런던 교통청 마비 사건의 배후, Scattered Spider 멤버가 첫날 유죄 답변을 택한 이유

핵심 요약

  • Scattered Spider 소속 남성 2명이 2024년 8월 Transport for London(TfL) 사이버 공격과 관련해 영국 법정 첫날 guilty plea를 제출함.
  • 예정됐던 6주 재판이 단 하루 만에 종결되면서 피해 기관과 수사 당국의 사건 마무리 일정이 크게 앞당겨짐.
  • 해당 사건은 사회공학과 help desk 사칭 기법으로 공공부문 중요 인프라를 마비시킨 사례 가운데 하나로 보도됨.

단순 유죄 답변에 그치지 않고, 동일 그룹이 카지노에서 교통·의료로 표적을 넓혀온 흐름의 일부를 보여주는 이 사건은 국가 핵심 인프라 보안 논의의 단초로 활용될 수 있다.

2026년 6월, 영국 법원은 Transport for London을 마비시킨 사이버 공격의 배후로 지목된 Scattered Spider 멤버 2명에게 첫 재판일 만에 유죄 답변을 받아냈다. 6주로 예정됐던 공방은 단 하루로 줄었고, 2024년 8월 사건의 법적 결말이 사실상 확정됐다. 이번 기사는 그 guilty plea가 갖는 의미와, TfL 공격이 왜 사회공학 기반 그룹의 대표작으로 평가받는지, 그리고 동일 그룹의 과거 미국 표적 공격과의 연결고리까지 추적한다.

개요 – Scattered Spider 멤버 2명 첫 재판일 guilty plea

유죄 인정의 의미와 6주 예상 재판의 단축

영국 사법 절차상 첫날 guilty plea는 양형 단계에서 감경 요소로 작용하지만, 동시에 사건의 사실관계를 피고인이 인정했다는 명확한 신호를 남긴다. 보도된 내용에 따르면 이번 재판은 약 6주로 예정돼 있었으나, 피고인들의 즉각적 유죄 답변으로 재판 일정이 사실상 단축됐다. 이는 피해 기관인 TfL과 수사 당국이 추가 공방 없이 사건을 마무리할 수 있게 만든 절차상 전환점이 됐다.

영국 법정에서 드러난 사실관계의 범위

원문 보도에 명시된 사실은 2024년 8월 TfL 사이버 공격의 주체, 기간, 피해 기관의 신원에 한정된다. 실제 침투 경로, 유출 데이터 규모, 랜섬웨어 협박 여부 같은 세부 사실은 법정 공개 자료가 누적돼야 비로소 확정될 부분으로, 현 단계에서는 보도된 범위 내에서만 단언할 수 있다. 2명의 신원과 역할 분담 역시 대부분 비공개 상태로 유지된 것으로 전해진다.

TfL 사건이 단순 일회성이 아닌 그룹의 대표 작전인 이유

TfL은 영국 그레이터런던 지역의 대중교통 네트워크를 운영하는 핵심 기관으로, 시민 이동성과 직결된 시스템이다. Scattered Spider가 2024년 8월 이 조직을 표적으로 삼은 것은 단순한 금전 목적을 넘어, 사회공학만으로 공공부문 중요 인프라에 침투가 가능하다는 점을 입증한 사건으로 분석된다. 이후 동일 그룹이 의료·제조업으로 손을 넓힌 정황과 결합하면, TfL 공격은 그룹의 공격 성숙도가 한 단계 도약한 시점의 사례로 읽힌다.

TfL 공격의 전모 – 2024년 8월 마비 사건 재구성

공격 타임라인과 영향

Krebs on Security 보도를 기준으로 2024년 8월, 공격자는 TfL 운영 시스템 내부로 침투해 서비스를 마비시켰다. 정확한 침투 시점과 복구 시점은 공식 발표에 따라 조금씩 차이가 있으나, 8월 한 달 동안 런던 대중교통 이용자 대상 서비스 일부가 중단된 것은 다수 1차 보도에서 일관되게 언급된 핵심 사실이다.

피해 시스템과 데이터 유출 범위

TfL 측 공식 성명과 보도를 종합하면 공격은 일부 운영 시스템 중단과 내부 데이터 접근 시도를 수반한 것으로 파악된다. 1차 보도에서는 고객 정보와 직원 정보의 노출 여부가 주요 쟁점으로 부상했으나, 유출 규모가 수십만 건 단위였는지, 그 미만인지는 공개된 자료만으로는 단정하기 어렵다. 현재까지 확인 가능한 사실은 공격이 단순 서비스 거부 수준을 넘어 내부 시스템 권한 탈취를 수반했다는 점이다.

