스캐터드 랩서스$ 헌터스(SLH) 결성 — 브랜드형 갈취 비즈니스와 랜섬웨어 카르텔 분석

스캐터드 랩서스$ 헌터스(SLH) 결성 — 브랜드형 갈취 비즈니스와 랜섬웨어 카르텔 분석

요약

Scattered Spider, LAPSUS$, ShinyHunters가 결집해 'SLH'라는 연합(브랜드)을 형성, 텔레그램을 중심으로 공개형 협박·갈취 서비스 모델을 운영합니다. 공격은 데이터 탈취 → 공개 협박 → 금전 요구의 전통적 흐름에 ‘브랜드 대여’와 참여 보상 구조를 결합해 확산속도가 빠릅니다. 드래곤포스 등 랜섬웨어 조직과의 제휴로 기술·인프라 공유가 관찰됩니다.

상황 개요

보안 리포트에 따르면 SLH는 8월 초 활동을 시작한 이후 텔레그램 채널을 반복 생성·삭제·재개설하며 노출을 회피·유지하는 전술을 사용하고 있습니다. 이들은 데이터 유출 게시와 협박을 통해 금전과 명성을 동시에 노리는 '공개형 갈취' 비즈니스 모델을 전개하며, 외부 가담자를 유도해 협박 실행을 확장합니다.

조직 구조 및 운영 모델

• 브랜드형 갈취 플랫폼: SLH는 자체 데이터 유출 사이트와 텔레그램 채널을 운영하며, 타 공격자에게 ‘SLH’ 브랜드를 빌려 협박을 수행하게 하여 수익·위협 범위를 증대.
• 탈취·협박·보상 체계: 참여자를 모집해 C레벨 이메일 수집·대량 협박 이메일 발송을 유도하고, 수행자에게 보상을 제공(최소 지급 조건 제시).
• 제휴 네트워크: CryptoChameleon, Crimson Collective 등 인접 조직과 연대. 드래곤포스 등 랜섬웨어 그룹과 기술/드라이버·인프라 공유.

공격 기법 및 기술 특징

• 텔레그램 기반 확산: 채널·채팅을 통한 홍보·갈취 공지·서비스형 협박 운영.
• 피싱·사회공학 연계: 표적 기업의 임원 연락처 수집 후 개인·조직을 겨냥한 협박 메일·전화 유도.
• BYOVD(취약 드라이버 활용): 드래곤포스 연합에서는 취약·서명된 드라이버를 악용해 보안 제품을 무력화하는 공격을 병행.
• 랜섬웨어·데이터 유출 연계: 데이터 유출 사이트 운영, 공개 압박과 함께 랜섬웨어 변종(예: Sh1nySp1d3r 가능성) 도입 시나리오 존재.

영향 및 위험

SLH의 '브랜드' 모델은 단일 조직의 역량을 넘어 협력자 풀을 동원해 공격 규모와 빈도를 빠르게 확대할 수 있습니다. 특히 SaaS(예: Salesforce) 연동 환경이나 외부 노출된 관리 인터페이스를 가진 기업은 계정 탈취·권한 남용·데이터 유출의 직접적 위험에 노출됩니다.

실무 권고 (단기·중기)

긴급(단기)

• 텔레그램·외부 유출 관련 모니터링: 자사명·도메인·임원 이메일 유포 여부를 모니터링하고, 유출 징후 발생 시 법무·홍보·보안 합동 대응팀 가동.
• SaaS 권한 점검: OAuth 앱 권한, API 키, SSO 설정을 즉시 점검·제한. 불필요한 권한은 철회.
• 외부 노출 자산 차단: 관리 포털·패널이 인터넷에 노출되어 있으면 접근 제어(방화벽, WAF, VPN 전용화) 적용.

중기

• EDR/로그 룰 강화: 원격 제어 툴(AnyDesk, TeamViewer, ScreenConnect) 비정상 사용 패턴, 비인가 드라이버 로드 시도, 데이터 엑스필레이션 지표 탐지 룰 추가.
• 공격 표면 축소: 관리자 계정 다중인증(MFA) 의무화, 세션 만료 단축, 권한 분리·최소화 정책 적용.
• 대응 프로세스 수립: 데이터 공개·협박 발생 시 대응 프로세스(법무·PR·보안 협업, 증거수집, 협상정책 불응 원칙)를 문서화·훈련.

탐지 시그니처(예시)

• Outbound SMTP/메일 시스템에서 단기간 다수의 임원·고위직 주소 대상 대량 발송 트래픽 발생.
• EDR 로그에 원격 제어 툴의 비정상적 설치·실행 또는 취약 드라이버(rentdrv2.sys, truesight.sys 등) 로드 흔적.
• 외부 알려진 SLH 텔레그램 채널·데이터 유출 사이트와의 접촉 흔적(접속 로그, 다운로드 기록).

법적·운영적 고려사항

협박·갈취 대응 시 금전 요구에 응하지 않는 것이 일반 권고입니다. 동시에 법적 대응(수사기관 신고), 증거 보전(로그·샘플·메일 원본) 및 PR 전략을 사전에 준비해 상황 악화를 방지해야 합니다.

결론

SLH 사례는 범죄 조직들이 기존 브랜드·평판을 활용해 '서비스형 갈취'를 확장하는 신종 비즈니스 모델을 도입했음을 보여줍니다. 기술적 방어뿐 아니라 운영·법무·홍보를 아우르는 종합적 대응 역량을 갖추는 것이 무엇보다 중요합니다.

즉시 조치: 인터넷에 노출된 관리 인터페이스 차단, SaaS 권한 점검, 내부 조사·모니터링 강화.