시큐리티팩트

[시큐리티팩트=김효진 기자] 러시아어권 사이버 범죄 조직으로 알려진 에베레스트(Everest)가 2026년 새해 들어 글로벌 기업들을 상대로 한 공격을 잇따라 공개하며 존재감을 키우고 있다. 20일(현지 시각) 사이버시큐리티뉴스 보도에 따르면, 에베레스트는 자신들이 운영하는 다크웹 유출 사이트를 통해 맥도날드 인도 법인의 내부 데이터 약 861GB를 확보했다고 주장했다. 1월 중순 일본 닛산 자동차에 이은 해킹이다.

이들의 최근 행보에서 눈에 띄는 점은 시스템을 마비시키는 전통적인 랜섬웨어 방식보다, 대량의 내부 데이터를 탈취한 뒤 공개를 빌미로 금전을 요구하는 '데이터 갈취(data extortion)' 전술에 무게를 두고 있다는 점이다.

보안 업계는 이를 "암호화 중심 랜섬웨어에서 데이터 자체를 수익화하는 범죄 모델로의 전환이 가속화되고 있음을 보여주는 사례"로 평가한다.

"협상 불발땐 다크웹에 데이터 공개" 압박

에베레스트는 협상이 이뤄지지 않을 경우 데이터를 공개하겠다는 시한을 명시하며 압박 수위를 높였다.

이들이 게시한 설명에 따르면 탈취된 자료에는 내부 회사 문서와 고객 관련 정보가 포함돼 있으며, 인도 전역에서 신원 도용이나 표적 피싱에 악용될 수 있는 민감 정보가 포함됐을 가능성이 제기된다.

다만 현재까지 맥도날드 인도 법인이나 본사는 이번 주장에 대해 공식적인 사고 확인이나 피해 규모를 발표하지 않은 상태다. 실제 침해 여부와 데이터의 진위는 독립적인 검증이 필요한 상황이다.

닛산 자동차 900GB 해킹… 북미 데이터 포함 주장

에베레스트는 이에 앞서 지난주 닛산 자동차를 상대로 한 데이터 탈취 주장도 공개했다. 이들은 약 900GB 규모의 내부 데이터를 확보했다며, 마케팅·판매·딜러 주문·보증 분석 등으로 분류된 폴더 구조 화면을 증거로 제시했다.

공개된 자료를 보면 미국과 캐나다 등 북미 지역 운영과 관련된 내부 기록이 포함된 것으로 추정된다. 이는 단순 개인정보를 넘어 기업의 영업·유통 구조가 노출될 수 있는 사안이다.

닛산 역시 현재까지 공식적인 침해 사실 확인이나 입장은 내놓지 않고 있다.

스웨덴 국가 인프라 전력망도 표적 사례

에베레스트의 공격 대상은 민간 기업에만 국한되지 않는다. 2025년 10월, 스웨덴 국영 전력망 운영사인 스벤스카 크라프트네트(Svenska kraftnät) 역시 이 조직의 표적이 됐다는 주장이 제기된 바 있다.

당시 공격자들은 외부 파일 전송 시스템을 통해 약 280GB의 데이터를 확보했다고 주장했으나, 회사 측은 전력망 운영 시스템은 폐쇄망으로 분리돼 있어 실제 전력 공급에는 영향이 없었다고 밝혔다.

이 사건은 물리적 피해로 이어지지는 않았지만, 국가 기간 인프라조차 데이터 관리 측면에서는 공격 표면이 존재한다는 점을 드러낸 사례로 평가된다.

에베레스트는 어떤 해킹 그룹인가

에베레스트는 2020년 말부터 활동이 포착된 러시아어권 사이버 범죄 조직으로, 전통적인 국가 후원 해커 조직과는 달리 명확한 정치적 목적보다는 금전적 이익을 최우선으로 하는 범죄 집단으로 분류된다.

초기에는 일반적인 랜섬웨어 공격(시스템 암호화 후 복호화 대가를 요구하는 방식)을 사용했으나, 최근 몇 년 사이 암호화 비중을 줄이고 데이터 탈취와 공개 협박에 집중하는 방향으로 전술을 전환한 것이 특징이다.

보안 분석에 따르면 에베레스트는 내부 네트워크 접근 권한을 탈취·중개하는 액세스 브로커(access broker) 역할과 직접 데이터를 빼내 협상을 시도하는 데이터 갈취 조직의 성격을 동시에 띠고 있다.

이 때문에 공격 대상은 특정 산업에 국한되지 않고, 대량의 내부 문서·고객 정보·운영 데이터를 보유한 조직이라면 규모와 지역을 가리지 않는다는 평가가 나온다.