UNC6671(BlackFile)이 비싱과 AiTM 기법으로 소매·호텔 기업 12곳을 침투한 방식 상세 분석. 공격 흐름·사용 도구·MITRE 매핑·갈취 전술 진화 과정 정리.
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.
2026년 3월, 북미 지역 한 소매 기업 IT 헬프데스크에 전화가 걸려왔다. 발신자는 사내 IT 지원팀 직원으로 소개하며 "패스키 전환 작업을 도와주겠다"고 했다. 직원이 전달받은 링크에 접속하자 회사 SSO 로고가 정확히 표시된 로그인 화면이 떴다. 자격증명을 입력한 순간, 공격자는 이미 해당 계정으로 접속해 SharePoint에서 100만 개 이상의 파일을 빼내기 시작했다. 1시간 이내에 모든 데이터 탈취가 완료됐고, 72시간 뒤 이메일 한 통이 도착했다. 이것이 UNC6671, 'BlackFile'의 시그니처다. 2026년 2월~3월 단 두 달 사이 북미·호주·영국 12개 기업이 같은 수법으로 뚫렸고, 이 글은 그 패턴과 작동 원리를 추적한다.
UNC6671은 Google Threat Intelligence Group(GTIG, 구 Mandiant)이 추적 중인 금전 동기 위협 그룹이다. CrowdStrike는 같은 그룹을 'Cordial Spider'로 분류한다. 2026년 2월부터 'BlackFile' 브랜드를 내세운 대규모 갈취 캠페인을 전개했으며, 영어권 청년 사이버범죄 네트워크 "The Com"과의 연계가 중간 신뢰도로 평가된다.
| 속성 | 내용 |
|---|---|
| Mandiant 명칭 | UNC6671 |
| CrowdStrike 명칭 | Cordial Spider |
| 갈취 브랜드 | BlackFile |
| 활동 시작 | 2026년 1월 (대규모 캠페인 2월~) |
| 동기 | 금전 갈취 |
| 추정 소속 | "The Com" (중간 신뢰도) |
같은 생태계의 관련 그룹으로는 UNC6661(Okta 집중 타깃, NICENIC 도메인 사용)과 UNC6240(ShinyHunters DLS 운영)이 있다. UNC6671이 한 차례 UNC6240 브랜드를 차용한 사실이 확인됐으나, 두 그룹은 독립적으로 운영된다.
BlackFile DLS(데이터 유출 사이트)는 아래 일정으로 운영됐다.
UNC6671의 핵심 차별점은 악성코드를 전혀 사용하지 않는다는 점이다. 사회공학과 세션 탈취만으로 초기 접근부터 데이터 탈취까지 1시간 이내에 완료한다.
공격은 다음 순서로 전개된다.
IT 헬프데스크 또는 보안팀 직원으로 위장해 표적의 개인 휴대폰으로 전화한다. "패스키 업그레이드" 또는 "MFA 재등록" 명목으로 피싱 링크를 전달한다. 표적이 링크에 접속하면 Doko's Panel 기반 AiTM 프록시가 실시간으로 자격증명과 MFA 코드를 중간에서 가로챈다. 표적은 자신이 정상 로그인한다고 믿지만, 실제 인증 세션은 공격자 측에서 확립된다. 공격자는 탈취한 세션으로 자신의 기기에 새 MFA 장치를 등록해, 표적이 비밀번호를 변경해도 접근권이 유지되도록 고정한다. 이후 Python-requests, PowerShell, Microsoft Graph API로 SharePoint·OneDrive 파일을 일괄 추출한다.
피싱 도메인은 Tucows 등록 서비스를 통해 빠르게 생성된다. 패턴은 <조직명>.enrollms[.]com, <조직명>.passkeyms[.]com, <조직명>.setupsso[.]com 세 가지다. Push Security 분석 기준 400개 이상의 도메인이 4개 인프라 클러스터로 연결된다.
주요 타깃은 소매(Retail)와 호텔·외식업(Hospitality)이며, 의료·기술·물류 부문에서도 피해가 확인됐다. 지리적으로는 북미, 호주, 영국에 집중된다.
공격자는 접근권을 확보한 직후 SharePoint·OneDrive에서 "confidential", "SSN" 키워드로 민감 파일을 검색하고, CRM(Salesforce) 내보내기, 지원 티켓(Zendesk), 기업 디렉토리(Entra 덤프), 임원 메일박스까지 체계적으로 수집한다. 한 피해 사례에서는 단일 침해에서 100만 개 이상의 파일에 접근이 이뤄졌다.
