공격 경보: qilin이(가) Maset을(를) 표적으로 삼음 - ES

Introduction

2025년 12월 4일, 1956년에 설립된 스페인의 프리미엄 와인 및 주류 생산업체인 마셋(Maset)은 치린(Qilin) 랜섬웨어 그룹의 사이버 공격을 받았습니다. XC 분류 기준에 따라 SIGNAL 레벨로 분류된 이 침해 사고는 50명에서 100명의 직원과 연 매출 2,500만 유로 규모의 가족 소유 기업을 공격했습니다. 이 사건은 민감한 고객 데이터와 핵심 생산 공정이 악의적인 공격자들의 주요 표적이 되는 유럽 농식품 분야를 겨냥한 공격이 급증하는 가운데 발생했습니다. 검증된 데이터에 따르면, 이번 침입은 식음료 부문에 종사하는 스페인 중소기업의 디지털 인프라 보호에 대한 중대한 의문을 제기합니다.

마셋에 대한 공격은 중견 기업이 정교한 사이버 범죄 위협에 지속적으로 취약하다는 것을 보여줍니다. 폴리곤 블록체인에서 인증된 데이터는 이번 침해 사고가 고객 정보부터 프리미엄 주류의 영업 비밀에 이르기까지 회사의 전체 가치 사슬에 잠재적으로 영향을 미칠 수 있음을 보여줍니다. SIGNAL 분류는 즉각적인 경계가 필요한 노출이 감지되었음을 나타내지만, 유출의 정확한 규모는 CTI 팀에서 아직 분석 중입니다.

Analyse détaillée

스페인의 주요 경제 및 문화 유산을 대표하는 와인 및 주류 업계는 운영 방식의 디지털화 추세가 가속화되고 있습니다. 이러한 디지털 전환은 운영 효율성을 향상시키지만, 동시에 중요 자산을 사이버 위협에 노출시킵니다. 국제 유통업체의 평판과 신뢰에 의존하는 사업을 운영하는 마셋에게 이러한 침해의 여파는 기술적인 영역을 넘어 브랜드 자체에까지 영향을 미칩니다.

추출된 메타데이터 분석 결과, 치린은 산업 생산 시스템, 고객 데이터베이스, 물류 네트워크 등 광범위한 공격 영역을 가진 기업을 전략적으로 표적으로 삼았습니다. 이러한 다중 벡터 접근 방식은 국제적인 랜섬웨어 서비스(RaaS) 환경에서 수년간 활동해 온 사이버 범죄 집단의 진화하는 공격 방식을 잘 보여줍니다.

아젠다(Agenda)로도 알려진 치린(Qilin)은 현재 랜섬웨어 서비스형(RaaS) 모델을 기반으로 운영되는 가장 정교한 랜섬웨어 위협 중 하나입니다. 2022년부터 활동해 온 이 사이버 범죄 집단은 유럽과 북미 전역의 다양한 규모의 조직을 침해하는 능력으로 두각을 나타냈습니다. 치린의 분산형 인프라를 통해 가맹점들은 몸값에 대한 수수료를 받는 대가로 악성 도구를 임대하여 운영 범위를 확대할 수 있습니다.

치린의 공격 방식은 특히 강력한 이중 강탈(double torting) 방식을 사용합니다. 공격자는 단순히 피해자의 데이터를 암호화하는 데 그치지 않고, 사전에 상당한 양의 민감 정보를 유출합니다. 이러한 전략을 통해 복호화 몸값을 지불하더라도 전용 유출 사이트에 훔친 데이터를 공개하겠다고 위협하여 최대의 압력을 행사할 수 있습니다. 이전 사건에서 유출된 파일을 검토한 결과, 지적 재산, 재무 정보, 고객 데이터, 전략적 내부 커뮤니케이션 등 고부가가치 데이터를 선호하는 것으로 나타났습니다.

Qilin이 선호하는 침입 기법에는 인터넷에 노출된 시스템, 특히 VPN 서버와 원격 데스크톱 솔루션의 패치되지 않은 취약점을 악용하는 것이 포함됩니다. 분석 결과, 높은 권한을 가진 직원을 대상으로 한 표적 피싱 공격이 빈번하게 사용되는 것으로 나타났습니다. 초기 접근 권한을 확보하면, 이 그룹은 정교한 네트워크 정찰 도구를 사용하여 인프라를 매핑한 후 유출 및 암호화를 진행합니다.

Qilin의 주요 피해자로는 유럽과 북미 지역의 제조 회사, 의료 시설, 전문 서비스 회사가 있습니다. 이 그룹은 뛰어난 적응력을 보여주었으며, 직면한 방어 체계에 따라 전술을 조정했습니다. Qilin의 RaaS 플랫폼은 기술적으로 숙련된 제휴사를 유치하고 있으며, 이는 초기 공격 벡터가 침해마다 다르게 나타나는 이유를 설명합니다.

