재규어 랜드로버에 무슨 일이 일어났나: 사이버 공격 분석

성수기 속 운영 중단

JLR은 주말에 사이버 사고를 감지하고 피해를 최소화하기 위해 글로벌 IT 시스템을 선제적으로 중단했으며, 영국 내 여러 공장(머지사이드, 솔리헐, 울버햄프턴)의 차량 생산 및 판매 운영을 중단했습니다. 직원들은 시스템 중단으로 인해 자택에 머물도록 지시받았습니다.

특히 시기가 좋지 않았습니다. 바쁜 신차 등록 기간과 겹치면서 배송이 지연되고 부품 주문이 차단되었습니다.

아직 고객 데이터 도난 증거 없음

JLR은 현재로선 고객 데이터가 손상되었다는 징후는 없다고 주장하지만, 조사가 진행되는 동안 시스템은 오프라인 상태로 유지됩니다.

공격의 배후는 누구인가?

"Rey"로 확인된 해커가 Scattered Spider, Lapsus$, ShinyHunters 등의 이름을 합친 그룹에 연루되어 이번 사건의 배후를 자처했습니다. 내부 로그를 포함한 스크린샷이 텔레그램 채널에 게시되었습니다. 이번 침해는 SAP NetWeaver의 취약점을 악용한 것으로 알려졌으며, 공격자가 특권 접근 권한을 획득했을 가능성을 시사합니다.

산업의 중요성과 증가하는 위험

이 사건은 Marks & Spencer부터 Harrods까지 영국 전역에서 발생한 여러 주목할 만한 사이버 공격 중 하나이며, 디지털로 통합된 제조 및 소매업이 운영 중단에 얼마나 취약한지를 잘 보여줍니다.

네트워크 가시성이 어떻게 도움이 될 수 있었을까요?

1. 의심스러운 활동의 조기 감지(행동 기반 위협 감지)

NEOX Clear NDR과 같은 강력한 네트워크 탐지 및 대응(NDR) 시스템은 공격자가 심각한 피해를 입히기 훨씬 전에 SAP 시스템에 대한 비정상적인 관리자 접근이나 예상치 못한 데이터 흐름과 같은 이상 징후를 탐지할 수 있습니다. 심층 패킷 분석은 실시간 기준선을 구축하여 이전에 알려지지 않았던 위협까지도 탐지할 수 있도록 지원합니다.

2. 법의학 및 사건 조사

NDR이 이미 구축되어 있었다면 JLR의 보안 운영팀은 NEOX PacketOwl이나 PacketFalcon과 같은 장비를 통해 트래픽 메타데이터와 패킷 캡처에 즉시 접근할 수 있었을 것입니다. 이를 통해 무단 접근에 대한 신속한 포렌식 추적, 침해된 계정 식별, 그리고 더 빠른 근본 원인 분석이 가능해져 복구 시간이 단축될 것입니다.

3. 더 나은 자동화 및 알림

고품질로 network 가시성 데이터가 자동화 스택에 입력되면 의심스러운 활동에 대해 더 빠르고 정확한 경고(또는 자동화된 차단)가 발생할 수 있으며, 경고 피로감이나 오경보를 발생시키지 않습니다.

4. 손상 억제 및 가동 중지 시간 단축

JLR의 선제적 가동 중단은 확산 방지에 효과적이었지만, 강화된 조치는 network 가시성을 확보하면 영향을 받지 않은 시스템은 계속 작동시키면서 손상된 부분만 차단하는 세그먼트 격리가 가능해집니다. 이는 중요한 시기에 가동 중지 시간을 크게 줄이고 복구 속도를 높일 수 있습니다.

요약하자면

재규어 랜드로버 사이버 공격은 경각심을 일깨워주는 사건입니다. 공격자들은 더 이상 데이터만을 표적으로 삼지 않고, SAP와 같은 플랫폼의 취약점을 악용하여 핵심 인프라와 운영 및 제조 IT 및 OT 시스템까지 공격하고, 전체 생산 라인을 마비시키고 있습니다. network 가시성 및 네트워크 탐지 및 대응(NDR)은 다음과 같은 기능을 수행할 수 있습니다.

• 의심스러운 행동을 조기에 감지하고,
• 조사를 위한 법의학적 데이터 제공
• 더욱 스마트한 응답을 자동화하고
• 모든 작업을 중단하지 않고 위협을 억제합니다.

강력한 가시성 아키텍처를 구현함으로써 조직은 불가피한 공격에 직면했을 때 가동 중지 시간, 재정적 손실, 평판 위험을 크게 줄일 수 있습니다.