쿼드마이너, 고객사 및 파트너사 안전 위해 사실 기반의 공식 입장 발표와 향후 대응 계획 발표해야
한국 보안솔루션 개발사 ‘쿼드마이너(QuadMiners)’를 해킹하고 소스코드 전체를 탈취했다고 주장한 랜섬웨어 조직 ‘나이트스파이어(NightSpire)’가 데일리시큐와의 2차 이메일 인터뷰를 통해 “오늘부터 백엔드(API 서버) 소스코드를 포함한 주요 소스들을 매일 순차적으로 유출하겠다”고 밝혔다.
나이트스파이어는 앞서 데일리시큐와의 첫 인터뷰에서 쿼드마이너 측이 자신들의 존재를 무시하고 “오래된 테스트 코드”라고 대응한 데 대해 불쾌감을 드러내며 금전 요구와 함께 유출 경고를 했고, 실제로 프론트엔드 소스를 일부 공개하며 압박 수위를 높이고 있다.
한편 쿼드마이너는 6월 11일 데일리시큐 단독기사가 공개 된 이후 KISA에 침해사고 신고를 했으며 KISA 관계자는 신고는 접수됐지만 공동조사 진행 여부는 협의가 필요하다고 전해왔다. (1차 단독 기사: 클릭)
지난 6월 11일 데일리시큐가 단독 보도한 첫 기사에서 나이트스파이어는 자신들이 2024년 11월부터 쿼드마이너 내부 개발자의 맥북에 침입해 깃허브(GitHub) 저장소에 접근했고, MFA(다단계 인증)가 적용된 저장소에서도 전체 소스코드를 다운로드했다고 주장했다. 그들은 “쿼드마이너는 여전히 이 코드들이 현재 프로젝트와 무관하다고 주장하지만, 우리는 최신 소스코드를 보유하고 있다”며 “이번엔 작년처럼 끝내지 않겠다”고 경고했다.
또한 쿼드마이너 측에 2024년 연매출의 7%에 해당하는 금액을 요구했다고 밝혔으며, 실제로 텔레그램을 통해 쿼드마이너 개발자와 일시적 대화를 했다고도 전했다. 이후 데일리시큐에 소스코드 디렉터리와 git push 타임스탬프가 찍힌 스크린샷을 제공하며 공격 정당성을 주장했다.
■“오늘부터 백엔드 유출…매일 순차적 공개” 2차 답변
6월 16일 데일리시큐가 나이트스파이어 측에 추가 질문을 보낸 결과, 해당 조직은 이메일을 통해 “쿼드마이너 측으로부터는 기사 이후에도 아무런 연락이 없었고, 그들은 여전히 고객과 소스코드를 중요하게 여기지 않는 것 같다”고 비판했다. 이어 “오늘부터 백엔드(API 서버) 코드 유출을 시작한다. 이미 프론트엔드는 공개했고 이후 나머지 소스코드도 매일 하루씩 순차적으로 공개할 예정”이라고 밝혔다.
본지가 깃허브 접근 방식과 금전지급 방식(비트코인 등)에 대해 질문했으나, 나이트스파이어는 “공격 방법은 공개할 수 없다. 그것은 우리의 공격기법(methodology)이며, 결제 방식에 대해서도 밝힐 수 없다”고 선을 그었다. 해커 조직은 실제로 유출을 실행에 옮기고 있으며, 쿼드마이너 측 대응이 없을 경우 전체 프로젝트의 소스코드가 공개될 수 있는 위기에 직면한 상황이다.
■나이트스파이어 조직과 2차 인터뷰 내용 전문(영문-한글 번역)
Q1. 1차 기사 이후 쿼드마이너 측으로부터 추가 연락을 받은 바 있나?
A. 아직까지 그들로부터 받은 메시지는 없다. 그들은 고객과 기업, 그리고 자사 프로젝트에 대해 전혀 신경 쓰지 않는 것처럼 보인다.
Q2. 쿼드마이너는 여전히 당신들이 가지고 있는 코드가 최신 공식 배포 버전이 아니라고 주장한다. 이에 대해 어떻게 생각하나?
A. 그들은 여전히 우리가 가진 소스코드가 배포된 버전과는 관련 없다고 주장하지만, 우리는 전부 가지고 있고 계속해서 개발된 최신 코드임을 증명할 수 있다.
Q3. 깃허브 저장소 계정만 교체하면 당신들의 접근이 차단되는 것 아닌가?
A. 죄송하지만, 이 질문에 대한 답변은 드릴 수 없다. 그건 우리의 methodology(공격기법)이기 때문이다.
Q4. 소스코드를 순차적으로 유출하겠다고 했는데, 일정은 어떻게 되나?
