공격 경보: killsec3이(가) screenate을(를) 표적으로 삼음 - GB

Introduction

랜섬웨어 그룹 killsec3가 영국 채용 전문 SaaS 플랫폼인 스크린에이트(screenate)를 대상으로 대규모 침해를 자행했다고 주장했습니다. 2025년 12월 9일에 발견된 이 공격은 XC-Classify 방법론에 따라 해당 사건을 SIGNAL(신호) 수준으로 분류하여 민감한 데이터 노출 가능성을 시사합니다. 2020년에 설립되어 1명에서 10명 사이의 직원을 고용하고 있는 이 회사는 상세 이력서, 지원자 개인 정보, 비디오 면접 녹화본 등 중요 정보를 관리하고 있습니다. 이번 침해는 영국 기술 분야의 민감한 인사 데이터를 처리하는 SaaS 플랫폼을 노리는 사이버 공격이 급증하는 가운데 발생했습니다.

스크리네이트 서비스를 이용한 지원자들은 잠재적으로 노출될 수 있는 정보의 특성상 즉각적인 우려를 표명하고 있습니다. 채용 데이터는 사이버 범죄자들의 주요 공격 대상이며, 정교한 신원 도용, 표적 피싱, 암시장 재판매 등을 가능하게 합니다. 또한 이번 사건은 빠르게 성장하는 기업의 보안 취약점을 체계적으로 악용하는 killsec3와 같은 구조화된 랜섬웨어 그룹에 신생 기술 기업들이 취약하다는 점을 여실히 보여줍니다.

Analyse détaillée

이번 침해 사건은 2025년 12월에 관찰된 우려스러운 추세의 일환입니다. 악의적인 공격자들이 고가치 개인 데이터를 처리하는 클라우드 서비스 제공업체를 겨냥한 공격을 강화하고 있습니다. 이 사건에 대한 기술 분석은 killsec3가 사용한 수법과 영국의 디지털 채용 생태계에 미치는 영향을 보여줍니다.

killsec3 사이버 범죄 집단은 시스템 암호화와 민감 데이터 유출을 결합하는 고전적인 이중 강탈 랜섬웨어 모델을 사용합니다. 수개월 동안 활동해 온 이 집단은 기회주의적인 접근 방식을 특징으로 하며, 보안 성숙도는 낮지만 고가치 디지털 자산을 처리하는 중소 규모 기술 기업을 우선적으로 표적으로 삼습니다.

Killsec3의 공격 방식은 클라우드 인프라와 노출된 웹 애플리케이션의 알려진 취약점을 악용하는 데 의존합니다. 사이버 위협 분석가들은 악의적인 공격자가 보안되지 않은 VPN 연결, 보안이 취약한 관리 인터페이스, 또는 기술팀을 겨냥한 표적 피싱 캠페인을 통한 초기 공격 벡터를 선호한다고 지적합니다. 최초 접근 권한을 확보하면, 이 그룹은 정찰 도구를 활용하여 침해된 환경을 매핑하고 중요 데이터를 식별합니다.

이 그룹의 지속성 전략은 초기 탐지 후에도 지속적인 접근을 허용하는 백도어 설치에 의존합니다. 유출된 데이터는 일반적으로 몸값 지불을 거부하는 피해자에게 최대한의 압력을 가하기 위해 전용 유출 사이트에 게시됩니다. 이러한 "이름과 수치(name and shame)" 전술은 사건과 관련된 평판 손상을 공개적으로 폭로하여 협상을 유도하는 것을 목표로 합니다.

killsec3의 이전 피해자들은 공통적인 특징을 공유합니다. 보안 예산이 제한적이고 클라우드 서비스에 대한 의존도가 높은 소규모이지만 빠르게 성장하는 기술 기업입니다. 이 그룹은 구조화된 랜섬웨어 서비스(RaaS) 모델에 따라 운영되는 것이 아니라, 자체 운영을 조정하는 자율적인 주체로 운영되는 것으로 보입니다. 몸값 요구는 일반적으로 대상 조직의 규모와 침해된 데이터의 양에 따라 달라집니다.

전술, 기법, 절차(TTP) 분석 결과, 공격의 정교함은 다소 높지만, 준비되지 않은 공격 대상에게는 엄청난 효과를 발휘하는 것으로 나타났습니다. → 현대 랜섬웨어 조직의 전술 이해는 이러한 위협을 예측하고 killsec3와 같은 공격자에 대한 조직적 방어를 강화하는 데 도움이 됩니다.

2020년에 설립된 Screenate는 채용 프로세스의 디지털화 및 최적화를 위한 혁신적인 SaaS 솔루션으로 자리매김했습니다. 1명에서 10명 사이의 직원을 보유한 영국 기반 이 회사는 인사 부서가 채용 제안 게시, 이력서 수신 및 분석, 화상 면접 일정 조정 및 녹화, 프로필 공동 평가 등 전체 지원 과정을 관리할 수 있는 통합 플랫폼을 제공합니다.

