공격 경보: qilin이(가) Busbusbus을(를) 표적으로 삼음 - FR

Introduction

2025년 12월 20일, 연 매출 1,500만 유로, 직원 50~100명 규모의 프랑스 장거리 교통 예약 플랫폼 버스버스버스(Busbusbus)가 치린(Qilin, 일명 아젠다) 랜섬웨어 그룹의 사이버 공격을 받았습니다. 당사의 분석 프로토콜에 따라 XC SIGNAL 등급으로 분류된 이 침해로 고객 정보, 결제 데이터, 위치 정보 등 중요 데이터가 유출되었습니다. 이 사건은 프랑스 교통 업계에 특히 민감한 시기, 즉 연말 연휴를 불과 며칠 앞두고 발생했으며, 이 시기는 장거리 교통 수요가 급증하는 시기입니다.

2012년에 설립된 버스버스버스는 수많은 승객에게 편리한 교통 예약 서비스를 제공하며 프랑스 도시 간 교통 시장에서 중요한 역할을 해왔습니다. 서비스형 랜섬웨어(Ransomware-as-a-Service) 모델을 운영하는 사이버 범죄 집단에 의한 이 플랫폼의 침해는 교통 부문의 디지털 인프라 보호에 대한 심각한 의문을 제기합니다. 검증된 데이터 분석 결과, 개인 정보, 은행 거래 내역, 여행 기록 등 매우 심각한 정보 유출 사례가 확인되었습니다. 이번 공격은 유럽 모바일 플랫폼을 집중적으로 겨냥한 일련의 공격 중 하나로, 해당 플랫폼들이 일상적인 운영에 필수적인 IT 시스템에 크게 의존하고 있다는 점을 악용한 것으로 보입니다.

Analyse détaillée

2025년에 특히 활발하게 활동하는 악성 행위자 그룹인 Qilin은 정교한 서비스형 랜섬웨어(RaaS) 모델을 통해 공격 규모를 확대하고 있습니다. "Agenda"라는 이름으로도 알려진 이 사이버 범죄 집단은 주로 중소기업을 표적으로 삼아 대기업에 비해 보안이 취약한 중소기업의 취약점을 노립니다. Qilin은 두 가지 방식으로 금전을 갈취하는데, 하나는 피해자의 시스템을 암호화하는 것이고, 다른 하나는 유출된 데이터를 전용 웹사이트에 공개하겠다고 협박하는 것입니다.

최근 활동 내역을 살펴보면, 해당 그룹은 2024년 하반기와 2025년 초에 활동이 크게 강화된 것으로 나타납니다. 사이버 보안 분석가들은 Qilin이 운영 의존도가 높은 분야를 우선적으로 공격 대상으로 삼는다고 지적합니다. 이러한 분야에서는 서비스 중단이 즉각적인 재정적 손실을 초래하고 몸값 지불에 대한 압박이 극대화되기 때문입니다. Qilin이 채택한 랜섬웨어 모델은 기술 인프라를 계열사에 임대하고, 계열사는 징수한 몸값의 상당 부분을 가져가는 방식입니다. 이러한 분산형 접근 방식은 당국의 공격 주체 파악 및 제거 노력을 상당히 어렵게 만듭니다.

Qilin이 사용하는 공격 기법에는 인터넷에 노출된 시스템의 패치되지 않은 취약점 악용, 다크 웹에서 획득한 탈취된 계정 정보 사용, 침투한 네트워크 내에서 장기적인 생존을 위한 백도어 설치 등이 포함됩니다. 검증된 데이터에 따르면, 해당 그룹은 최종 공격을 시작하기 전에 목표 대상의 조직 구조와 재정 능력을 분석하는 등 사전 정찰에 상당한 투자를 하는 것으로 나타났습니다. 이전에도 여러 대륙에 걸쳐 피해를 입은 기업들이 있었는데, 특히 서유럽과 북미 지역에 집중되어 있으며, 의료, 교육, 금융, 그리고 이번에는 교통 분야에까지 영향을 미쳤습니다.

장거리 여행 예약 전문 디지털 플랫폼인 Busbusbus는 프랑스 도시 간 이동의 핵심 연결 고리 역할을 합니다. 50~100명의 직원을 보유하고 연간 1,500만 유로의 매출을 올리는 이 회사는 운송 사업자와 승객을 연결하는 기술적 중개자 역할을 해왔습니다. 2012년에 설립된 Busbusbus는 업계의 디지털화 추세를 활용하여 비교 및 예약 기능을 통합한 플랫폼을 제공함으로써 상당한 규모의 일일 거래를 창출해 왔습니다.

