25년 9월 유럽 주요 공항 마비 시킨, 사이버공격 분석

 

아래는 “지금 유럽 공항들을 마비시키고 있는 사이버 테러(사이버공격)” 사건에 대한 외국 기사 기반 정리입니다. 최대한 쉽게, 주요 내용과 배경, 현재 상황, 의문점까지 포함했어요.

---

사건 개요

• 언제 시작됨: 2025년 9월 중순, 특히 9월 19일~20일경부터 시스템 장애가 발생하기 시작했어요. (Reuters)
• 피해 지역: 영국(Heathrow 공항 등), 벨기에(브뤼셀 공항), 독일(베를린 공항), 아일랜드(더블린 공항 등) 등 여러 유럽 주요 공항. (Reuters)

---

공격 대상 / 원인

• 공격 대상 시스템: Collins Aerospace(미국 회사)의 Muse라는 체크인(check-in) 및 탑승 수속(check-in/boarding) 소프트웨어 시스템이 공격을 당했어요. (Reuters)
• 어떤 기능이 마비되었나: 자동 체크인 시스템, 탑승권 발급, 수하물 체크, 탑승 수속 절차 등이 영향을 받았고, 온라인/셀프 서비스 체크인은 일부 가능했지만 대부분 직원 데스크 및 기계 기반의 자동 시스템이 다운됨. (AP News)

---

현재 영향 및 규모

• 비행 지연 및 취소:
  • 브뤼셀 공항은 scheduled flight의 상당수를 취소함 (예: 550편 중 약 60편 등) (Reuters)
  • 헤이쓰로(Heathrow), 베를린 공항 등도 지연 많고 탑승수속 지연, 수하물 처리 지연 등 불편 지속됨. (가디언)
• 운영 방식 변화: 자동 시스템이 먹통이 되자, 수동(manual) 체크인/탑승 절차로 전환한 공항 많음. 직원들이 종이 문서, 노트북/아이패드로 수속을 처리함. (Reuters)
• 복구 상태:
  • Collins Aerospace 측에서 보안 패치 및 시스템 복구를 위해 작업 중임. (Reuters)
  • 하지만 브뤼셀 공항 등 일부는 아직 완전 복구 안 됐고, 다음날, 또 그 다음날까지도 지연 및 취소 지속됨. (AP News)
• 승객 및 공항 측 조치:
  • 공항 측은 승객들에게 비행 상태(flight status)를 사전에 확인하도록 권고함. (People.com)
  • 예비 인력 배치 증가, 수속 절차에서 우회 가능한 부분(셀프 체크인, 온라인 탑승권) 최대 활용 등 대체 절차 사용됨. (AP News)

---

주요 쟁점 / 미해결 사항

• 공격 주체 불명: 아직 누가 이 공격을 한 것인지, 범죄 단체인지 테러 조직인지, 혹은 국가지원 조직인지 밝혀지지 않음. (AP News)
• 공격 방식 상세: ‘Muse’ 소프트웨어의 취약점이 악용된 것으로 보이지만, 구체적으로 어떤 취약점(예: 백도어, 랜섬웨어, 권한 상승, 외부 연결 허용 등)인지 공개된 정보 적음. (Reuters)
• 보안 대책의 실패 여부: 왜 이런 대형 시스템이 공격에 쉽게 무너졌는가, 사전 대비가 부족했는가 하는 비판이 있음. (가디언)

---

배경: 왜 이런 공격이 가능한가

• 항공업은 디지털화가 매우 진행됨: 체크인, 탑승, 수하물 처리, 보안 검사 등이 자동화/IT 시스템 의존도가 높음. 시스템 하나가 마비되면 전체 흐름이 꼬이게 됨. (Reuters)
• 공급망의 복잡성: 여러 항공사, 여러 공항, 여러 국경을 넘는 시스템이 하나의 외부 공급자(external vendor) 시스템(Muse by Collins Aerospace)에 의존되고 있었고, 이 시스템이 여러 공항에서 동일하게 사용됨으로써 한 지점의 문제가 전반에 영향을 미침. (가디언)
• 최근 사이버 공격 빈도 증가 추이: 항공 산업뿐 아니라 전체 교통/공공 인프라에 대한 사이버 위협이 증가 중임. (Reuters)

