이란 해커, LA 메트로 공격해 700GB 데이터 탈취

이란 해커, LA 메트로 공격해 700GB 데이터 탈취

이란 연계 해킹 그룹이 미국 최대 대중교통 시스템 중 하나인 로스앤젤레스 카운티 메트로폴리탄 교통국(LACMTA)에 대한 대규모 침해 사건의 배후로 지목되었습니다. 이스라엘 사이버 보안 기업 갬빗 시큐리티(Gambit Security)는 이번 침입을 이란 국가 연계 행위자들에 의한 것으로 판단했으며, 이들은 이메일과 시스템 백업을 포함한 최소 700기가바이트의 데이터를 빼내어 올해 초 해당 기관의 부분적인 네트워크 폐쇄를 초래했다고 밝혔습니다. 이번 사건은 최근 기억에 남는 국내 공공 부문 관련 사례 중 가장 중대한 이란 해커의 주요 기반 시설 침해 사례로 꼽힙니다.

LACMTA에서 탈취된 정보와 침해 발생 경위

갬빗 시큐리티의 조사 결과에 따르면, 공격자들은 침해 사태가 차단되기 전에 상당한 양의 내부 데이터를 빼돌렸습니다. 700GB에 달하는 데이터에는 직원 이메일 아카이브와 운영 백업본이 포함된 것으로 알려졌으며, 이 두 종류의 데이터는 적대 세력의 손에 넘어갔을 때 상당한 위험을 초래합니다.

이메일 아카이브에는 일상적인 서신 그 이상의 정보가 담겨 있는 경우가 많습니다. 인사 기록, 내부 정책 문서, 공급업체 계약서, 법률 관련 서신, 서비스 운영을 통해 수집된 민감한 승객 정보 등이 포함될 수 있습니다. 백업은 구성 방식에 따라 시스템 자격 증명, 데이터베이스 스냅샷, 그리고 향후 침입에 악용될 수 있는 설정 파일 등을 포함할 수 있습니다.

이번 침해는 부분적인 네트워크 폐쇄를 촉발할 만큼 심각했으며, 이는 해당 기관이 적극적인 감염 사실을 인지하고 피해를 제한하기 위해 움직였다는 신호입니다. 그러나 네트워크 폐쇄는 공격자들이 탐지되기 전에 이미 상당한 접근 권한을 확보했음을 확인시켜 주는 조치이기도 합니다.

대중교통망이 국가 지원 해커의 손쉬운 표적이 되는 이유

대중교통 기관은 사이버 보안 생태계에서 불편한 위치에 놓여 있습니다. 중견 기업 규모의 인프라를 관리하지만, 종종 지방 자치 단체 부서 수준의 예산 제약과 인력 부족 속에서 운영됩니다. 현대적 위협 모델이 존재하기 전에 구축된 레거시 시스템이 새로운 디지털 발권 플랫폼, 실시간 운영 소프트웨어, 직원 커뮤니케이션 도구와 나란히 존재하여, 일관되게 방어하기 어려운 보안 태세의 누더기를 만듭니다.

이란 국가 연계 행위자들은 바로 이러한 유형의 기관들을 표적으로 삼는 명확한 패턴을 보여왔습니다. 강력하게 방어된 연방 네트워크를 직접 공격하기보다, 방어가 취약하고 혼란을 초래할 가능성이 높은 공공 부문 조직, 유틸리티, 교통 시스템에 점점 더 집중하고 있습니다. CISA와 FBI는 이란 해킹 그룹이 교통을 포함한 미국 주요 기반 시설 부문 전반의 취약점을 적극적으로 탐색하고 있다고 반복적으로 경고해 왔습니다.

해외 위협 행위자들에게 주요 교통 당국에 대한 성공적인 침해는 여러 목적을 달성합니다. 착취 가능한 데이터를 제공하고, 역량을 과시하며, 강화된 군사 또는 정보 기관 표적을 공격하는 것에 비해 상대적으로 적은 투자로 대중의 혼란을 야기합니다.

700GB 이메일 및 백업 유출이 영향을 받는 개인에게 의미하는 바

LACMTA 직원들에게 즉각적인 우려는 기관 시스템에 저장되거나 전송된 개인 및 전문 정보의 노출입니다. 유출된 아카이브의 이메일에는 직원들이 인사 관련 사안에 내부 이메일을 어떻게 사용했는지에 따라 사회보장번호, 급여 입금 정보, 성과 기록 또는 건강 관련 서신 등이 포함될 수 있습니다.

