악명 높은 사이버 범죄 기업 스캐터드 스파이더(Scattered Spider)와 연계된 약 15개 기업이 돌연 해체를 선언하면서, 여러 사이버 보안 전문가가 그 진정성에 의문을 제기하고 있다.

이 집단은 “세계여 안녕”이라는 인사로 시작되는 비정상적으로 극적인 선언문을 브리치포럼(BreachForums)에 게시하며 “은퇴”를 알렸다. 국제적 검거 작전 이후 “잠적하겠다”라고 밝혔지만, 이 선언의 시점, 내용, 동기 모두가 신빙성에 의문을 불러일으켰다.

이 편지는 재규어 랜드로버에 대한 최근 사이버 공격 직후 공개됐다. 재규어 랜드로버 공격은 전 세계 제조 시설을 1주 이상 가동 중단시켰고, 수백억 원에 달하는 피해를 초래했다.

표면적으로는 진짜처럼 보였다. 하지만 사이버 보안 전문가는 액면 그대로 믿지 않는다.

인도 마하라슈트라 주정부에서 사이버 보안 전문가이자 경찰청 부국장으로 활동 중인 브리제시 싱은 선언문의 형식상 신뢰성을 인정하면서도, 실질적 목적에는 회의적 입장을 나타냈다. “해당 글은 인증된 브리치포럼 계정에서 올라왔고, 기업의 텔레그램 채널에도 곧바로 복사됐기 때문에 겉보기에는 진짜처럼 보였다”라고 설명했다.

그러나 싱은 몇 가지 의심스러운 정황을 지적했다. “너무 정제된 문체, 공개 후 48시간 동안 금전 거래 활동이 전무했던 점, 그리고 과거 랜섬웨어 기업이 허위 은퇴를 연출한 전례 등은 모두 실제 은퇴보다는 마케팅성 연막 작전에 가깝다”라고 분석했다.

이례적 연합 선언에 대한 의심

이 선언문은 여러 기업을 대표해 작성됐다고 주장한다. 선언문은 “랩서스(LAPSUS$), 트라이해시(Trihash), 유로시(Yurosh), 약쉬(yaxsh), 와이트로즈(WyTroZz), 네조엑스(N3z0x), 나이트로즈(Nitroz), 톡시크루트(TOXIQUEROOT), 프로삭(Prosox), 퍼티낙스(Pertinax), 쿠로시(Kurosh), 클라운(Clown), 인텔브로커(IntelBroker), 스캐터드 스파이더, 유카리(Yukari) 등 다수 기업이 잠적을 결정했다”라고 밝혔다.

하지만 이 같은 초유의 연합 구성은 곧바로 의심을 불러일으켰다.

비글 시큐리티 자문역 수닐 바르키는 이러한 주장에 기본적인 신빙성 문제가 있다고 지적했다. “이른바 연합 기업은 2025년 8월에야 텔레그램을 통해 결성됐는데, 불과 한 달 만에 은퇴를 선언하는 것은 지나치게 이르다”라고 분석했다. 바르키는 또 “이들 기업은 공통점, 연합 활동, 교류가 과거에 전혀 없었다”라고 설명했다.

공식 발표와 달리, 해당 선언은 자발적 후퇴라기보다는 사전 조율된 작전으로 보인다. 선언문은 “침묵과 모호한 메시지에 대해 사과한다”라며, “이 72시간의 침묵은 가족과 논의, 비상 계획 점검, 의사결정을 위한 시간이었다”라고 설명했다.

법 집행 압박은 존재하지만 영향은 제한적

선언문은 국제 수사 기관의 압박을 은퇴 이유로 명시했다. “스캐터드 스파이더와 샤이니헌터스(ShinyHunters) 관련 캠페인으로 인해 2024년 4월부터 2025년까지 8명이 체포됐으며, 특히 프랑스에선 4명이 구속 중”이라고 밝혔다.

싱은 해당 검거 작전이 실제로 있었던 사실이라며 맥락을 설명했다. “미국 연방수사국, 영국 국가범죄수사청, 프랑스 국내정보국, 스페인 국가경찰은 해당 기업과 연계된 인물 8명을 체포했다”라고 말했다.

하지만 이러한 체포가 기업 해체로 이어졌다고 보긴 어렵다고 분석했다. “검거 대상은 대부분 현금 인출 담당, SIM 카드 도용자, 채팅 관리자 등 하위 인력이었고, 핵심 개발자, 자금 세탁책, 기업 리더는 여전히 건재하다”며, “수사로 인해 기업의 공신력은 흔들렸지만, 운영은 멈추지 않았다”라고 강조했다.

진정성 없는 사과와 우려되는 자백

선언문에서 가장 진정성이 결여된 부분은 바로 행동 부족이었다. 피해자에게 사과하면서도, 그 어떤 피해 복구 노력도 거부했다. “더는 직접적 또는 간접적으로 누군가의 무죄 입증을 돕지 않겠다”라고 단언한 것이다. 과거 피해자에 대한 데이터 반환이나 조사 협조에 대한 언급도 전무했다.

바르키는 선언문의 가장 큰 문제점으로 지적했다. “피해자에게 말뿐인 사과만 했고, 데이터 삭제나 명령·제어 인프라 폐쇄, 범죄 수익 환수 등은 전혀 이뤄지지 않았다”라고 설명했다.

오히려 선언문은 최근 공격을 자랑하기까지 했다. 선언문은 “미국 연방수사국, 맨디언트, 그 외 몇몇을 속이며 재규어 공장 마비, 구글 4차례 해킹 시도, 세일즈포스 및 크라우드스트라이크 방어 무력화를 벌일 때, 비상 계획은 이미 가동되고 있었다”라고 밝혔다.

전문가 의견 “기업 해체 아닌 전술적 기만”

전문가는 이번 선언을 기업 해체가 아닌 전략적 속임수로 규정했다. 바르키는 “법 집행 회피, 내부 재조정, 브랜드 전환을 위한 연막일 가능성이 크다”라고 분석했다.

싱은 기업 해체가 아닌 위협 확산에 주목했다. “만약 이 기업이 진짜로 해체됐다면, 전술 전파가 더 큰 위협이다”라고 설명했다. 또한 “OAuth 토큰 악용, 생성형 AI 음성 사칭, 하이퍼바이저 기반 랜섬웨어는 이미 대중화돼 있고, 새로운 저소음 기업이 전술을 재활용하거나 인력을 흡수하고 있다”라고 지적했다.

기업의 방심은 금물

전문가는 이러한 ‘은퇴 선언’을 절대 곧이곧대로 믿지 말고 보안 경계 수위를 유지해야 한다고 조언했다.

싱은 “이미 침해된 계정은 여전히 활동 중일 가능성이 있다”며, “비밀번호 초기화, FIDO2 적용, 레거시 토큰 회수를 즉시 시행하라”라고 권고했다. 또한 “딥페이크 음성 사칭에 대비해 헬프데스크 교육을 강화하고, ESXi 하이퍼바이저는 격리하고 SSH 접근은 비상 상황에만 허용하라”라고 말했다.

싱은 최종적으로 “은퇴 선언은 브랜드 종료에 가깝고, 전술, 인력, 자금 흐름은 그대로 남아 있다. 따라서 보안 수준을 낮추는 것은 위험하다”라고 정리했다.

dl-itworldkorea@foundryco.com