---

대응 및 전망

• 단기 대응: 수동 체크인, 직원 증원, 고객 커뮤니케이션 강화, 가능한 다른 수속 경로(앱/웹 체크인) 활용 등. (AP News)
• 조사 착수: 유럽 각국 보안 당국, EU 사이버보안 기관(ENISA) 등이 원인, 공격 경로, 주체 등을 조사 중. (Reuters)
• 장기 대책 가능성:
  1. 공급업체 시스템의 보안 검토 강화
  2. 시스템 백업/복구 프로토콜 재정비
  3. 수동 절차 유지 가능한 대체 플랜 마련
  4. 법·규제 측면에서 공공 인프라 IT 보안 의무화 강화

---

구체적인 공격 시나리오 

핵심 요약

• 이번 사건은 여러 유럽 공항의 **체크인·탑승 수속 소프트웨어(Muse, Collins Aerospace 제공)**가 마비된 형태였습니다. 당일·다음날 보도와 ENISA(유럽 사이버보안기관)는 타사(서드파티) 소프트웨어 공급자 관련 공격 가능성을 지적했습니다. Reuters+1
• 언론·전문가들은 공급망(서드파티) 취약점·랜섬웨어·계정 탈취·미패치 취약점 악용 등 몇 가지 시나리오를 주요 후보로 놓고 조사 중입니다(공격 주체와 구체적 익스플로잇은 아직 공식 확인 전). 가디언+1

---

1) 왜 이 시스템이 공격받았나 — 동기(목적)

1. 파급력(임팩트)이 크다: Muse 같은 체크인/탑승 시스템은 여러 공항·항공사가 공통으로 사용하므로 한 번 침해되면 여러 공항을 동시에 마비시킬 수 있습니다. 범죄자는 큰 혼란·금전적 이득(랜섬)·정치적 영향 등을 노릴 수 있습니다. Reuters+1
2. 공급망 표적화의 효율성: 개별 공항보다 공급업체(벤더)에서 한 번 접근을 얻는 게 더 ‘효율적’입니다(공급망 공격). 최근 수년간 서드파티를 통한 대형 침해 사례가 증가했습니다. The Hacker News+1
3. 데이터·운영 파괴 양쪽 모두 가치 있음: 일부 공격은 데이터 탈취(유출·매각)를, 일부는 시스템 가용성(다운)을 노려 금전적·혼란 유발 목적을 가집니다(혹은 정치·사회적 목적). 공개 보도에선 '가용성(operational disruption)' 측면이 부각됩니다. Reuters

---

2) 가능한 공격 방식(공격 체인 — 단계별, ‘가능성 높은’ 시나리오)

중요: 조사 결과가 공개되지 않아 아래는 공개 자료·전문가 의견을 바탕으로 한 가능성 높은 시나리오(추정) 입니다. 특정 기술(예: 정확한 취약점, 랜섬웨어 변종)은 공개 확인 전에는 단정할 수 없습니다.

시나리오 A — 공급망(Third-party) 침투 → 내부 확산 → 서비스 마비

1. 초기침입(Initial access)
   • 공격자는 Collins(또는 Muse 시스템을 관리하는 서드파티) 쪽의 **취약한 원격접속 계정(예: VPN/관리자 계정)**이나 미패치된 서버 소프트웨어를 통해 내부 네트워크에 들어갔을 가능성. 또는 공급업체 직원의 피싱(이메일·자격증명 탈취)으로 접근을 얻었을 수 있음. (공급망 공격·계정탈취는 최근 빈도 높은 기법). The Hacker News+1
2. 권한 상승(Privilege escalation) 및 횡적 이동(Lateral movement)
   • 내부망에 들어간 뒤 관리 권한을 확장해 운영서버·데이터베이스·업데이트(배포) 시스템에 접근. 이 단계에서 공격자는 '뮤즈(Muse)' 서비스에 영향을 줄 수 있는 핵심 구성요소를 조작할 수 있습니다. (공급망 모델에서는 이 단계가 관건). clydeco.com
3. 통제·파괴(Impact)
   • 서비스 구성파일을 변조하거나(설정 삭제/차단), 중요한 프로세스를 중단시키거나, 랜섬웨어를 배포해 시스템을 암호화·잠금. 결과적으로 체크인·탑승 수속 기능이 중단되어 공항 운영 차질 발생. ENISA 등은 최근 가용성 공격(availability attacks)을 주요 위협으로 지목합니다. enisa.europa.eu

