• 최종편집 2026-01-23 (금)
  • home>
 

cats copy.jpg


 

[시큐리티팩트=최석윤 기자] 프랑스의 주요 통신 기업 부이 텔레콤(Bouygues Telecom)이 정교한 사이버 공격으로 막대한 피해를 입었다. 2025년 8월 6일 새벽, 부이 텔레콤의 네트워크에서 비정상적인 트래픽이 감지됐다. 초기 조사 결과, 640만 명에 달하는 고객 데이터가 유출된 것으로 확인됐다.


부이 텔레콤은 프랑스의 대표적인 통신 서비스 회사다. 유선 전화, 모바일, 인터넷, IPTV 등 다양한 서비스를 제공한다. 프랑스 내 통신 인프라를 담당하는 핵심 기업 중 하나다. 이번 공격은 이처럼 겉보기에 견고해 보이는 국가 인프라도 얼마나 취약할 수 있는지 보여준다.

타깃 맞춤형 스피어 피싱(Spear Phishing)으로 공격

공격은 관리자 계정을 노린 스피어 피싱(Spear Phishing) 캠페인으로 시작됐다. 스피어 피싱은 특정 개인이나 단체를 목표로 하는 '맞춤형 피싱' 공격이다. 불특정 다수에게 무작위로 보내는 일반적인 피싱과 달리, 공격 대상에 대한 정보를 미리 수집해서 그럴듯한 내용의 이메일을 보내는 것이 특징이다. 예를 들어, 일반적인 피싱은 "당신의 계정이 해킹되었습니다. 여기를 클릭해 비밀번호를 바꾸세요"와 같은 불특정 다수를 향한 메시지라면, 스피어 피싱은 "안녕하세요, [특정회사명] 인사팀입니다. 귀하의 연말정산 서류가 미비하여 재확인 부탁드립니다. 첨부된 파일의 양식을 작성해 주십시오"와 같이 개인의 소속이나 업무와 관련된 내용으로 속인다. 따라서 공격 성공률이 높다. 

보안 업데이트 위장한 멀웨어, 회사 방어망 뚫어

해커들은 취약한 VPN 게이트웨이의 제로데이 취약점을 이용해 방어망을 뚫었다. 이후 맞춤형 백도어를 심고 내부 시스템으로 침투했다. 제로데이 취약점(Zero-Day Vulnerability)은 소프트웨어 개발자가 아직 인지하지 못했거나, 인지했더라도 아직 패치나 해결책이 공개되지 않은 보안 취약점이다. '0일(Zero-Day)'이라는 이름은 이러한 취약점이 외부에 알려지는 즉시, 즉 개발자가 이를 해결할 시간을 갖지 못한 '0일'부터 공격에 악용될 수 있다는 의미에서 붙여졌다.


침해에 사용된 멀웨어(악성 소프트웨어)는 놀라울 만큼 정교했다. '다형성 로더(polymorphic loader)'가 특징이다. 다형성 로더는 멀웨어를 시스템에 설치하는 프로그램인데, 실행될 때마다 코드의 형태를 계속 바꾼다. '다형성(polymorphic)'은 '여러 형태를 가진다'는 뜻이다. 이 로더는 재시작할 때마다 암호 해독 루틴을 재구성했다. 동적으로 생성되는 키와 AES-ECB 암호화를 사용했다. 덕분에 샌드박스 환경에서도 탐지를 피할 수 있었다. 샌드박스(Sandbox) 환경은 외부 공격으로부터 컴퓨터 시스템을 보호하기 위해, 특정 프로그램이나 코드를 격리된 공간에서 실행시키는 기술이다. 마치 아이들이 모래(sand) 놀이터(box) 안에서 자유롭게 놀아도 그 모래가 밖으로 튀지 않는 것처럼, 샌드박스 안에서 실행되는 프로그램은 시스템의 다른 영역에 영향을 주지 못한다.

 

 


cats1 copy.jpg

 

 

뭘웨어 몰래 설치, 회사 방어 우회하는 전략 사용 

감염 메커니즘도 교묘했다. 악성 소프트웨어인 멀웨어는 다단계 드로퍼(dropper) 형태로 전달됐다. 드로퍼(dropper)는 악성 소프트웨어의 한 종류로, 다른 멀웨어를 컴퓨터에 몰래 설치하는 역할을 한다. 이를 보안 업데이트 파일로 위장했다. 이 드로퍼는 윈도우 관리 도구(WMI)를 악용했다. CPU 부하가 변경될 때마다 시스템 권한으로 페이로드를 실행했다. 사용자 모드 방어를 우회하는 전략이다.


2차 페이로드는 호스트 정보를 수집했다. 페이로드(payload)는 악성 소프트웨어가 실제로 실행하는 악의적인 행위다. '화물'이라는 뜻의 페이로드에서 유래했는데, 드로퍼(dropper)나 바이러스가 시스템에 침투한 뒤 '실어나르는' 최종 목적물, 즉 진짜 악성 기능을 의미한다. 수집된 정보를 암호화된 HTTP 터널을 통해 데이터를 외부로 유출했다. DGA(Domain Generation Algorithm) 기술을 사용해 감염된 호스트마다 고유한 명령 제어 통신을 생성했다. DGA 기술은 사이버 공격자가 사용하는 방법 중 하나다. 악성 프로그램이 명령 및 제어(C&C) 서버와 통신하기 위해 무작위로 도메인 이름(웹사이트 주소)을 생성하는 알고리즘이다. 이 기술 때문에 침입자 탐지가 더욱 어렵게 됐다.

고객 신뢰 흔들려.. 프랑스 통신 시장에 충격파

사고가 발생하자 부이 텔레콤은 즉시 대응팀을 가동했다. 피해가 발생한 네트워크를 격리하고 노출된 계정 정보를 폐기하는 등 신속하게 봉쇄 조치를 취했다. 프랑스 개인정보보호위원회(CNIL)와 사법 당국에도 즉시 통보했다. 모든 시스템에 대한 모니터링도 강화했다.


하지만 고객들의 신뢰는 이미 흔들렸다. 부이 텔레콤은 전용 지원 라인을 마련했다. 무료 신원 도용 방지 서비스도 제공하기로 했다. 이번 사건은 국가 지원 해킹이 혼합 공격 기술을 활용해 주요 인프라를 노리는 진화하는 위협을 잘 보여준 대표 사례다.

최석윤 기자 sukyoon@securityfact.co.kr 이 기자의 다른 기사 보기
태그
ⓒ 시큐리티팩트 & www.securityfact.co.kr 무단전재-재배포금지

전체댓글 0

  • 34073
비밀번호 :
메일보내기닫기
기사제목
프랑스 통신사 부이 텔레콤, 해킹으로 640만 고객 정보 유출
보내는 분 이메일
받는 분 이메일