공격 경보: lockbit5이(가) marriott.com을(를) 표적으로 삼음 - US

Introduction

12만 명 이상의 직원을 고용하고 209억 7천만 달러의 매출을 창출하는 호텔 대기업 메리어트 인터내셔널(marriott.com)은 2025년 12월 새로운 사이버 위협에 직면했습니다. LockBit5 랜섬웨어 그룹은 이 글로벌 호텔 체인의 인프라를 침해하여 민감한 고객 데이터, 예약 및 결제 시스템을 노출시킬 수 있다고 주장했습니다. 당사의 공인 분석에 따르면 XC SIGNAL로 분류된 이 공격은 호텔 업계가 반복적인 사이버 보안 사고로 이미 취약해진 시기에 발생했습니다. 2025년 12월 7일에 탐지된 이 침입은 전 세계 수백만 명의 여행객 개인 정보 보호에 대한 중대한 의문을 제기합니다.

이번 침해는 미국 호텔 업계 내 고객 데이터베이스와 예약 시스템을 표적으로 하는 사이버 공격이 급증하는 와중에 발생했습니다. 악의적인 공격자들은 신용카드, 신원, 여행 습관과 관련된 정보의 높은 시장 가치를 악용합니다. 1927년 설립 이후 중요한 자산 관리 시스템을 관리해 온 Marriott에게 이러한 침해의 영향은 기술적인 영역을 훨씬 넘어 전 세계 고객의 신뢰에 영향을 미칩니다.

Analyse détaillée

사용 가능한 메타데이터 분석 결과, LockBit5는 글로벌 사이버 범죄 환경에서 공격적인 입지를 유지하고 있는 것으로 나타났습니다. Polygon 블록체인에 인증된 데이터는 이 사건의 정확한 타임라인을 제공하여 전통적으로 불투명했던 분야에서 전례 없는 투명성을 제공합니다. 이 규모의 조직에 대한 이번 공격은 복잡하고 고도로 보안된 인프라를 표적으로 삼을 수 있는 집단의 역량을 보여줍니다.

XC SIGNAL 레벨은 탐지된 노출을 나타내지만, 그 범위는 아직 분석 시스템에서 평가 중입니다. 손상된 파일의 양을 정확하게 정량화하는 MINIMAL, PARTIAL 또는 FULL 레벨과 달리, SIGNAL 상태는 면밀한 모니터링이 필요한 활성 클레임을 나타냅니다. 이러한 분류를 통해 보안 팀은 영향을 받은 디지털 자산의 정확한 특성에 대한 보다 구체적인 정보를 기다리는 동안 대응의 우선순위를 정할 수 있습니다.

LockBit5는 특히 왕성하고 적응력이 뛰어난 랜섬웨어 프랜차이즈의 최신 진화된 형태를 보여줍니다. 랜섬웨어 서비스형(RaaS) 모델을 기반으로 운영되는 이 사이버 범죄 집단은 현장 침입을 수행하는 가맹점에 악성 인프라를 제공하고, 이후 랜섬웨어 수익을 공유합니다. 이러한 분산된 구조는 당국의 소행성 추적 및 해체 노력을 상당히 복잡하게 만듭니다.

이 그룹은 기술적 정교함과 운영적 공격성으로 유명한 이전 LockBit 시리즈의 전철을 밟고 있습니다. 저희 위협 인텔리전스 전문가의 분석에 따르면 LockBit5는 검증된 전술, 기법, 절차(TTP)를 보유하고 있습니다. 제로데이 취약점 악용, 권한 계정 침해, 은밀한 측면 이동, 암호화 전 대량 유출 등이 그 예입니다. 이들의 특징은 이중 강탈입니다. 시스템 암호화와 도난당한 데이터 공개 위협입니다.

2025년에 활동할 LockBit5는 중소기업과 다국적 기업을 모두 공격하는 기회주의적 타겟팅 전략을 추구합니다. 이전 피해자들은 의료, 금융, 제조, 그리고 이제는 호텔업까지 모든 주요 산업에 걸쳐 있습니다. 이 집단은 다크웹에 전용 유출 사이트를 운영하며, 지불을 거부하는 조직의 파일을 점진적으로 공개하여 심리적 압박과 평판 손상을 극대화합니다.

LockBit5의 공격 방식은 정교한 피싱 이메일, 보안이 취약한 RDP 서비스 악용, 소프트웨어 공급망 침해 등 고전적인 초기 공격 벡터를 선호합니다. 초기 접근 권한을 확보하면 LockBit5 계열사는 네트워크 정찰 도구를 배포하고 권한을 확대하며, 유출 전에 지속성 메커니즘을 구축합니다. 최종 암호화는 일반적으로 주말이나 활동이 적은 기간에 수행되어 피해를 극대화합니다.