시나리오 B — 직접 랜섬웨어 배포(파일 암호화) 또는 데이터 유출·협박

1. 초기 접근 후 랜섬웨어 페이로드를 배포해 Muse 관련 서버·데이터를 암호화 → 시스템 정상 동작 불가(탑승수속·티켓발행 차질).
2. 공격자는 데이터 유출을 병행해 '데이터 유출 및 암호화'를 협박 수단으로 삼을 수 있음(두 가지 모두 보편화된 전술). 보도는 '운영 마비' 쪽에 초점을 맞췄지만, 과거 사례처럼 데이터 탈취도 동반 가능. Security Affairs+1

시나리오 C — 서비스 업데이트·서명 조작(더 드문, 그러나 치명적)

• 만약 공격자가 **공급업체의 소프트웨어 배포 채널(업데이트 서버)**에 접근했다면, 정상 업데이트에 악성 코드를 끼워 넣어 여러 공항에 자동 배포되게 할 수 있습니다(소프트웨어 서명·배포 체인 공격). 이는 매우 효율적이지만 상대적으로 고난도. (공급망 공격 사례의 한 유형) The Hacker News

시나리오 D — DDoS(서비스 거부) — 가능성 낮음(보고된 증거 부족)

• 공항 웹사이트·앱을 향한 대규모 트래픽 공격(DDoS)은 정보 디스플레이·웹 체크인을 방해할 수 있으나, 이번 사건의 핵심은 내부 체크인 소프트웨어(Muse) 마비로 보여 DDoS 단독설은 보도가 적음. Reuters

---

3) 공개된 증거(무엇이 확인되었고, 무엇이 미확인인가)

• 확인된 사실(언론/당국 발표): Muse 시스템 이상·공급업체 관련 문제로 여러 공항 체크인 마비 및 지연·취소 발생, ENISA 등 조사 착수. Collins(또는 RTX 그룹)도 복구 작업 중이라는 발표. Reuters+1
• 미확인/수사 중: 공격자 신원, 사용된 정확한 악성코드(랜섬웨어 이름 등), 구체적 취약점(취약한 CVE) — 수사·포렌식이 진행 중이라 공개 전. 따라서 위의 공격 시나리오들은 가능성 높은 추정으로 보셔야 합니다. 가디언

---

4) 왜 이런 공격이 반복되는가 — 구조적 원인(요약)

1. 공급망 의존성: 여러 공항이 동일 서드파티 제품에 의존하면 한 번의 침해로 대규모 파급. The Hacker News
2. 레거시·미패치 장비: 항공 업계는 레거시 시스템과 새 시스템이 섞여 있어 보안 패치 적용이 어려운 경우가 많음. Cybersecurity Dive
3. 운영 복구 계획 부족: 자동화에 의존한 절차만 있고 수동 백업·대체 절차가 충분치 않으면 혼란이 큼. 이번에도 수동 수속으로 전환해 간신히 운영을 유지한 공항들이 많았습니다. Reuters

---

5) 개인·기관 차원에서의 실무적 권장 대책(간단)

• 공급망 리스크 평가 강화: 서드파티 보안 평가, 계약상 보안 의무·감사 조항 강화. SecurityScorecard
• 제로트러스트·분리(네트워크 세분화): 공급자 접속권한 최소화, 핵심 운영 네트워크와 분리. clydeco.com
• 패치·업데이트 관리·긴급 복구(BCP) 연습: 소프트웨어 패치·대체 수속 매뉴얼 준비, 정기 복구 연습 시행. Cybersecurity Dive
• 모니터링·탐지 강화 및 사고대응계획(IRT): 조기 탐지·격리·포렌식 협업 체계 마련. enisa.europa.eu

---

6) 맺음말 — 지금 단계에서 중요한 점

• 현재로선 ‘공급업체 연관·운영 가용성 공격 가능성’이 언론·당국의 주된 설명입니다(ENISA·언론 인용). 그러나 공격 주체와 정확한 취약점, 악성코드 등 핵심 포렌식 결과는 수사 결과 공개 전에는 확정할 수 없습니다. Reuters+1