공격 경보: safepay이(가) lampus.com을(를) 표적으로 삼음 - FR

Introduction

SafePay 랜섬웨어 그룹이 웹 및 모바일 개발 전문 프랑스 디지털 에이전시인 Lampus.com에 대한 사이버 공격을 자행했다고 주장했습니다. 2025년 12월 15일에 발견된 이 공격으로 Lampus.com은 특히 고객의 민감한 데이터와 파트너사를 위해 관리하는 전자상거래 프로젝트와 관련하여 심각한 위험에 직면하게 되었습니다. 당사의 XC-Classify 분석 프로토콜에 따라 XC 레벨(SIGNAL 레벨) 공격으로 분류된 이 사건은 기술 분야 중소기업이 사이버 범죄 위협에 여전히 취약함을 보여줍니다. 직원 수가 10명에서 50명 사이이고 연 매출이 약 200만 유로에 달하는 이 에이전시는 프랑스에서 SafePay 공격의 수많은 피해자 중 하나가 되었습니다.

SafePay는 여전히 활동 중인 악성 사이버 범죄 집단으로, 고전적인 이중 협박 랜섬웨어 모델을 사용합니다. 이 사이버 범죄 그룹은 표적 기업의 시스템을 암호화하는 동시에 대량의 민감한 데이터를 유출하고, 몸값을 지불하지 않으면 해당 데이터를 공개하겠다고 협박합니다. 이 최대 압박 전략은 피해자들이 백업 시스템을 갖추고 있더라도 협상에 나서도록 강요하는 것을 목표로 합니다.

Analyse détaillée

SafePay의 공격 방식은 현대 랜섬웨어 그룹에서 흔히 볼 수 있는 전술, 기법, 절차(TTP)와 일치합니다. 공격자는 일반적으로 인터넷에 노출된 인프라의 패치되지 않은 취약점, 직원을 대상으로 한 표적 피싱 캠페인, 또는 IAB(Initial Access Broker)를 통해 지하 포럼에서 구매한 초기 접근 권한을 악용합니다. 침해된 네트워크에 대한 지속성을 확보한 후에는 환경에 대한 철저한 정찰을 수행하여 중요한 디지털 자산과 권한 상승 경로를 파악합니다.

SafePay의 이전 피해 사례들을 보면 산업 기업과 디지털 서비스 제공업체를 모두 공격 대상으로 삼는 등 의도적인 분야 다각화를 보여줍니다. 이러한 기회주의적인 접근 방식은 공격 대상이 특정 산업에 국한되기보다는 공격 가능한 표면이 많은 곳을 우선적으로 공격 대상으로 삼는다는 것을 시사합니다. 랜섬웨어 서비스(RaaS) 형태로 운영되는 것으로 추정되는 이 그룹의 사업 모델은 계열사들이 수익 분배를 대가로 악성 인프라를 배포할 수 있도록 하여 공격 범위를 확대하는 방식입니다.

2010년에 설립된 Lampus.com은 프랑스 기술 생태계에서 선도적인 디지털 에이전시로 자리매김했습니다. 10명에서 50명 규모의 팀을 보유한 이 회사는 고객 맞춤형 웹 및 모바일 솔루션 설계 및 개발을 지원합니다. 특히 거래 데이터, 은행 정보, 기밀 고객 파일 등을 다루는 중요한 전자상거래 프로젝트를 다수 수행한 경험이 있습니다.

이 회사는 디지털 신뢰가 핵심 전략 자산인 경쟁이 치열한 분야에서 사업을 운영하고 있습니다. 시스템 침해는 자사 내부 데이터(독점 소스 코드, 기술 문서, 상업 계약서)뿐만 아니라 비즈니스 파트너로부터 위탁받은 정보까지 노출시킵니다. 이러한 이중 노출은 잠재적 파급 효과를 크게 증폭시켜, 표적 공격이 전체 고객 생태계에 대한 광범위한 위협으로 이어질 수 있습니다.

프랑스에 본사를 둔 Lampus.com은 엄격한 규제 환경에서 운영되며, 일반 데이터 보호 규정(GDPR) 및 제공하는 서비스의 중요도에 따라 NIS2 지침의 의무를 준수해야 합니다. 중소기업(SME)의 전형적인 규모로 인해 특정 취약 영역에 속합니다. 민감한 프로젝트를 관리할 수 있는 충분한 구조를 갖추고 있지만, 정교한 공격에 직면했을 때는 사이버 보안 리소스가 제한적일 수 있습니다.

XC 노출 수준(SIGNAL)은 침해가 감지되었지만, 유출된 데이터의 정확한 규모는 사이버 위협 인텔리전스(CTI) 팀에서 분석 중임을 나타냅니다. 이는 SafePay가 유출 사이트에 공격에 대한 책임을 주장하는 글을 게시했지만, 모든 유출 파일을 즉시 공개하지는 않았음을 시사합니다. 이러한 중간 단계는 종종 공격자에게 최대한의 압박을 가하는 전략으로, 디지털 자산의 규모와 중요도에 대한 불확실성을 공격자에게 남겨둡니다.

