Allison Nixon은 SLSH의 전략이 성착취 공갈(sextortion) 수법과 유사하다고 지적한다. 즉, 데이터 삭제 증거 없이 순순한 협조를 요구한다는 것이다.

SLSH와 전통적 랜섬웨어 조직의 차이점

러시아 기반 랜섬웨어 조직(예: LockBit, ALPHV)과 달리, SLSH는 유동적인 영어권 집단으로 운영되며 일관된 보안 절차가 부재하다. 주요 차이점은 다음과 같다.

  • 신뢰할 수 없는 약속: SLSH는 몸값 지불 후 데이터 삭제를 보장하지 않으며, Nixon은 지불이 도난 데이터의 가치를 입증할 뿐이라고 경고한다. 이후 이 데이터는 사기 범죄에 재활용될 수 있다.

  • 내부 갈등: SLSH 멤버들은 사이버 범죄 커뮤니티 ‘The Com’ 출신으로, Discord/Telegram에서 내부 배신과 마약 문제로 악명 높은 집단이다. 이러한 불안정성은 대규모 랜섬웨어 운영의 전문성을 저해한다.

  • 언론 조작: SLSH는 적극적으로 언론의 주목을 끌기 위해 노력하며, 심지어 연구원(Allison Nixon)과 기자(Brian Krebs)에게 살해 위협을 가해 공격의 과장 효과를 노린다.

SLSH 대응 시 리스크 분석

Unit 221B의 연구에 따르면, SLSH와의 협상은 다음과 같은 위험을 수반한다.

  • 공격 고조: 몸값 지불은 추가 공격, 특히 직원과 가족에 대한 물리적 위협을 부추긴다.

  • 보장 불가: SLSH는 데이터 삭제 증거를 제시할 수 없으며, 도난 데이터는 향후 사기 범죄에 재사용될 수 있다.

  • 장기적 영향: 몸값을 지불한 기업은 집단의 공격 대상이 되지만, 거부한 기업은 시간이 지나며 공격이 중단되는 사례가 보고되고 있다.

피해 기업을 위한 대응 권고안

보안 전문가들은 SLSH의 공격 대상이 된 기업에 다음과 같은 조치를 권고한다.

  1. 협상 거부: ‘지불 불가’ 원칙을 고수해 SLSH의 압박 수단 무력화.
  2. 침해 지표(IoC) 모니터링:
    • 연구원(Allison Nixon, Brian Krebs)이나 보안 업체(Unit 221B)에 대한 악의적 언급 감시.
    • SLSH의 Telegram 채널을 통해 공개 위협이나 데이터 유출 여부 확인.
  3. 사고 대응:
    • 침해 시스템 격리 및 유출 자격 증명 즉시 폐기.
    • 스와팅 위협이나 물리적 협박 발생 시 FBI, CISA 등 법 집행기관에 신고.
    • 언론 대응을 위한 사전 승인된 공식 입장 준비로 평판 피해 최소화.
  4. 법률 및 PR 대비:
    • 법률 자문과 협력해 규제기관 신고 대응.
    • 임원 및 가족에게 잠재적 협박 전술에 대한 사전 브리핑 실시.

결론: 승리하는 유일한 방법은 게임을 거부하는 것

SLSH의 불안정하고 협박 중심의 공갈 모델은 랜섬웨어 전술의 위험한 진화를 보여준다. 전통적 랜섬웨어 조직이 암호화 및 복호화 키에 의존하는 것과 달리, SLSH의 접근법은 공포, 언론 압박, 물리적 위협을 활용한 순수한 심리전이다. Nixon의 조언은 명확하다. 몸값 지불을 거부하는 것이 집단의 압박 수단을 무력화하고 데이터와 개인 안전을 지키는 가장 효과적인 방법이다.

자세한 내용은 Mandiant의 2026년 1월 보고서를 참고하라.

공유

TwitterLinkedIn