[뉴스스페이스=이종화 기자] 2025년 6월 미·캐나다 항공업계가 대규모 사이버 공격에 연이어 노출되면서 업계 전반에 비상이 걸렸다.

 

Airways, The Register, BleepingComputer, CNN등의 해외매체들은 이번 공격의 배후로 악명 높은 사이버범죄 조직 ‘스캐터드 스파이더(Scattered Spider, UNC3944, Muddled Libra)’가 지목되고 있다고 보도했다.

 

이 조직은 최근까지 리테일, 보험, 카지노 등 다양한 산업을 연쇄적으로 노렸으나, 최근 들어 항공·운송업계로 표적을 전환한 것으로 보인다.

 

하와이안항공, IT시스템 일부 마비…운항은 정상

 

하와이안항공은 2025년 6월 23일 IT시스템 일부가 마비되는 ‘사이버보안 사건’을 인지하고, 26일 공식적으로 이를 공표했다.

 

항공사 측은 “운항 및 승객 안전에는 영향이 없으며, 모든 항공편은 정상적으로 운항 중”이라고 밝히면서도, 즉각적으로 연방 당국과 외부 사이버보안 전문가를 투입해 조사 및 복구에 나섰다.

 

SEC(미국 증권거래위원회)에 제출된 공시에 따르면, 하와이안항공은 사건 발생 즉시 시스템 보호 조치를 취했고, ‘질서 있는 복구’를 추진 중이다. FAA(연방항공청) 역시 “안전에는 영향이 없다”며 상황을 주시하고 있다.

 

그러나 항공사 측은 구체적으로 어떤 시스템이 영향을 받았는지, 고객 데이터 유출이나 랜섬웨어 감염 여부 등은 밝히지 않았다.

 

 

웨스트젯, 앱·웹사이트 장애…캐나다 항공 인프라 ‘빨간불’

 

캐나다 2위 항공사 웨스트젯은 6월 13일 내부 시스템과 모바일 앱, 웹사이트에 대한 접근 장애를 공식 발표했다. 이로 인해 고객들은 앱과 웹사이트 이용에 간헐적 오류와 불편을 겪었으나, 항공기 운항에는 영향이 없었다.

 

웨스트젯은 즉각적으로 내부 전문팀과 외부 포렌식 전문가, 법 집행기관, 교통부와 공조에 나섰다.

 

웨스트젯 역시 공격의 세부 유형(랜섬웨어, 데이터 유출 등)이나 피해 범위, 고객 정보 유출 여부 등은 공개하지 않았다. 단, “디지털 환경 보호와 사고 영향 최소화에 총력을 기울이고 있다”고 밝혔다.

 

이번 사건은 G7 정상회의(알버타주) 직전 발생해 일각에서는 연관성 여부를 주목했으나, 직접적 연결고리는 확인되지 않았다.

 

스캐터드 스파이더, ‘도메인 위장+딥페이크+소셜엔지니어링’ 복합전술

사이버보안 업계와 FBI는 이번 공격이 스캐터드 스파이더의 전형적인 수법과 일치한다고 진단했다. 이 조직은 2023년 MGM 리조트, 시저스 엔터테인먼트, 2024년 스노우플레이크 등 대형 사건을 일으켰으며, 최근에는 리테일·보험·항공 등 산업별로 집중 공격하는 패턴을 보이고 있다.

 

 

스캐터드 스파이더의 주요 공격 방식

스캐터드 스파이더는 내부 직원, 특히 IT 헬프데스크 담당자로 위장해 비밀번호 재설정이나 MFA(다중인증) 우회 등 계정 탈취를 시도한다. FBI는 “이들은 종종 직원이나 계약직을 사칭해 IT 헬프데스크를 속이고, 계정 접근권한을 얻는다”고 경고했다.

 

실제로, 헬프데스크에 ‘새 휴대전화 등록’이나 ‘비밀번호 초기화’ 요청을 하며, 내부 직원임을 입증하기 위해 사전에 수집한 개인정보(사번, 부서 등)를 활용한다.