사용 가능한 메타데이터를 검토한 결과, 이번 침입은 고객 프로젝트 소스 코드와 운영 데이터베이스가 있는 중요한 영역인 SafePay의 프로덕션 및 개발 환경을 표적으로 삼았을 가능성이 높습니다. 초기 공격 경로는 아직 조사 중이지만, 디지털 에이전시 침해는 강력한 다중 인증이 적용되지 않은 협업 도구나 프로젝트 관리 플랫폼의 취약점을 악용한 경우가 많습니다.

사건 발생 시점을 살펴보면 2025년 12월 15일에 침해 사실이 감지되었는데, 이는 기술팀 인력이 감축되고 보안 경계가 약해지는 연말 기간의 한가운데에 해당합니다. 이러한 시점은 우연의 일치가 아닐 가능성이 높습니다. 악의적인 공격자들은 암호화가 활성화되기 전까지 탐지되지 않고 최대한 오랫동안 시스템에 머무르기 위해 조직의 취약점을 전략적으로 악용합니다. 데이터에 따르면 데이터 유출은 공식적인 책임 주장보다 며칠 앞서 발생했으며, 그 기간 동안 SafePay는 가장 민감한 파일들을 체계적으로 추출할 수 있었습니다.

프랑스 기술 업계는 디지털 서비스 제공업체를 표적으로 삼는 사이버 공격이 급증하는 상황에 직면해 있습니다. 이러한 기업들은 본질적으로 여러 고객의 데이터를 보유하고 있기 때문에, 각 침해 사고는 전체 비즈니스 생태계에 영향을 미치는 연쇄 반응으로 이어질 수 있습니다. Lampus.com과 같은 디지털 에이전시는 고객 인프라에 대한 특권 접근 권한, 관리자 자격 증명, 암호화 비밀 키 등을 관리하는 경우가 많은데, 이러한 자산들은 암시장에서 매우 높은 가격에 거래됩니다.

프랑스 규정은 보안 사고 신고와 관련하여 엄격한 의무를 부과합니다. GDPR(일반 데이터 보호 규정)에 따라 Lampus.com은 개인정보 유출 사고가 관련 개인의 권리와 자유에 위협을 가하는 경우, 사고 발생 후 72시간 이내에 프랑스 데이터 보호 기관(CNIL)에 신고해야 합니다. 동시에 필수 서비스 제공업체 및 디지털 서비스 제공업체에 적용되는 규정에 따라 프랑스 국가 사이버보안청(ANSSI)에도 신고해야 합니다. 이러한 법적 의무는 데이터 보호에 대한 불이행 또는 과실이 입증될 경우 상당한 재정적 처벌을 수반할 수 있습니다.

프랑스에서 사업을 운영하는 기술 기업들은 사이버보안 의무 강화 대상 범위를 크게 확대하는 NIS2 지침의 단계적 시행에도 대비해야 합니다. 이제 필수 디지털 서비스 제공업체도 이 규정의 적용을 받게 되며, 위험 관리, 사고 신고 및 보안 거버넌스에 대한 요구 사항이 강화됩니다.

업계의 선례는 디지털 기관의 데이터 유출 사고가 종종 연쇄적인 파급 효과를 일으킨다는 것을 보여줍니다. 서비스 제공업체가 침해당하면 공격자는 기존의 신뢰 관계를 악용하여 고객 인프라로 침투할 수 있으며, 단일 침입을 광범위한 공격 캠페인으로 전환할 수 있습니다. 이러한 상황에서는 공동의 경계가 필요합니다. 모든 Lampus.com 파트너는 이제 간접적인 노출 가능성을 고려하고 기관에 부여된 액세스 및 권한을 시급히 검토해야 합니다.

Lampus.com에 대한 이번 공격은 XC-Audit 프로토콜을 통해 인증되었으며, Polygon 블록체인 상에서 변경 불가능하고 검증 가능한 추적성을 보장합니다. 사이버 보안 업계에서 전통적으로 사용되는 중앙 집중식의 불투명한 검증 시스템과는 달리, 당사의 블록체인 접근 방식은 누구나 침해의 진위와 타임스탬프를 독립적으로 검증할 수 있도록 합니다.

Conclusion

사건의 암호화 해시는 공개 Polygon 블록체인에 영구적으로 기록되어 SafePay의 주장을 위변조할 수 없는 증거로 만듭니다. 이러한 근본적인 투명성은 DataInTheDark의 차별점입니다. 당사의 분석은 검증 불가능한 주장이 아닌, 암호화 방식으로 인증되고 공개적으로 감사 가능한 증거에 기반합니다. 따라서 기업, 연구원 및 당국은 진위 여부가 의심스러운 사건 보고서보다는 인증된 데이터를 신뢰할 수 있습니다.