영국 콜트 텔레콤, 워락 랜섬웨어 공격으로 서비스 중단…1백만 건 문서 유출

워락 랜섬웨어 조직, 콜트에서 탈취한 문서 100만 건 20만 달러에 판매하겠다는 글 다크웹에 올려

영국 통신사 콜트 텔레콤(Colt Technology Services)이 사이버 공격을 받아 고객 지원 시스템 일부가 8월 12일부터 마비된 상태다. 이번 공격으로 호스팅과 번호 이동(porting) 기능, 콜트 온라인 포털, 음성 API 플랫폼 등이 중단됐다. 콜트는 처음에는 “기술적 문제”라고 설명했으나 이후 사이버 공격으로 인한 피해임을 인정하고 복구 작업을 진행 중이라고 밝혔다. 회사는 핵심 네트워크 인프라는 영향을 받지 않았다고 강조했다.

콜트는 보안 조치로 특정 시스템을 의도적으로 오프라인 상태로 전환했으며, 이로 인해 일부 모니터링 기능이 수동으로 운영되고 있다. 고객들은 현재 이메일과 전화로만 문의할 수 있으며, 응답 속도는 평소보다 느려지고 있다. 회사는 복구 완료 시점을 아직 제시하지 못하고 있다.

사이버 범죄 포럼에 ‘cnkjasdfgd’라는 닉네임을 사용하는 해커가 자신이 워락(WarLock) 랜섬웨어 조직 소속이라고 주장하며, 콜트에서 탈취한 문서 100만 건을 20만 달러에 판매하겠다고 글을 올렸다. 그는 재무 기록, 임직원과 고객 정보, 경영진 관련 데이터, 내부 이메일, 소프트웨어 개발 자료 등이 포함돼 있다고 주장하며 일부 샘플 파일도 공개했다. 콜트는 이에 대해 사실 여부를 확인하지 않고 “현재 조사 중”이라는 입장만 밝혔다.

■셰어포인트 취약점 악용 가능성

보안 연구원 케빈 보몬트는 해커들이 마이크로소프트 셰어포인트(SharePoint)의 원격 코드 실행 취약점 CVE-2025-53770, 일명 ‘툴셸(ToolShell)’을 이용했을 가능성이 높다고 분석했다. 이 취약점은 7월부터 제로데이로 악용되었으며, 마이크로소프트는 같은 달 긴급 보안 패치를 배포했다. 그러나 초기 패치만 적용하고 추가 업데이트를 하지 않은 시스템은 여전히 공격에 노출될 수 있다.

툴셸은 인증 우회와 불안전한 역직렬화를 연계해 공격자가 원격에서 코드를 실행하도록 만든다.

워락은 2025년 6~7월 사이 랜섬웨어 서비스(RaaS) 형태로 등장해 기업용 시스템을 집중적으로 공격해 왔다. 이번 콜트 공격 역시 이 조직이 확산시키고 있는 셰어포인트 취약점 기반 공격의 연장선으로 분석된다.

콜트 대변인은 “사이버 사고와 관련된 주장들을 인지하고 있으며 현재 조사 중”이라며 “내부 시스템 복구에 집중하고 있고 외부 보안 전문가와 협력하고 있다”고 밝혔다. 회사는 당국에 사건을 통보했지만, 구체적인 공격자나 데이터 유출 여부, 복구 일정 등은 공개하지 않았다.

보안 전문가들은 이번 사건이 단순한 패치 적용만으로는 충분하지 않다는 점을 보여준다고 지적한다. 셰어포인트 서버가 외부에 노출된 상태에서 공격 시도가 있었다면, 보안 업데이트 적용 후에도 반드시 머신키를 교체하고 세션 및 인증 토큰을 초기화해야 한다는 것이다. 또한 인터넷에 직접 노출된 서버는 VPN이나 제로트러스트 기반 접근 제어 뒤에 두고, 관리자 인터페이스 접근을 최소화해야 한다.

특히 콜트와 같이 고객 지원 시스템이 공격받은 경우, 기업 고객은 서비스 지연뿐 아니라 잠재적 정보 유출 위험에도 대비해야 한다.

[2025 대한민국 사이버 보안 컨퍼런스: 보안담당자 초대-7시간 보안교육이수!]

(제13회 KCSCON 2025 / 구 PASCON)

※ Korea Cyber Security Conference 2025

-2025년 9월 16일(화) / 세종대 컨벤션센터 전관-

공공∙기업 정보보안 책임자/실무자 1,200여명 참석!

-2025년 하반기 최대 정보보호 컨퍼런스&전시회-

△주최: 데일리시큐

△일시: 2025년 9월 16일 화요일(오전9시~오후5시)

△장소: 세종대 컨벤션센터 전관

△참석대상: 공공기관·공기업·정부산하기관·금융기관·의료·교육·일반기업

개인정보보호 및 정보보호 담당자, IT담당자 등 1,500여 명