- BlackFile 신흥 집단: 소매와 환대 산업을 노린 음성 기반 사회공학(비싱) 익스토션 공격 급증.
- 협박 수법의 고도화: 이중, 삼중 익스토션과 전화 매개 내부 침투로 기존과 차별화된 위협.
- 보안 문화 강화 필요: 기술적 방어만으론 한계. 인적 대응 역량·보안 인식이 대응의 핵심.
“BlackFile의 등장은 인간 중심의 ‘사회공학 해킹’이 사이버 위협의 주류로 부상했음을 보여줍니다.”
기사 개요와 사건 개관
2026년 2월 이후 등장한 최신 사이버 범죄 조직 ‘BlackFile’은 소매 및 환대 산업을 집중적으로 타깃 삼아 공격을 확대하고 있습니다. 보안 매체 Bleeping Computer(2026년 6월)에 따르면, 이들은 피해 조직의 핵심 시스템에 침투해 내부 문서, 고객 데이터, 재무 정보 등 민감 데이터를 탈취하고 암호화한 뒤, 유출 협박과 금전 요구를 동반한 공격을 지속합니다. 아직 구체적인 피해 조직 수는 공개되지 않았으나, 이 조직의 활동 자체가 업계 전반의 경각심을 촉발시키고 있습니다.
BlackFile: 기존 조직과의 차별성과 특징
BlackFile은 기존의 랜섬웨어 집단들과 몇 가지 중요한 차별점을 가지고 있습니다. 첫 번째는 비싱(음성 피싱)을 침투의 핵심 경로로 활용한다는 점입니다. 많은 해커 조직이 악성코드 또는 취약점 공격을 선호하는 데 반해, BlackFile은 전화로 내부 직원을 직접 공략합니다. 지원팀이나 관리자 등을 사칭해 직원의 인증 정보를 빼내는 전형적인 사회공학 기법을 씁니다.
두 번째는 단일 협박에서 그치지 않고 이중·삼중 익스토션을 적극 전개한다는 점입니다. 데이터를 유출하는 동시에 일정 기간 내 금전 미지급 시 추가 유출·공개 협박까지 이어져 조직은 막대한 금전적 피해에 평판 추락까지 입게 됩니다. Clop, ALPHV 등 기존 범죄 조직이 추진하던 전략이지만, BlackFile은 이를 더욱 적극적으로 계승·응용하고 있습니다.
비싱(음성 피싱) 공격의 실제와 방법
비싱은 전화 통화를 이용하는 사회공학 해킹 수법입니다. 공격자는 사전 정보 수집 후 IT팀 또는 관리자 행세로 조직 내부 직원과 통화, 신뢰를 얻어 인증 정보를 가로챕니다. 2023년 IBM X-Force 및 CrowdStrike 위협 보고서에서도 MGM 리조트 등 대형 침해 사건의 주요 진입 경로가 비싱임이 밝혀졌습니다.
공격 절차는 크게 사전 조사-표적화-전화 접촉-직원 방어력 약화-내부 인증 정보 확보 순으로, 기술 취약점이 아니라 인간의 심리를 노린다는 데 특징이 있습니다. 또 최근 AI 기반 음성 합성 등 신기술까지 접목돼 비싱의 위협이 갈수록 고도화되고 있습니다.
소매·환대 산업 보안의 허점
소매 및 환대 산업은 다수의 고객 대면 업무, 잦은 인력 교체, 빠른 환경 변화를 겪으며 보안 허점이 더 두드러집니다.
인적 취약성: 매장 직원, 호텔·카지노 업무 종사자 상당수가 보안 교육 경험이 부족하고, 낯선 외부 인물과 빈번히 의사소통하는 특성상 사회공학 공격에 취약합니다.
복잡한 IT 환경: 호텔 관리, 포인트 오브 세일, CRM 시스템 등 다양한 정보시스템의 통합 운영은 결국 내부 인증 관리 복잡성을 높여 침투 경로가 늘어나는 결과를 낳습니다.
분산 네트워크: 본사-매장-온라인 채널 등 여러 접점 및 다양한 네트워크가 연결돼 중앙집중 보안관리 한계가 있습니다. 개별 매장 보안 수준 편차 역시 주요 취약점입니다.
유사 사례와 BlackFile의 새로운 위협
2023년 ALPHV(BlackCat)는 MGM 리조트 공격에서 비싱을 활용하여 약 1억 달러 피해를 입혔으며, Clop 랜섬웨어 그룹 역시 교육·관리 데이터 유출을 통한 이중 협박을 성공시켰습니다. BlackFile은 이 같은 과거 전략을 활용하지만, 소매·환대 업계라는 특정 산업 집중 공략, 체계적인 전화 기반 침투라는 점에서 선명한 차별성이 있습니다.
기업·개인의 다층 보안 대응 방안
기업 차원의 실천 지침
- 직원 비싱 인지 교육 강화: 정기적 보안 교육과 비상시 보고·확인 절차 체계를 정립하고 반복 훈련합니다.
- 인증 절차 고도화: 계정 복구, 다중 인증 우회 등 민감한 요청은 사전 등록 연락처 재검증 등으로 다중 검증 절차를 필수화합니다.
- 상시 모니터링·탐지: 계정 이상 접근, 비정상 대규모 데이터 이동 등 실시간 탐지 체계를 운영합니다.
- 인시던트 대응 훈련: 침해 발생 시 신속 대응을 위한 매뉴얼 마련·주기적 모의 훈련이 필요합니다.
개인 차원의 실천 방안
- 요청하지 않은 계정 복구/비밀번호 재설정은 반드시 공식 채널로 교차 확인합니다.
- 급박한 요청·IT 지원팀 사칭 등 의심 사례는 항상 경계합니다.
- 불필요한 계정·권한은 최소화 원칙으로 관리하고, 주기적 점검이 중요합니다.
결론과 앞으로의 전망
BlackFile의 활동은 이제 기술적 결함뿐 아니라 인간의 심리와 소통 구조까지 겨냥하는 ‘사회공학 해킹’이 차세대 위협임을 드러냅니다. 특히 비싱은 방화벽, 침입차단 시스템 등 기술 장벽만으로는 차단이 어렵고, 내부 인적 대응 체계의 중요성을 새삼 강조합니다. 향후 BlackFile이 더 다양한 업종을 공략하거나, AI 등 신기술 결합 고도화가 이뤄질 수도 있어, 업계는 기술·인간 중심 보안을 동시에 강화해야 할 것입니다. 모든 구성원이 ‘나부터 보안의 일원’이라는 인식 전환이 무엇보다 중요합니다.
- 비싱 중심 신종 협박 조직, 소매·환대산업 타깃 증가
- 인간 중심의 보안 정책 시대 개막
- 실전형 보안 교육 및 다중 검증 체계 필수