A. 오늘부터 시작이다. 이미 프론트엔드는 공개했으며, 오늘은 API 서버 즉 백엔드 파트 1을 유출할 예정이다. 이후 매일 하나씩 추가로 공개할 예정이다. (사이트에 유출될 파일 리스트가 있다.)
Q5. 쿼드마이너가 비용을 지불하지 않는다면 어떻게 되는가?
A. 그들이 계속해서 지불하지 않는다면, 당신, 쿼드마이너, 그들의 고객들, 그리고 전 세계는 이 소스코드를 무료로 얻게 될 것이다.
Q6. 비용 지불은 비트코인 같은 가상화폐로 받을 생각인가?
A. 죄송하지만, 이 질문에 대해서도 답변드릴 수 없다. (이상)
이번 인터뷰를 통해 나이트스파이어는 실제 소스코드 유출을 감행하겠다는 강한 의지를 다시 한번 드러냈으며, 쿼드마이너 측의 침묵이 사태를 악화시킬 수 있음을 시사하고 있다.
■보안솔루션 소스코드 유출시 사용 기업과 기관은 심각한 보안 위협에 직면할 수 있어 심각
보안솔루션의 소스코드가 유출되거나 공개될 경우, 해당 제품을 사용하는 기업과 기관은 심각한 보안 위협에 직면할 수 있다. 보안전문가들에 따르면, 공격자들은 공개된 소스코드를 분석해 아직 발견되지 않은 취약점(제로데이, Zero-day)을 찾아내거나, 인증 우회, 관리자 권한 탈취, 로그 우회 등 특정 기능을 악용하는 공격 코드를 제작할 수 있다. 특히 보안솔루션이 기업 내부 시스템과 네트워크 보안을 담당하는 핵심 구성 요소라는 점에서, 소스코드 유출은 기업의 전체 보안 체계를 무력화시킬 수 있는 치명적인 결과를 초래할 수 있다.
또한, 소스코드가 다크웹 등에서 유포되거나 타 해커 조직의 손에 들어갈 경우, 해당 솔루션을 사용하는 수많은 고객들이 표적 공격(Targeted Attack)의 대상이 될 수 있다. 보안기업의 신뢰도 하락은 물론, 피해 고객사의 민감정보 유출, 시스템 장애, 랜섬웨어 감염 등의 2차 피해로 이어질 가능성도 크다.
주요 보안전문가들은 “보안 제품은 구조와 알고리즘 자체가 보안의 핵심인데, 이를 분석할 수 있는 단서를 제공하는 소스코드 유출은 일종의 '청사진(blueprint)'을 넘겨주는 것과 같다”며, “최우선적으로 깃허브 접근권한 차단, 비공식 유출 채널 모니터링, 피해 범위 파악 및 패치 준비가 시급하다”고 조언하고 있다.
■쿼드마이너, 고객사 및 파트너사 안전 위해 사실 기반의 공식 입장 발표와 향후 대응 계획 발표해야
보안전문가들은 쿼드마이너가 현재 상황에서 가장 우선적으로 해야 할 대응으로 소스코드 유출 여부 및 범위에 대한 정밀 분석과 함께, 유출된 코드가 포함된 제품 또는 서비스에 대한 긴급 보안 점검 및 패치 적용을 꼽고 있다.
특히 이미 외부에 노출된 소스코드의 일부가 실제 운영 서비스와 동일한 코드일 경우, 공격자들이 해당 코드를 기반으로 제로데이 취약점을 찾을 수 있으므로, 이를 선제적으로 차단할 수 있는 보안 강화 조치가 반드시 필요하다는 의견이다.
또한, 기업 내부 개발 환경의 접근 통제 및 인증 방식 전반에 대한 검토와 함께, 사내 개발자 계정 탈취 가능성에 대비해 키 교체, MFA 재구성, 레포지토리 접근 이력 감사 등의 보안 체계를 재정비해야 한다고 조언한다. 무엇보다 고객사 및 파트너사에 대한 신뢰 회복을 위해 사실 기반의 공식 입장 발표와 향후 대응 계획 공유가 필수적이라는 것이 전문가들의 공통된 지적이다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
![[CISO 조찬] 김영태 금보원 부장 “SW 취약점이 전체 공격의 90%…DMZ 구간부터 패치 우선 조치”](https://www.dailysecu.com/news/photo/202506/166986_195706_3415.jpg)
![“퇴행이다” VS “보안 우려”…챗GPT 막힌 삼성 ‘갑론을박’ [줌컴퍼니]](https://newsimg.sedaily.com/2025/06/16/2GU3GFVRSG_1.png)