시큐리티팩트

[시큐리티팩트=최석윤 기자] 글로벌 완성차 제조사인 닛산자동차가 대규모 사이버 공격의 표적이 됐다. 12일(현지 시각) 사이버시큐리티뉴스 보도에 따르면, 해커 그룹 에베레스트(Everest)는 최근 닛산 내부 시스템에서 약 900GB에 달하는 민감 데이터를 탈취했다고 주장하며 업계의 긴장감을 높이고 있다.

이번 유출 주장은 단순한 위협을 넘어 내부망의 심각한 보안 결함을 시사한다. 초기 보도에 따르면 유출된 데이터 규모는 기업 운영 전반을 흔들 수 있는 수준으로 파악된다.

침입 정황은 다크웹과 지하 포럼에서 먼저 포착됐다. 에베레스트 측은 자신들의 주장을 입증하기 위해 내부 문서와 엔지니어링 설계 파일 등 일부 샘플 데이터를 공유했다. 이 샘플에는 고객 관련 기록과 핵심 기술 자산이 포함된 것으로 알려졌으나, 아직 공식적인 확인 절차는 마무리되지 않았다.

사건의 전개 양상은 매우 치밀하다. 분석가들은 이를 전형적인 '이중 갈취(Double Extortion)' 수법으로 규정한다. 공격자는 데이터를 암호화하는 동시에 이를 외부에 공개하겠다고 협박하며 피해 기업을 강하게 압박한다.

사이버 위협 분석 조직 핵매낙(Hackmanac)은 해당 침해를 조기에 식별하고 경보를 발령했다. 이번 공격의 주요 타깃은 닛산의 일본 내 제조 사업 부문으로 지목됐다. 현재 유출된 데이터 실체에 대한 정밀 검증 작업이 진행 중이다.

확인된 사실 위주로 대응이 필요하다. 이번 사건은 랜섬웨어 및 데이터 도난 조직이 전 세계 공급망과 고부가가치 산업 데이터를 얼마나 집요하게 노리고 있는지를 여실히 보여준다.

공격 경로를 살펴보면 데이터 도난 전문 그룹들이 흔히 사용하는 전술이 그대로 드러난다. 이들은 초기 진입을 위해 보안이 취약한 원격 데스크톱 서비스(RDP)나 도난당한 VPN 자격 증명을 적극적으로 활용한다.

임직원을 대상으로 한 정교한 피싱 캠페인 역시 주요 진입 통로 중 하나다. 보안의 고리는 가장 약한 곳에서 끊긴다. 내부망에 침입한 위협 행위자는 즉각적으로 수평 이동(Lateral Movement)을 감행하며 네트워크 구조를 파악한다.

내부 시스템을 장악한 공격자는 고가치 데이터가 담긴 파일 서버, 코드 저장소, 백업 인프라를 집중적으로 탐색한다. 이 과정에서 이들은 수동 작업을 최소화하기 위해 맞춤형 스크립트를 배포한다. 데이터 수집은 기계적으로 이뤄진다.

이 스크립트는 금융 서버나 엔지니어링 공유 폴더 등 특정 경로를 열거하여 목표 리스트를 만든다. 특히 일정 크기 이상의 파일만을 골라내어 효율적으로 유출 대상을 선별하는 방식을 취한다.

수집된 데이터는 유출 전 스테이징 서버로 모여 압축 과정을 거친다. 이후 HTTPS 프로토콜이나 익명화 터널을 통해 공격자의 명령 및 제어(C2) 서버로 전송된다.

이러한 아웃바운드 트래픽은 정상적인 네트워크 활동과 잘 구분되지 않아 탐지가 매우 까다롭다. 에베레스트 그룹이 보여준 이러한 전략은 방어자들이 실험실 환경에서 모방하고 대비해야 할 구조화된 공격 모델을 제시한다.

닛산은 현재 해당 주장의 사실 여부를 파악하며 대응책을 마련 중인 것으로 전해졌다. 대규모 데이터 유출이 사실로 확인될 경우, 기술 유출에 따른 경쟁력 약화와 법적 책임 등 파장이 상당할 것으로 예상된다.