→ LockBit5 그룹 전체 분석

Marriott International은 거의 한 세기 동안 글로벌 호텔업의 초석을 다져왔습니다. 1927년 설립된 이 회사는 워싱턴 D.C.의 작은 루트비어 가판대에서 시작하여 현재 139개 국가 및 지역에 걸쳐 8,000개 이상의 호텔을 운영하는 호텔 제국으로 성장했습니다. 리츠칼튼, 세인트레지스, W 호텔, 쉐라톤, 웨스틴 등 명망 있는 브랜드 포트폴리오를 통해 marriott.com은 호텔 업계의 선도적인 권위자로 자리매김했습니다.

12만 명이 넘는 직원과 209억 7천만 달러의 매출을 기록하는 이 미국 기업은 매일 수백만 건의 민감한 거래를 처리합니다. 회사의 IT 시스템은 예약, 신용카드 결제, 로열티 프로그램(Marriott Bonvoy는 1억 8천만 명 이상의 회원을 보유하고 있습니다), 일부 호텔의 생체 인식 데이터, 그리고 고객의 개인 선호도 정보를 처리합니다. 이처럼 개인 및 금융 정보가 대량으로 집중되어 있는 Marriott는 악의적인 공격자들의 주요 표적이 되고 있습니다.

Marriott.com의 기술 인프라는 상호 연결된 호텔 관리 시스템(PMS), 온라인 예약 플랫폼, 모바일 애플리케이션, 그리고 전 세계에 분산된 POS(판매 시점 관리) 네트워크를 기반으로 합니다. 국제적인 규모로 운영되는 데 필수적인 이러한 아키텍처 복잡성은 잠재적 공격 표면을 증폭시킵니다. 각 호텔은 중앙 기업 네트워크로의 진입점이 될 수 있으며, 이는 상당한 보안 문제를 야기합니다.

안타깝게도 메리어트는 주요 사이버 보안 사고에 익숙합니다. 2018년, 메리어트는 2016년에 인수한 스타우드 데이터베이스의 대규모 침해를 공개하여 4년 동안 5억 명의 고객 개인 정보가 유출되었습니다. 이 역사적인 침해 사고로 인해 상당한 규제 당국의 벌금과 장기적인 평판 손상이 발생했습니다. 이러한 사고의 재발은 2018년 이후 보안 투자의 효과성에 대한 의문을 제기합니다.

→ 호텔 업계의 기타 공격

이번 침해에 할당된 XC SIGNAL 상태는 LockBit5가 유출된 파일의 정확한 양을 즉시 확인하지 않고도 적극적으로 주장을 제기했음을 나타냅니다. NIST 사고 분류 방법론을 기반으로 하는 당사의 XC-Classify 분석 시스템은 그룹의 통신 채널을 지속적으로 모니터링하여 이 평가를 업데이트합니다. 데이터에 따르면 공격자는 이름, 주소, 여권 번호, 은행 정보, 숙박 내역 등이 포함된 고객 및 예약 관리 시스템에 접근했을 가능성이 있습니다.

LockBit5가 다크 웹 인프라에 게시한 요구 사항을 검토한 결과, 2025년 12월 7일자 marriott.com에 대한 명시적인 언급이 발견되었습니다. 사이버 범죄자들은 일반적으로 단계적 공격 방식을 따릅니다. 초기 공개, 증거 샘플, 그리고 몸값이 지불되지 않을 경우 점진적으로 공개하는 방식입니다. 이 단계에서 공개적으로 접근 가능한 파일이 없다는 것은 협상이 진행 중이거나 공격 확대 전 유예 기간이 있음을 시사할 수 있습니다.

이 정도 규모의 조직을 대상으로 할 수 있는 공격 벡터로는 크리덴셜 스터핑 또는 표적 피싱을 통한 관리자 계정 침해, 타사 PMS 시스템의 패치되지 않은 취약점 악용, 또는 관리형 서비스 제공업체(MSP)를 통한 침투 등이 있습니다. 8,000개 이상의 메리어트 호텔이 상호 연결되어 있기 때문에 초기 접근이 확보되면 은밀한 수평 이동을 위한 다양한 기회가 발생합니다. LockBit5 계열사는 일반적으로 유출 전 환경 매핑을 위해 장기간의 정찰 기간(몇 주)을 선호합니다.

Conclusion

이 사건의 추정 타임라인을 보면 12월 7일 주장보다 몇 주 전에 최초 침입이 발생한 것으로 보입니다. 악의적인 공격자는 여러 지점을 확보하고 관리자 도메인 계정으로 권한을 상승시켰으며, 가장 민감한 데이터베이스를 식별했을 가능성이 높습니다. 고전적인 이중 강탈 작전에 따라 대량 유출은 랜섬웨어 배포보다 며칠 앞서 발생했을 것입니다. Marriott의 보안팀은 암호화 과정이나 비정상적인 데이터 전송에 대한 알림을 통해 악성 활동을 감지했을 가능성이 높습니다.