UNC3753(Luna Moth·Silent Ransom Group)이 2026년 1~5월 미국 법무법인 수십 곳을 IT 헬프데스크 사칭 비싱으로 침투해 1시간 내 기밀 데이터를 탈취·갈취한 캠페인. Mandiant·FBI FLASH 경보 기반 분석.
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.
2026년 1월의 평범한 월요일 아침, 미국 동부의 한 로펌 직원에게 이메일 한 통이 도착했다. 악성 링크도, 첨부파일도 없었다. "어제 얘기한 인보이스야"라는 짧은 메모뿐이었다. 몇 시간 뒤 IT 헬프데스크라고 밝힌 누군가가 전화를 걸었고, 직원은 도움을 받으러 화면을 공유했다. 30분 후 원격 관리 에이전트가 설치됐고, 1시간이 채 지나지 않아 OneDrive에서 1.7GB, VDI 경로로 14.4GB의 클라이언트 기밀 데이터가 구글 드라이브로 빠져나갔다. 환경을 떠난 지 30분 만에 갈취 이메일이 도착했다.
이 공격의 배후는 UNC3753이다. 스스로를 "법 집행 기관 관할 밖에 있다"고 주장하는 갈취 전문 위협 그룹이다. 이 주장은 단순한 허세가 아니라 갈취 협박 이메일에 반복 삽입해 피해자의 신고 의지를 꺾는 심리 압박 수단으로 쓰인다.
UNC3753은 Mandiant(Google Threat Intelligence Group)가 추적하는 금전 동기 위협 클러스터로, 보안 벤더들이 각기 다른 이름으로 추적하며 Luna Moth, Silent Ransom Group(SRG), Chatty Spider라는 별칭이 병용된다. 최소 2022년 3월부터 활동이 확인됐으며, 2021년 초 "BazarCall" 캠페인을 주도한 UNC2686과 전술적 중복이 관찰된다.
| 속성 | 내용 |
|---|---|
| 추정 소속 | 재무 동기 독립 그룹 (국가 연계 미확인) |
| 활동 시작 | 최소 2022년 3월 |
| 별칭 | Luna Moth, Silent Ransom Group(SRG), Chatty Spider |
| 주요 타깃 | 미국 법무법인, 전문직·금융·보험·의료 서비스 |
| 운영 방식 | 암호화 없는 데이터 탈취 갈취 전용 |
초기(2022년)에는 LOCKBIT.BLACK 랜섬웨어를 배포했으나, 이후 암호화 없이 데이터를 탈취해 공개 협박만으로 갈취하는 방식으로 완전 전환했다. 암호화가 없으면 피해자가 백업으로 복구할 수 있지만, 이미 탈취된 기밀 데이터의 공개는 복구로 막을 수 없다. 법무법인에게는 이 비대칭이 특히 치명적이다. 법무법인의 클라이언트 기밀 유지 의무는 침해 사실 자체를 비공개로 강요하는 구조적 압박으로 작용하며, 이것이 UNC3753이 로펌을 반복 타깃으로 삼는 핵심 이유다. 2025년 3월부터는 기존 구독 테마 이메일 대신 내부 IT 헬프데스크 사칭 비싱으로 전술을 재편했다.
UNC3753의 공격에는 전통적인 의미의 악성코드가 없다. 악성 링크도, 익스플로잇도 없다. 대신 사람을 도구로 삼는다.
이메일 포석: 공격자 통제 소비자 이메일 계정에서 무해한 인보이스 메일이 발송된다. 링크도 첨부파일도 없고, "어제 얘기한 거야" 수준의 메모만 포함된다. 수신자가 혼란스러워 IT 헬프데스크에 확인하려는 심리를 이용하는 사전 포석이다.
IT 사칭 비싱: 공격자가 내부 IT팀 또는 보안팀을 사칭해 직접 전화를 건다. 조직명을 활용한 피싱 도메인(<조직명>-itdesk[.]com, <조직명>-helpdesk[.]com)과 Privnote(자동 삭제 메모 서비스)로 설치 링크를 전달한다. Privnote 사용은 브라우저·채팅 로그에 흔적을 남기지 않기 위한 선택이다.
원격 접속 장악: Zoom, Microsoft Teams, Quick Assist 등 합법적 화면 공유 앱으로 진입한 뒤, 피해자에게 Privnote 링크를 클릭하도록 유도해 RMM 에이전트 설치를 직접 실행하게 만든다. AnyDesk·Bomgar·Zoho Assist·SuperOps RMM 에이전트가 설치되며, 공개 분석에 따르면 실제 캠페인에서는 SuperOps RMM 설치 패키지를 외부에서 내려받아 무인(silent) 방식으로 설치하는 명령이 관찰됐다.
데이터 식별과 수집: OneDrive 폴더, 네트워크 공유 드라이브, iManage 문서 저장소를 탐색한다. W-2·W-9 세금 서류, M&A 계약서, 고객 PII, 사회보장번호(SSN)를 iManage 내부 검색 기능이나 Windows 탐색기 키워드 검색으로 식별하고 Downloads 폴더 또는 Roaming 프로파일에 스테이징한다.
