나이트스파이어 소개

나이트스파이어 다크웹 사이트

2025년 새로 등장한 랜섬웨어 조직, 나이트스파이어

2025년 3월 등장한 NightSpire(나이트스파이어)는 RaaS(Ransomware-as-a-Service) 구조를 가진 신생 랜섬웨어 조직으로 중앙 운영자와 하위 공격자가 협업하여 공격을 수행합니다. 이들은 단순 암호화 뿐만 아니라 데이터 유출을 병행하는 이중 갈취(double extortion) 수법을 사용합니다. 

이메일 피싱, VPN, RDP, 웹 애플리케이션, 방화벽 등 외부에 노출된 시스템의 취약점을 악용하며, 최근에는 Fortinet 제로데이 공격 정황도 확인되었습니다. 내부에 침투한 후에는 Mimikatz, PsExec, PowerShell 등을 활용해 인증 정보를 수집하고 파일을 .nightspire 확장자로 암호화하며 백업 데이터까지 파괴합니다. 협박 메시지 는 README_NIGHTSPIRE.txt라는 파일로 남깁니다. 

이 조직의 위험성은 단순 기술력에 그치지 않습니다. 민첩한 조직 구조와 빠른 적응력을 이용해 타깃 환경에 맞춰 공격 방식을 유동적으로 조절합니다. 또한, 감염 기업에 대한 심리적 압박 수법도 점점 세련되고 진화하고 있습니다.

쿼드마이너 피해 사실 (출처: redpacketsecurity)

사고 정보 (출처: HookPhish)

나이트스파이어 조직, 국내 기업 겨냥

2025년 6월, 나이트스파이어는 국내 보안 전문 기업 쿼드마이너(QuadMiners)를 공격 하여 약 40GB 분량의 데이터를 탈취한 뒤, 이를 다크웹에서 협박 수단으로 활용했습니다. 

피해 기업은 사고 발생 4일 뒤 침해 사실을 인지하고 대응에 나섰으며, 공격자는 미국 법인 및 내부 소스코드를 포함해 민감한 정보가 포함되어 있다고 주장 및 압박하였습니다. 이들은 쿼드마이너의 개발자 맥북과 GitHub 저장소, MFA가 적용된 클라우드 리포지터리에 접근했다고 밝히며, 일부 프론트엔드 코드를 실제로 공개하기도 했습니다. 또한 매출의 7% 수준에 해당하는 금액을 랜섬으로 요구하며, 응하지 않을 경우 백엔드 API 코드 및 전체 소스코드를 점진적으로 공개하겠다고 경고했습니다. 

쿼드마이너는 해당 공격과 관련하여 유출된 정보는 과거 테스트용 데모 코드와 만료된 인증서로 실제 서비스 운영과 무관하다는 입장을 밝혔으며, 고객 정보나 민감한 운영 코드는 유출되지 않았다고 강조했습니다.

결론

NightSpire는 VPN·웹·방화벽 등 외부 자산의 취약점을 통해 침투하고 내부에서는 인증 정보 탈취, 측면 이동(lateral movement), 백업시스템 파괴까지 전방위 공격을 감행합니다. 2025년 4월 이후 이들의 공격을 받은 기업은 캐나다 AetherBank(금융), 대만 MedixGroup(의료), 독일 AutroPack(제조) 등으로 국가·산업·기업 규모를 가리지 않는 무차별 공격이 특징이며, 보안 인프라가 미흡한 중견기업이나 노후 시스템을 운영 중인 기관, 쿼드마이너처럼 보안 전문 기업까지 타깃이 되고 있습니다. 이들은 LockBit, BlackCat 등과 같은 대형 조직으로 성장할 가능성을 보이며, 그 어느 때보다도 사전적 방어 전략과 내부 보안 체계 강화가 필요합니다. 

위협 대응 및 보안 권고 사항

• 행위 기반 탐지(EDR, XDR) 및 위협 인텔리전스 활용

• 다크웹 모니터링 

• 분리된 별도의 저장소에 백업 데이터 보관

• 외부 시스템에 대한 취약점 점검 및 패치 업데이트 적용

• 임직원 대상 피싱 및 사회공학 대응 교육

• 실시간 사고 대응 체계 구축