이번에 대상으로 삼은 기업은 운영 과정에서 특히 민감한 데이터를 관리합니다. 여기에는 여행객 신원 정보, 결제용 은행 정보, 이동 습관을 보여주는 여행 이력, 그리고 실시간 위치 정보 등이 포함됩니다. 이처럼 방대한 정보로 인해 Busbusbus는 악의적인 공격자들에게 매력적인 표적이 됩니다. 은행 데이터 재판매를 통한 즉각적인 금전적 가치와 사용자 행동 프로파일링이라는 전략적 가치를 모두 확보할 수 있기 때문입니다. 이번 침해 사고는 연말 여행 예약 성수기라는 회사에 매우 중요한 시기에 발생했습니다.

피해를 입은 기업은 프랑스에 위치하고 있어 엄격한 규제 체계, 특히 일반 데이터 보호 규정(GDPR)과 네트워크 및 정보 시스템 보안에 관한 NIS2 지침의 적용을 받습니다. 이러한 침해의 영향은 기업 자체를 넘어 운송 파트너, 통합 결제 시스템, 관련 기술 생태계 전반에 걸쳐 미칠 수 있습니다. 디지털 플랫폼의 핵심 자산인 사용자 신뢰는 이번 보안 사고로 인해 영구적으로 훼손될 위험에 처해 있습니다.

Busbusbus 공격과 관련된 검증된 데이터를 검토한 결과, XC SIGNAL 수준의 노출이 확인되었으며, 이는 랜섬웨어 그룹이 침해 증거를 공개했음을 의미합니다. XC-Classify 방법론에 따라 분류된 이 등급은 공격자가 침해의 구체적인 증거, 일반적으로 데이터 샘플이나 스크린샷을 공개하여 침입 사실을 입증하고 몸값 요구의 근거로 활용했음을 나타냅니다.

이번 침해로 유출된 데이터는 교통 예약 플랫폼에 특히 중요한 정보를 포함하고 있습니다. 고객 정보에는 성명(이름, 생년월일), 연락처(이메일 주소, 전화번호), 그리고 특정 유형의 해외여행에 필요한 스캔된 신분증 등이 포함될 가능성이 높습니다. 결제 데이터는 두 번째 주요 위험 요소로, 신용카드 번호, 만료일, 거래 내역 등이 노출되어 사용자의 소비 습관을 파악할 수 있습니다.

위치 정보는 이번 침해의 또 다른 취약점입니다. 여행 이력과 향후 예약 내역을 결합하면 여행자의 거주지, 직장, 행동 패턴 등 상세한 이동 프로필을 재구성할 수 있습니다. 이러한 메타데이터를 다른 데이터 소스와 교차 분석하면 특정 개인을 대상으로 한 스피어 피싱 공격이나 물리적 위협으로 이어질 수 있습니다. 초기 공격 경로는 Busbusbus의 웹 인프라 취약점이나 관리자 접근 권한 탈취를 악용한 것으로 추정되며, 이를 통해 공격자는 네트워크 내에서 횡적으로 이동하여 핵심 데이터베이스에 접근했습니다.

사건 발생 시점을 보면 2025년 12월 20일, 휴가철 예약 성수기에 공격 사실이 발견된 것으로 보입니다. 이는 우연의 일치가 아닐 가능성이 높습니다. 사이버 범죄자들은 서비스 복구에 대한 압박이 가장 크고 기업이 상당한 현금 보유량을 확보하고 있는, 운영 활동이 가장 활발한 시기를 의도적으로 공격 대상으로 삼습니다. 데이터에 따르면 정보 유출은 암호화 및 몸값 요구 단계보다 며칠 앞서 발생했으며, 이를 통해 공격자들은 상당한 협상력을 확보할 수 있었습니다. 유출된 데이터로 인해 발생할 수 있는 위험으로는 신원 도용, 은행 사기, 표적 피싱, 그리고 여행 이력에 민감한 정보가 노출된 사용자의 경우 개인 협박 등이 있습니다.

Conclusion

Busbusbus에 대한 공격은 교통 부문이 정교한 사이버 위협에 점점 더 취약해지고 있음을 보여줍니다. 도로, 철도, 항공 운송을 막론하고 모빌리티 플랫폼은 막대한 양의 개인 정보와 운영 데이터를 축적하기 때문에 랜섬웨어 공격의 주요 표적이 됩니다. 프랑스와 유럽의 운송 부문은 예약 관리, 물류 조정 및 운영 보안을 위한 IT 시스템에 대한 높은 의존도와 모바일 애플리케이션, 웹 인터페이스, 결제 시스템 및 파트너 네트워크를 포함하는 광범위한 공격 표면이라는 특정한 위험에 직면해 있습니다.