Screenate의 가치 제안은 지원자 데이터의 자동화 및 중앙 집중화를 기반으로 하며, 채용 담당자에게 통합된 뷰와 분석 도구를 제공하여 최고의 인재를 발굴하는 데 도움을 줍니다. 이러한 접근 방식에는 상당한 양의 민감한 개인 정보(전체 연락처 정보, 자세한 경력, 학력, 자기소개서, 추천서, 인터뷰 시청각 자료 등)를 수집하고 저장하는 것이 필수적입니다.

영국에서 운영되는 Screenate는 주로 영국 및 유럽 고객에게 서비스를 제공하며, GDPR(일반 데이터 보호 규정)의 엄격한 관할권을 준수합니다. 이 규정은 개인 정보 보안과 관련하여 더욱 엄격한 의무를 부과하며, 침해 발생 시 영국 데이터 보호 기관인 ICO(정보위원회 사무소)에 72시간 이내에 보고해야 합니다.

초기 기술 스타트업의 특징인 소규모 조직은 사고 대응 역량과 대규모 사이버 보안 위기를 관리하는 데 필요한 자원에 대한 중요한 의문을 제기합니다. 신생 SaaS 기업들은 수익성 확보보다 보안에 집중 투자해야 할지, 아니면 심각한 노출 위험보다 성장을 우선시해야 할지 고민하는 구조적 딜레마에 직면합니다. → SaaS 스타트업의 보안 과제에서 이 문제를 심층적으로 다룹니다.

이 침해 사고의 잠재적 영향은 Screenate 자체의 범위를 훨씬 넘어섭니다. 채용 플랫폼을 이용하는 고객들은 간접적으로 노출되며, 피해를 입은 회사와 직접적인 계약 관계가 없는 지원자들도 영향을 받을 수 있습니다. 이러한 일련의 노출은 여러 조직의 데이터를 중앙 집중화된 인프라에 집중시키는 SaaS 모델에 내재된 시스템적 위험을 보여줍니다.

2025년 12월 9일에 발생한 이 사고는 DataInTheDark에서 개발한 XC-Classify 방법론에 따라 SIGNAL 등급으로 분류됩니다. 이 등급은 killsec3 그룹의 공개적인 책임 주장을 통해 확인된 데이터 유출을 나타내지만, 정확한 범위와 세부적인 내용은 아직 조사 중입니다. SIGNAL 등급은 유출에 대한 대규모 공개 증거가 없다는 점에서 상위 등급(PARTIAL, FULL)과 다르지만, 실제 시스템 침해는 확인되었습니다.

이 공격으로 노출될 가능성이 있는 데이터는 여러 가지 이유로 특히 민감합니다. 이력서에는 이름, 주소, 전화번호, 이메일 주소, 생년월일, 그리고 관할 지역에 따라 사회보장번호 또는 이에 상응하는 번호 등 완전한 신원 정보가 포함되어 있습니다. 고용 이력은 현재 및 과거 고용주, 고용 기간, 담당 업무, 퇴사 사유를 밝혀내어 개인의 경력 경로를 상세히 보여줍니다.

비디오 면접 녹화는 특히 심각한 노출의 한 측면을 나타냅니다. 이러한 파일은 지원자의 구두 답변뿐만 아니라 얼굴 표정, 개인적 환경(눈에 보이는 배경)까지 포착하며, 면접에서 논의된 민감한 정보(가족 상황, 건강 문제, 기대 연봉, 이직 동기 등)를 드러낼 수 있습니다. 이러한 유형의 데이터는 특히 딥페이크 작전이나 정교한 신원 도용에 적합합니다.

XC-Classify 방법론은 몇 가지 중요한 측면에 따라 이 사건을 평가합니다. 관련 NIST 점수는 운영 기밀 유지를 위해 공개되지는 않지만, 영향을 받은 사람 수 추정치, 데이터의 본질적인 민감성(개인 식별 정보 vs. 공개 데이터), 피해 가능성(신원 도용, 차별, 협박), 악의적인 제3자의 악용 용이성 등의 요소를 반영합니다.

Conclusion

사고 발생 시점은 2025년 12월 9일에 발견된 것으로 추정되지만, 최초 침해 날짜를 확정적으로 확정할 수는 없습니다. 경험에 따르면 랜섬웨어 그룹은 일반적으로 암호화가 최종적으로 활성화되고 공개적으로 책임을 주장하기 전까지 몇 주 동안 은밀하게 활동하며, 이 기간 동안 네트워크 모니터링 시스템의 탐지를 피하기 위해 점진적으로 데이터가 유출됩니다.