Qilin이 침해된 시스템에 지속적으로 머무르는 이유는 여러 개의 백도어 설치와 외부에서 탈취한 합법적인 도구(자급자족형)를 사용하기 때문이며, 이로 인해 탐지가 특히 복잡합니다. 이러한 은밀한 접근 방식은 공격자가 암호화를 시작하기 전 몇 주 동안 접근 권한을 유지할 수 있도록 하여 유출되는 데이터의 양을 극대화하고 강탈 작전의 성공 가능성을 높입니다.

Maset은 1956년 설립 이후 카탈루냐 와인 제조의 탁월함을 구현해 왔습니다. 페네데스 지역에 본사를 둔 이 프리미엄 와인 및 주류 생산업체는 최고 품질의 카바와 스파클링 와인으로 국제적인 명성을 쌓았습니다. 약 50명에서 100명의 직원을 보유한 이 가족 소유 기업은 연간 약 2,500만 유로의 매출을 창출하며 유럽 및 국제 시장에서의 프리미엄 입지를 입증합니다.

Maset의 사업은 현대적인 와인 제조 및 숙성 기술과 결합된 장인 정신의 생산 공정을 중심으로 이루어집니다. 이러한 이중성을 위해서는 와이너리의 산업 제어 시스템, 직접 판매를 위한 고객 데이터베이스, 그리고 국제 유통업체와의 B2B 네트워크를 동시에 관리하는 디지털 인프라가 필요합니다. 이러한 운영의 점진적인 디지털화는 광범위한 공격 표면을 만들어냈으며, 특히 2025년 12월 초 치린(Qilin)이 조직한 것과 같은 표적 침입에 취약했습니다.

Maset의 공급망은 유럽 전역과 그 너머까지 확장되어 포도원, 생산 시설, 창고 및 비즈니스 파트너 간의 복잡한 디지털 협력을 요구합니다. 이러한 상호 연결성은 운영 효율성을 최적화하지만, 초기 침해 발생 시 수평 확산 위험에 노출될 수 있습니다. 주문 정보, 구매 선호도, 연락처 정보를 포함하여 수십 년간 축적된 고객 데이터는 GDPR과 관련하여 특히 민감한 자산입니다.

Maset의 프리미엄 포지셔닝은 거의 70년 동안 구축된 신뢰와 브랜드 평판에 크게 의존합니다. 이미지와 신뢰성이 무엇보다 중요한 와인 산업에서 보안 취약점을 드러내는 사이버 공격은 고객 인식에 엄청난 영향을 미칠 수 있습니다. 국제 유통업체와 고급 소비자는 제품 품질뿐만 아니라 개인 및 비즈니스 데이터 보호에 대해서도 높은 기준을 기대합니다.

스페인의 전략적 와인 산지인 카탈루냐에 위치한 Maset은 생산자, 협동조합, 유통업체 간의 디지털 상호 연결로 인해 시스템적인 종속성이 형성되는 밀집된 농식품 생태계의 중심에 위치하고 있습니다. 공격자가 확립된 신뢰 관계를 악용하여 체인 공격을 감행할 경우, Maset에 보안 침해가 발생할 경우 비즈니스 파트너에게 잠재적으로 영향을 미칠 수 있습니다.

이 공격에 부여된 SIGNAL 등급은 대규모 데이터 유출에 대한 광범위한 공개 확인 없이 즉각적인 조치가 필요한 노출이 감지되었음을 나타냅니다. XC-Classify 방법론에 따르면, 이 등급은 qilin이 Maset에서 민감 정보를 유출했을 가능성이 높음을 시사하지만, 침해된 데이터의 정확한 범위와 특성은 CTI 분석가들이 아직 평가 중입니다.

Polygon 블록체인에 인증된 데이터에 따르면, 이 사건은 2025년 12월 4일에 감지되었으며, 이는 중요한 분석 기간의 시작을 의미합니다. 일반적인 qilin 공격 시나리오에서 초기 침입 벡터는 인터넷에 노출된 시스템의 패치되지 않은 취약점을 악용하거나 관리자 권한이 있는 직원을 대상으로 하는 피싱 캠페인을 수행하는 경우가 많습니다. Maset 규모의 기업이라면 이메일 서버, 구식 VPN 솔루션, 그리고 연결된 와이너리 생산 시스템의 관리 인터페이스 등이 잠재적인 침입 지점이 될 수 있습니다.

Conclusion

메타데이터 검토 결과, 공격자들은 강탈 단계가 시작되기 전 며칠 또는 몇 주 동안 Maset의 인프라 내에 은밀하게 존재했을 가능성이 높습니다. 이러한 정찰 기간을 통해 Qilin 계열사는 네트워크를 매핑하고, 고가치 데이터를 식별하고, 부분적으로 탐지되더라도 지속적인 접근을 보장하는 지속성 메커니즘을 구축할 수 있습니다.