탈취 경로 3종 병행: Google Drive 드래그앤드롭이 1차 수단이며, 엔드포인트 제어로 차단될 경우 WinSCP 포터블 버전 또는 파일명을 변조한 Rclone으로 SFTP 전송한다. iManage 파일은 통화 중 공격자가 피해자에게 직접 지시해 공격자 이메일로 첨부 전송하도록 유도하기도 한다.
물리 침투: FBI 2026년 5월 FLASH 경보가 확인한 추가 전술이다. IT 기술자를 사칭한 공격자가 사무실에 직접 방문해 USB 기기를 삽입한다. 원격 접속이 차단된 환경에 대한 우회 수단이다.
갈취: 환경 이탈 30분 이내에 갈취 이메일이 도착한다. 제목 형식은 "[조직명]의 기밀 클라이언트 데이터가 유출됐습니다. 매우 중요."이며, 3일 기한을 제시하며 두 가지 압박을 병행한다. 하나는 침해 사실을 직원·거래처·규제기관에 통보하겠다는 평판 위협이고, 다른 하나는 LEAKEDDATA 유출 사이트(business-data-leaks[.]com)에 공개하겠다는 데이터 공개 위협이다. 요구 금액은 건당 100만~800만 달러 범위로 알려졌다. "법 집행 기관은 당신을 도울 수 없다. 그들은 우리 관할 밖이다"라는 문구는 신고 의지를 꺾기 위해 반복 삽입된다.
2022년 — BazarCall·LOCKBIT.BLACK 병행기: 구독 만료/결제 알림 이메일에 콜백 전화번호를 포함해 피해자가 직접 전화를 걸게 유도하는 방식을 사용했다. UNC2686의 BazarCall 전술을 계승한 초기 형태다. 이 시기에는 LOCKBIT.BLACK 랜섬웨어도 함께 배포했다.
2023년 봄 — 법무법인 집중 타깃 전환: 미국 내 법무법인이 주요 타깃으로 부상했다. Palo Alto Unit 42, CYPFER, HIPAA Journal 등 복수의 보안 벤더가 로펌 피해 사례를 보고했다. 단순 PII보다 M&A·소송 기밀의 유출 파급력이 크고, 기밀 유지 의무 때문에 피해 사실을 외부에 알리기 어려운 로펌의 구조적 약점이 반복 타깃화의 유인이 됐다.
2025년 3월 — IT 헬프데스크 사칭으로 전환: 구독 테마 이메일에서 내부 IT 직원 사칭 비싱으로 완전 전환했다. 구독 이메일보다 실시간 전화가 피해자의 판단 시간을 줄이고, Privnote처럼 흔적 제거 도구 채택이 늘어난 시점과 맞물린다. 물리 침투 전술도 이 시기부터 병행된 것으로 알려졌다.
2026년 1~5월 — Mandiant 확인 캠페인: 미국 내 법무법인·전문직 서비스 조직 수십 곳을 대상으로 한 5개월 집중 캠페인이다. 이 글 도입부에 서술된 2026년 1월 사례가 이 캠페인의 대표 인스턴스다. OneDrive 1.7GB와 VDI 경로 14.4GB를 동시 탈취하고, 공격 착수에서 탈취 완료까지 1시간 이내, 갈취 이메일 도달까지 30분 이내라는 동일 패턴이 반복 확인됐다. FBI는 2026년 5월 26일 Cyber FLASH Alert(FLASH-20260526-01)를 발령했다.
주요 기법 요약:
| ATT&CK ID | 기법명 | 실제 사용 |
|---|---|---|
| T1566.004 | Spearphishing Voice | IT 헬프데스크 사칭 비싱 |
| T1219 | Remote Access Software | AnyDesk·Zoho·SuperOps |
| T1567.002 | Exfiltration to Cloud Storage | Google Drive 드래그앤드롭 |
| T1052.001 | Exfiltration Over Physical Medium | USB 직접 삽입·물리 침투 |
| T1070.001 | Indicator Removal: Clear Event Logs | 이벤트 로그 삭제 |
국내 대형 로펌(김앤장·광장·태평양 등)은 M&A 자문, 정부 조달 계약, IPO 실사 등에서 최고 수준의 기밀 데이터를 보유한다. UNC3753이 공략하는 "기밀 클라이언트 계약서·세금 서류·PII" 유형이 국내 대형 사건에서는 더 큰 규모가 될 수 있다. 직접적인 국내 법무법인 피해 사례가 공개되지 않았더라도, IT 헬프데스크 사칭 비싱은 이미 국내 금융·통신 분야에서 유사 수법으로 증가 중이다. 국내 로펌이 글로벌 파트너사와 공동 작업을 수행하는 경우 동일 위협 표면에 노출될 뿐 아니라, 수법 자체가 조직 규모나 국경과 무관하게 작동한다는 점에서 국내 단독 운영 법인도 예외가 아니다. 도입부의 장면, 즉 링크 하나 없는 이메일과 전화 한 통으로 1.7GB의 기밀이 빠져나가는 1시간은 특정 국가에 한정된 이야기가 아니다.
AI 활용 안내 이 글은 AI(Claude)의 도움을 받아 작성되었습니다. 인용된 통계와 사례는 참고 자료에 명시된 출처에 근거하며, 설명을 위한 일부 표현은 각색되었습니다.
면책 조항 본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다. 언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라 처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.