승객의 경우, 위험은 교통 당국이 어떤 데이터를 수집 및 보유했는지, 그리고 그 데이터가 유출된 백업에 포함되었는지 여부에 달려 있습니다. 비접촉식 결제 시스템, 계정과 연결된 탑승 이력, 할인 요금 프로그램이나 접근성 서비스를 위해 사용된 저장된 개인 식별 정보 등이 모두 존재할 수 있는 데이터 유형입니다.

유출된 범위에 대한 평가는 여전히 진행 중이라는 점에 유의해야 합니다. 700GB라는 수치는 확정된 최소치를 나타낼 뿐, 최대치를 의미하지는 않습니다. 국가 연계 행위자로의 귀속은 해당 데이터가 금전적 이득을 위해 악용될지, 정보 수집에 사용될지, 아니면 미래의 영향력을 위해 보유될지에 대한 의문을 제기합니다.

이번 사건은 대중에 대한 책임을 지는 유명 기관조차도 안전하지 않다는 점을 상기시킵니다. FBI 국장의 이메일 해킹 사건이 보여주었듯이, 유명하다는 것이 높은 보안을 의미하지는 않습니다. 국가 최고 법 집행 기관의 수장이 이메일 침해를 겪을 수 있다면, 교통 당국의 인식과 현실 사이의 격차는 더욱 극명해집니다.

정부 및 공공 기관이 민감한 통신을 강화해야 하는 방법

LACMTA 침해 사건은 기초적인 보안 통제에 대한 과소 투자가 초래하는 위험에 대한 명확한 사례 연구를 제공합니다. 체계적으로 구현된다면 성공적인 침입 가능성과 침입 발생 시 피해를 크게 줄일 수 있는 몇 가지 관행이 있습니다.

이메일 보안은 논리적인 출발점입니다. 현대적인 이메일 환경은 모든 계정에 다요소 인증을 적용하고, 제로 트러스트 접근 원칙을 시행하며, 비정상적인 대량 데이터 유출 활동을 탐지할 수 있는 이메일 보안 게이트웨이를 사용해야 합니다. 아카이빙 관행 역시 검토되어야 합니다. 접근 가능한 시스템에 수년간의 필터링되지 않은 이메일을 보관하는 것은 시간이 지날수록 가치가 커지는 풍부한 표적을 만들어냅니다.

백업 보안도 동등한 주의를 기울일 필요가 있습니다. 백업은 엄격한 접근 통제와 함께 분할된 환경에 저장되어야 하며, 가장 민감한 스냅샷의 경우 이상적으로는 오프라인 또는 에어 갭(Air-gapped) 모델을 따르는 것이 좋습니다. 백업 무결성에 대한 정기적인 테스트는 무단 접근 시도에 대한 모니터링과 함께 수행되어야 합니다.

네트워크 분할, 지속적인 모니터링, 사고 대응 계획은 기본을 완성합니다. 네트워크 내부의 모든 것을 암묵적으로 신뢰하는 경계 기반 보안 모델에 여전히 의존하는 기관은, 국가 지원 행위자들이 악용할 줄 아는 근본적인 아키텍처 취약점을 안고 운영하고 있는 것입니다.

이것이 여러분께 의미하는 바

로스앤젤레스 카운티에 거주하거나 근무하며 LACMTA 시스템과 상호 작용한 적이 있다면, 가장 즉각적인 조치는 금융 계좌와 신용 보고서에서 비정상적인 활동을 모니터링하는 것입니다. 기관이 침해 사건에 대해 연락해 오면, 모든 통지를 심각하게 받아들이고 사기 경고 또는 신용 동결과 같은 보호 조치에 대한 지침을 따르십시오.

보다 광범위하게는, 이번 사건은 로스앤젤레스를 훨씬 넘어 적용되는 원칙을 강화합니다. 너무 유명하거나, 너무 규모가 크거나, 너무 공공의 성격을 띠어 표적이 되지 않는 기관은 없다는 것입니다. LACMTA에서 발생한 이란 해커의 주요 기반 시설 침해 사건은 방어 장비가 가장 부족한 조직을 표적으로 삼는 해외 행위자들의 문서화된 패턴을 따릅니다.

모든 공공 기관의 직원이라면, 업무 이메일을 민감한 개인 계정에 적용하는 것과 동일한 주의를 기울여 다루어야 합니다. 공개되기를 원치 않는 어떤 용도로도 사용하지 말고, 이용 가능한 모든 보안 기능을 활성화하며, 이상한 점이 있으면 지체 없이 IT 부서에 보고하십시오. 로스앤젤레스에서의 이번 침해 사건은 느슨한 디지털 위생의 결과가 어느 한 개인의 받은 편지함을 훨씬 넘어 확장된다는 사실을 일깨워 줍니다.