 

또 음성·영상 AI 기술을 이용해 실제 직원의 목소리나 얼굴을 위조, 신뢰도를 높여 헬프데스크나 관리자 계정 접근을 시도한다. 보안업계는 “딥페이크 기술이 소셜 엔지니어링의 신뢰성을 극대화한다”고 분석했다.

 

피싱 도메인도 즐겨쓰는 수법이다. IT벤더, 헬프데스크, VPN, SSO 등 키워드가 포함된 도메인을 81% 이상 위장 등록해, 직원들이 실제 내부 시스템으로 착각하도록 유도한다. 최근에는 하이픈(-) 대신 서브도메인 방식으로 탐지 회피를 시도하는 등, 도메인 위장 기법이 정교해지고 있다.

 

이외에도 Evilginx 등 AiTM(Adversary-in-the-Middle) 피싱 프레임워크를 활용, 실시간 인증정보를 탈취해 MFA를 우회, MFA 피로도 공격(MFA fatigue, push bombing), SIM 스와핑, 비싱(vishing), 항공사, 대기업 등 주요 표적의 직접 침투뿐 아니라, IT 외주업체(MSP)나 협력업체를 먼저 해킹해, 이들 네트워크를 통해 다수 고객사로 공격을 확산시키는 방식등도 사용하고 있다.

 

FBI·보안업계 “항공산업, 즉각적 방어체계 강화 필요” 경고

 

FBI는 6월 27일 공식 성명을 통해 “스캐터드 스파이더가 항공사 및 IT협력업체 등 항공산업 전반을 노리고 있다”며, “네트워크 침입 시 민감 데이터 탈취 및 랜섬웨어 배포로 금전적 협박을 시도한다”고 밝혔다.

구글 맨디언트(Mandiant)와 팔로알토네트웍스(Unit 42) 등 글로벌 보안업계도 “항공·운송 분야에서 스캐터드 스파이더의 활동이 급증하고 있다”며, “헬프데스크 인증절차 강화, MFA 리셋 요청 모니터링, 직원 보안교육 등 즉각적 조치가 필요하다”고 권고했다.

 

 

글로벌 항공업계, ‘여름 성수기’ 앞두고 사이버 방어 총력전

 

이번 공격은 미국·캐나다 항공업계가 여름 성수기를 맞이한 시점에 발생해, 업계 전반의 긴장감이 극도로 높아졌다. 하와이안항공, 웨스트젯 모두 “운항 안전에는 영향이 없다”고 강조했으나, IT시스템과 고객 데이터가 실제로 어떤 영향을 받았는지에 대한 정보는 제한적이다.

항공산업의 특성상 실시간 운영과 대규모 고객 데이터, 복잡한 협력업체 네트워크가 얽혀 있어, 한 번의 침해가 연쇄적 피해로 확산될 수 있다는 점에서 이번 사건의 파장은 상당하다.

 

항공·운송업계, ‘사이버 위기관리’ 패러다임 전환 시급

스캐터드 스파이더의 항공산업 공격은 단순한 일회성 해킹이 아니라, 산업별 표적화·조직화된 사이버 위협의 전형적 사례다.

항공사와 협력업체, 공항, MRO(정비) 등 업계 전반이 ‘사이버 위기관리’ 체계 재정비와 실시간 대응 역량 강화, 그리고 내부 직원 대상 보안 인식 제고에 나서야 한다는 경고가 현실이 되고 있다.

 

팔로 알토 네트웍스의 사이버보안 전문 조직인 Unit 42 셈 루빈 시니어 부사장(Senior Vice President) 겸 컨설팅 및 위협 인텔리전스 총괄 책임자는 “항공산업 전체가 고도의 사회공학적 공격, MFA 우회, 딥페이크 등 신종 위협에 노출됐다. 지금이 바로 방어체계 재점검의 골든타임이다”고 강조했다.