런던 대중교통 운영에 미친 실질적 피해

런던 시민과 통근자 입장에서의 구체적 영향은 8월의 TfL 시스템 마비는 실시간 운행 정보, 카드 충전, 민원 시스템 등 다수의 일상 서비스에 영향을 미쳤다. 공격의 기술적 상세보다 시민 체감형 피해가 컸기 때문에 영국 언론의 보도 강도도 높았고, 이는 이후 수사와 입법적 논의의 속도를 끌어올린 배경 중 하나로 분석된다.

TfL 공격 사건 주요 사실 요약
항목 내용
피해 기관 Transport for London(TfL)
공격 일자 2024년 8월
혐의자 Scattered Spider 소속 남성 2명
재판 결과 첫날 guilty plea
예정 재판 기간 약 6주
주요 보도 매체 Krebs on Security, Bleeping Computer

사회공학 무기 – help desk 사칭과 SIM 스와핑의 실제 작동 방식

스피어 피싱 통화 스크립트 분석

Scattered Spider는 다수 공개 보고서에서 통화 기반 스피어 피싱을 주력 무기로 활용해왔다. 공격자는 신원 정보를 미리 수집한 뒤, 해당 조직의 IT help desk나 외부 콜센터 직원으로 가장해 비밀번호 재설정이나 다단계 인증 코드 재발급을 요구한다. 통화 스크립트는 대상 직원의 직급, 부서, 사용 소프트웨어 명단을 미리 파악해 자연스러운 대화 흐름을 만드는 것이 특징으로 분석된다.

다단계 인증 우회 기법

조직이 다단계 인증을 도입할수록 공격자는 인증 수단 자체를 공격 대상으로 옮긴다. SIM 스와핑은 통신사 콜센터를 사칭해 대상자의 휴대폰 번호를 공격자 SIM으로 이관시키는 기법으로, 이후 SMS 기반 인증 코드를 가로채 계정을 장악한다. 이러한 방식은 기술적 취약점보다 사람과 프로세스의 신뢰를 노리는 것이 핵심이라는 점에서 제로데이보다 방어하기 어려운 영역으로 평가된다.

내부 직원을 가장 취약점으로 만드는 구조

대부분의 조직은 help desk에 빠른 응대를 요구하는 운영 압력을 두고 있어, 공격자는 이 구조를 그대로 역이용한다. 직원 입장에서 상사나 동료의 긴급 요청처럼 보이는 통화를 거절하기 어려운 문화가 결합되면, 단일 통화가 전체 시스템 침투의 입구 역할을 하게 된다. 분석으로는, 단순 보안 교육 횟수보다 통화 검증 절차의 표준화가 실질적 방어력이 된다고 평가된다.

Scattered Spider의 공격 이력 – 미국에서 영국 공공부문으로

MGM/Caesars 공격과의 기법 비교

2023년 MGM Resorts와 Caesars Entertainment을 강타한 랜섬웨어 사건은 Scattered Spider의 기법이 보도 수준에서 알려진 전환점 가운데 하나로 평가된다. 두 사건 모두 help desk 사칭으로 초기 침투에 성공했고, 이후 권한 상승과 랜섬웨어 배포로 연결된다는 공통 흐름을 보였다. TfL 공격과 MGM/Caesars 사건의 기법 유사성에 대한 보도는 있으나, TfL 공격의 랜섬웨어 협박 여부는 공개 자료상 시스템 마비와 데이터 노출이 핵심인 점에서 차이를 보이지만, 침투 단계의 사회공학 기법은 거의 동일선상에 있는 것으로 분석된다.

동일 그룹의 다른 사건들과의 연결점

MGM·Caesars 이후 Scattered Spider 혹은 연계 그룹으로 추정되는 공격은 보험, 의료, 제조 분야로 확산된 정황이 1차 보도들을 통해 꾸준히 언급돼 왔다. 침투 도구와 인프라의 재사용, TTP(Tactics, Techniques, Procedures)의 유사성이 연결의 근거로 제시되며, TfL 사건은 그 흐름이 영국 공공부문까지 도달했음을 보여주는 사례로 읽힌다.

표적 산업이 카지노에서 교통·의료로 이동한 흐름

2023년 당시 카지노·호텔 중심이던 표적 산업이 2024년 경 의료·제조·교통 분야로 이동한 흐름은, 공격자가 시스템 가용성 중단에 따른 압박이 큰 산업을 우선 공략해온 결과로 해석된다. 특히 TfL과 같은 대중교통 운영 기관은 시민 생활 직결 서비스라는 점에서 협상력을 높일 수 있어, 향후 동일 그룹의 유사 표적이 될 가능성은 충분해 보인다.

