Introduction

Qilin, 미국 콜럼버스 교통 서비스 업체 Yellow Cab을 침해한 경위

2025년 12월 4일, Qilin 랜섬웨어 그룹은 오하이오주에 본사를 둔 도시 교통 회사인 콜럼버스 Yellow Cab에 대한 사이버 공격의 배후를 자처했습니다. XC-Classify 프로토콜에 따라 SIGNAL 레벨로 분류된 이 침해 사고는 매일 수백 명의 승객 개인정보를 관리하는 기관의 민감한 데이터, 즉 이동 경로 GPS 좌표, 카드 결제 관련 은행 계좌 정보, 고객 정보를 노출시켰습니다. 교통 부문에서 10명에서 50명 규모의 직원을 고용하는 중소기업의 경우, 이 사건은 이중 갈취를 전문으로 하는 악의적인 공격자들에게 도시 교통 인프라가 점점 더 취약해지고 있음을 보여줍니다. 이 공격은 기존 택시 서비스가 상당한 양의 위치 정보 및 재무 데이터를 축적하고 있는 상황에서 발생했으며, 이러한 소규모 사업체는 사이버 범죄 조직의 주요 타깃이 되고 있습니다.

Analyse détaillée

이번 침입은 대형 승차 공유 플랫폼과 달리 전담 사이버 보안팀을 거의 갖추지 않은 도시 교통 회사가 직면한 구체적인 위험을 보여줍니다. 침해된 데이터에는 생활 습관을 드러내는 여행 기록, 비접촉식 결제에 사용되는 은행 정보, 주소와 전화번호가 포함된 고객 파일이 포함될 가능성이 있습니다. 이번 침해는 최근 발표된 → 교통 부문 위협 분석에서 알 수 있듯이 미국 교통 부문이 중요 이동성 인프라를 노리는 공격이 급증하는 가운데 발생했습니다. XC-Audit 프로토콜을 통한 이 사건의 블록체인 인증은 조작이나 반박이 가능한 기존의 중앙 집중식 검증 시스템과 달리 증거의 불변적 추적성을 보장합니다.

Qilin: 랜섬웨어 그룹의 방법론, 역사 및 피해자

Agenda로도 알려진 Qilin은 랜섬웨어 서비스형(RaaS) 모델을 기반으로 2022년부터 활동해 온 사이버 범죄 집단입니다. 이 그룹은 숙련된 기술 인력을 모집하고, 정교한 암호화 인프라와 전용 유출 사이트를 제공하여 피해자에게 최대한의 압박을 가하는 것으로 유명합니다. 이들의 활동 방식은 체계적인 이중 갈취에 의존합니다. 즉, 중요 시스템을 암호화하고, 다크웹을 통해 접근 가능한 공개 플랫폼에 유출된 데이터를 게시하겠다고 위협하는 것입니다.

이 악의적인 행위자가 선호하는 초기 침투 기법에는 인터넷에 노출된 서비스, 특히 제대로 구성되지 않은 VPN 원격 액세스 솔루션과 패치되지 않은 Microsoft Exchange 서버의 취약점을 악용하는 것이 포함됩니다. 접근이 확보되면, 이들은 네트워크 정찰 도구를 사용하여 인프라를 매핑하고, 바이러스 백신 솔루션을 비활성화하고, 암호화 프로세스를 시작하기 전에 백업을 삭제합니다. 백도어를 설치하여 지속성을 확보함으로써, 겉보기에 복구된 후에도 다시 공격이 가능합니다.

이 그룹은 주로 미국과 유럽의 의료, 제조, 운송 분야를 표적으로 삼으며, 충분한 재정 자원을 갖추고 있지만 사이버 보안 방어 체계가 부족한 중소 규모 기업(직원 수 50~500명)을 선호합니다. 주요 피해자로는 응급 서비스를 중단해야 했던 미국 병원, 수 주 동안 생산이 중단된 유럽 제조업체, 그리고 콜럼버스의 옐로 캡과 같은 도시형 모빌리티 서비스 등이 있습니다. RaaS 모델을 통해 Qilin은 계열사를 통해 여러 공격을 동시에 실행할 수 있으며, 각 계열사는 수집된 몸값의 일부를 받게 되는데, 일반적으로 총 금액의 70%에서 80% 사이입니다.

이전 캠페인 분석 결과, 데이터 유출 수법이 점점 더 정교해지고 있으며, 암호화가 실행되기 전에 암호화된 채널을 통해 전송된 데이터량이 수십 기가바이트에 달하는 것으로 나타났습니다. → Qilin의 세부적인 운영 방식을 이해하기 위해, CTI 분석가들은 설립 이후 그룹의 TTP(전술, 기술, 절차) 발전 과정을 기록했습니다.