탐지 회피 측면에서 주목할 전환이 있다. 초기(2026년 2월)에는 감사 로그에 python-requests/2.28.1 UserAgent와 IP 179.43.185.226이 FileDownloaded 이벤트로 기록됐다. 그런데 3월 18일부터 같은 행위가 FileAccessed 이벤트로만 남기 시작했다. FileDownloaded를 경보 조건으로 설정한 SOC는 이 전환 이후 탐지 공백이 생긴다. 이 그룹이 방어 측 탐지 규칙을 인식하고 행위 방식을 조정한다는 점을 보여주는 관찰이다.
2026년 2월 — 소매 체인 대규모 피해 캠페인 시작
도입부에 묘사한 소매 기업 헬프데스크 침투 사례가 이 캠페인의 전형적인 패턴이다. 2026년 2월, RH-ISAC(소매·호텔 업계 정보공유 커뮤니티) 회원사 12곳 이상이 동시다발적으로 침해됐다. 당시 갈취 이메일은 BlackFile 브랜딩 없이 Tox 메신저로 연락을 요구하는 단순한 형태였고, 마감 시한은 24~48시간이었다. Unit 42는 이 캠페인을 2026년 4월 24일 RH-ISAC와 공동으로 공개했다.
2026년 1~3월 — 갈취 브랜딩과 에스컬레이션 전술 체계화
1월의 단순한 Tox 메신저 요구에서 출발해, 2월 이후 그룹은 브랜딩·압박 수단·발송 채널 모두를 체계화했다. 피해 기업명을 제목으로 한 이메일([COMPANY NAME] DATA BREACH 72 HOURS TO CONTACT US)을 발송하고, 요구액은 초기 수백만 달러에서 실제 협상은 6자리(수십만 달러)에서 타결됐다. 협상 거절 시에는 수십 개의 Gmail 계정으로 스팸 캠페인을 벌이고, C-레벨 임원에게 위협 음성메일을 남기는 방식으로 압박을 가했다.
3월부터는 침해에 성공한 기업의 내부 이메일 계정과 Microsoft Teams 계정을 직접 활용해 협박 메시지를 발송하는 수법이 나타났다. 기업 도메인 발신자는 스팸 필터 규칙을 통과하므로, 외부에서 보낸 협박 메일보다 수신 및 열람 가능성이 높다.
2026년 4~5월 — Swatting 전술과 DLS 운영
4월부터 그룹은 swatting(허위 긴급 신고로 무장 대응팀 출동 유도) 전술을 실행했다. Mandiant 보고서는 임원을 포함한 실제 swatting 사례를 기록했다. 이 시기 BlackFile DLS는 4월 말 한 차례 폐쇄됐다가 5월 11일 재개설 후 폐지 메시지를 게시하며 활동이 종료됐다.
UNC6671은 상용·공개 도구만으로 공격을 완성한다. 별도의 맞춤형 악성코드가 없다는 점이 이 그룹의 탐지를 어렵게 만드는 주요 요인이다.
| 도구 | 역할 |
|---|---|
| AiTM 프록시 인프라 | SSO 자격증명·MFA 코드 실시간 수집 |
| Doko's Panel | Telegram 연동, AiTM 수집 결과 집계·관리 |
| python-requests/2.28.1 | SharePoint 파일 자동 다운로드 |
| Microsoft Graph API | Sites.Read.All 권한으로 파일 열거 |
| PowerShell | OneDrive·SharePoint 자동화 스크립트 |
UNC6671과 유사 기법을 사용하는 그룹들의 차이는 아래와 같다.
도입부의 소매 기업 헬프데스크 사례로 돌아오면, 그 직원은 어떤 악성코드도 실행하지 않았다. 정상적인 로그인 화면에 자격증명을 입력한 것이 전부였다. UNC6671이 보여주는 것은 악성코드 없이도 기업 클라우드 환경 전체가 1시간 만에 노출될 수 있다는 사실이다. 엔드포인트 탐지 도구가 아무것도 경보를 울리지 않는 상황에서, 이 그룹의 행위 흔적은 Microsoft 365 감사 로그 안에만 남는다. 그것도 어떤 이벤트 유형에서 찾느냐에 따라 달라지는 방식으로.
AI 활용 안내 이 글은 AI(Claude)의 도움을 받아 작성되었습니다. 인용된 통계와 사례는 참고 자료에 명시된 출처에 근거하며, 설명을 위한 일부 표현은 각색되었습니다.
면책 조항 본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다. 언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라 처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.