법 집행의 의미 – Cybercrime 단속과 협력의 새 기준점

영국 NCA와 FBI 협력 구조

영국 National Crime Agency(NCA)와 미국 FBI의 공동 수사는 2024년 이후 Scattered Spider 관련 인원에 대한 연쇄 검거로 이어졌다. 보도된 내용을 종합하면 이번 guilty plea도 영국 단독 수사 결과가 아니라 미·영 공조의 산물일 가능성이 높으며, 이는 랜섬웨어 그룹에 대한 국제 협력 모델의 효용성을 입증한 사례로 분석된다.

guilty plea 선택의 전략적 배경

피고인이 첫날 유죄 답변을 택한 배경에는 확보된 증거의 무게, 장기형 가능성, 그리고 미·영 양국 형량 협상 가능성 등이 복합적으로 작용한 것으로 보인다. 또한 배심재판에 들어가 추가 디지털 증거가 공개되는 것을 사전에 차단하려는 전략적 판단이 포함됐을 가능성도 제기된다. 다만 이 부분은 공개된 자료만으로 단정할 수 없으며, 향후 양형 심리에서 추가 사실관계가 공개될 것으로 분석된다.

국제 사이버 범죄 수사의 판도를 바꾼 시점

Scattered Spider 관련 검거와 유죄 답변이 연속으로 나오면서, 사회공학 기반 랜섬웨어 그룹에 대한 수사 속도와 성공률이 눈에 띄게 개선된 것이 사실로 확인된다. 이는 국가별 수사 공조뿐 아니라, 클라우드 로그, 통신사 기록, 암호화폐 추적 등 디지털 포렌식 역량의 성숙이 결합된 결과로 평가된다. 같은 흐름이 유지된다면, 향후 유사 그룹의 침투 시도에도 비용 대비 기대 수익이 빠르게 낮아질 것으로 분석된다.

보안팀이 얻어야 할 교훈

help desk 통제 강화 방안

조직은 help desk 응대 절차를 재정비해 통화 기반 본인 확인을 강화해야 한다. 콜백 인증, 사번·사내 시스템 로그 대조, 그리고 권한 있는 발신자 정보의 다중 검증이 그 출발점이 될 수 있다. 또한 직급·부서에 따라 민감한 재설정 요청은 상위 승인 라인을 거치도록 정책화하는 것이 공격 표면을 줄이는 핵심으로 분석된다.

중요 인프라별 인시던트 대응 점검 리스트

  • 운영 시스템 권한 분류와 정기 점검 주기 재설정
  • 외부 콜센터·외주 help desk 통화 녹취 및 감사 로그 보관 기간 확대
  • SIM 스와핑 대비용 통신사 계정 잠금 및 번호 이동 알림 설정
  • 중요 시스템의 다단계 인증 수단 다양화(하드웨어 토큰, 패스키 등)
  • 침투 의심 통화 발생 시 즉시 격리 가능한 runbook 정비

위 항목은 Scattered Spider의 TTP에 직접 대응하는 차원에서 도출된 것으로, 정기 모의 훈련과 결합할 때 효과가 극대화되는 것으로 분석된다.

내부 신뢰를 악용하는 공격에 대한 조직 문화 차원의 대비

기술적 통제도 중요하지만, 궁극적으로 help desk 직원이 공격에 협조할 수밖에 없도록 만드는 조직 문화가 가장 큰 변수로 남아 있다. 보안팀은 help desk 인력을 단순 지원 조직이 아닌 핵심 방어선으로 위치시키고, 의심 통화 거절이 정당하게 평가받는 인사·보상 체계를 만들어야 한다. 분석으로는, 이러한 문화적 정비가 기술 통제 못지않게 지속 가능한 보안 효과를 만든다고 평가된다.

정리하면

Scattered Spider 멤버 2명의 첫날 유죄 답변은 6주 재판을 사실상 단축시킨 사건 결과를 넘어, 사회공학만으로 영국 핵심 교통 인프라를 마비시킬 수 있었다는 보안 위협의 현실을 다시 한번 확인시켜 준다. 동일 그룹의 과거 미국 표적 공격 흐름과 결합하면, 카지노에서 교통·의료로 표적이 이동한 패턴이 선명하게 드러나며, help desk 통제·SIM 스와핑 대비·조직 문화 정비라는 세 축의 보안 강화가 후속 조직의 우선 과제로 부상하고 있다.

관련 키워드: Scattered Spider, Transport for London, TfL 사이버 공격, guilty plea, 사회공학, help desk 사칭, SIM 스와핑, 랜섬웨어 그룹, 중요 인프라 보안, 영국 NCA, Krebs on Security, Brian Krebs, Cybercrime 단속, 2024년 8월 공격

참고: Krebs on Security, Bleeping Computer

댓글 남기기