콜럼버스 옐로 캡: 회사 소개 - 운송(직원 10~50명) - 미국

콜럼버스 옐로 캡은 오하이오 주 주도의 도시 교통 분야에서 오랜 역사를 가진 기업으로, 현재 승차 공유 플랫폼과의 경쟁에 직면한 시장에서 수십 년간 사업을 운영해 왔습니다. 이 회사는 운전기사, 배차 담당자, 행정 직원을 포함하여 10명에서 50명 사이의 직원을 고용하고 있으며, 차량 내 GPS 시스템과 전자 결제 단말기가 장착된 차량을 관리합니다. 현대 고객의 기대에 부응하기 위해 점진적으로 개발된 이 디지털 인프라는 지리적 위치 및 시간 정보가 포함된 여정, 카드 결제를 위한 은행 정보, 정기 승객의 개인 연락처 정보, 예약 내역 등 민감한 데이터를 매일 축적합니다.

오하이오주의 행정 수도이자 약 90만 명의 주민이 거주하는 도시인 콜럼버스에 위치한다는 점은 이 회사가 지역 교통에 있어 전략적 중요성을 지니게 합니다. 옐로캡과 같은 기존 택시 서비스는 병원, 공항, 기차역으로 가는 중요한 교통 서비스를 제공하며, 이러한 정기 서비스에 의존하는 취약 계층(노인, 환자, 여행객)을 수송합니다. 전담 사이버 보안팀을 보유한 대형 기술 플랫폼과 달리, 이 가족 소유 중소기업은 데이터 보안 예산이 제한적인 상황에서 아웃소싱 IT 시스템이나 지역 공급업체가 관리하는 시스템에 의존할 가능성이 높습니다.

이번 침해 사고의 잠재적 영향은 회사 자체에만 국한되지 않습니다. 노출된 고객 데이터는 민감한 이동 패턴, 즉 정기적인 의료 시설 방문, 야간 이동, 거주지 주소, 전화번호, 결제 정보 등을 드러낼 수 있습니다. 옐로 캡(Yellow Cab)을 이용하는 출장객의 경우, 이동 내역 노출로 인해 기밀 비즈니스 정보가 유출될 수 있습니다. 또한, 10~50명의 소규모 조직 규모는 내부 보안 운영 센터(SOC) 팀이나 광범위한 시스템 암호화로 인한 강력한 비즈니스 연속성 계획이 부족하여 사고 대응 역량이 제한적임을 시사합니다.

미국 교통 부문에는 수천 개의 유사한 소규모 기업이 있으며, 이러한 기업들은 대부분 가족 소유이거나 여러 세대에 걸쳐 운영되는 경우가 많으며, 중소 도시 교통의 중추를 형성합니다. → 교통 부문 기업들은 중요 이동 인프라를 표적으로 하는 랜섬웨어 공격 위협이 증가하고 있음에 따라 시급히 방어 체계를 강화해야 합니다.

기술 분석: 노출 수준

XC-Classify 프로토콜에서 부여한 SIGNAL 등급은 노출된 데이터 침해가 확인되었음을 나타내지만, 침해의 규모는 아직 철저히 분석 중입니다. 이 수준은 최소, 부분 또는 전체 분류와 달리 악의적인 행위자가 유출 웹사이트 공격에 대한 책임을 공개적으로 주장하여 시스템 암호화 이전에 민감한 파일이 유출되었음을 확인했음을 나타냅니다. 콜럼버스의 옐로 캡(Yellow Cab)의 경우, 노출되었을 가능성이 있는 데이터에는 이름, 주소, 전화번호 및 예약 내역이 포함된 고객 데이터베이스, 정확한 타임스탬프가 포함된 수천 건의 지리적 위치 정보를 보여주는 GPS 로그, 그리고 신용카드 거래 관련 재무 정보가 포함됩니다.

2025년 12월 4일 발견 당시 치린 그룹(Qilin Group)은 침해된 데이터의 정확한 양을 공개하지 않았지만, 메타데이터 분석 결과 주로 운영 데이터베이스와 배차 시스템을 표적으로 삼은 것으로 나타났습니다. 노출된 파일에는 회사의 내부 조직을 드러내는 내부 관리 문서(운전자 계약서, 공급업체 송장, 이메일 서신)가 포함될 수 있습니다. 유출된 정보 유형은 운송 부문에 대한 전형적인 공격 패턴, 즉 민감한 고객 데이터를 노출시켜 압력을 극대화하는 동시에 중요한 비즈니스 연속성 운영 시스템을 침해하는 것과 일치합니다.

Conclusion

초기 침투 방법과 관련하여, 이전 Qilin 캠페인 분석 결과 몇 가지 가능한 벡터가 제시되었습니다. IT 서비스 제공업체가 사용하는 보안이 취약한 VPN 연결 악용, 표적 피싱을 통한 관리자 계정 침해, 또는 발송 또는 결제 시스템의 패치되지 않은 취약점 악용 등이 있습니다. 예상 공격 경로는 며칠 또는 몇 주 동안 지속되는 은밀한 네트워크 정찰로 시작하여, 실제 랜섬웨어 배포 전 암호화된 채널을 통해 중요 데이터가 점진적으로 유출되는 것으로 이어집니다. 조기 탐지가 부족하다는 것은 모니터링 및 이벤트 로그 분석 역량의 부족을 시사합니다.