더블린 공항 보안 침해에 대한 AI 펜테스트 도구의 영향력 에베레스트 랜섬웨어, MUSE 공급망 노출 및 승객 위험

경영진 요약

러시아와 연계된 강탈 그룹인 에베레스트가 더블린 공항과 관련된 1,533,900명 이상의 승객 기록을 훔쳤다고 주장했습니다. 이 그룹은 더블린 공항을 유출 사이트에 카운트다운 타이머와 함께 공개하며 연락하지 않으면 데이터를 공개하겠다고 협박했습니다.은행 정보 보안)

이 데이터는 여러 항공사가 데스크, 게이트, 탑승 인프라를 공유할 수 있도록 유럽 공항에 널리 배포된 콜린스 에어로스페이스의 MUSE/vMUSE 체크인 및 탑승 플랫폼과 연결된 시스템에서 나온 것으로 추정됩니다.은행 정보 보안) 콜린스 항공은 2025년 9월 더블린, 히드로, 브뤼셀, 베를린 등의 허브에서 자동 체크인을 방해하는 사이버 공격을 받아 수동으로 대체해야 했습니다.헤이즈 온라인) 이제 그 영향은 운영상의 혼란에서 대량 데이터 노출 의혹으로 옮겨졌습니다.

에베레스트는 도난당한 데이터 세트에는 승객 이름, 항공권 번호, 좌석 배정, 항공편 구간, 상용 고객 번호, 타임스탬프, 탑승권 발급에 사용된 워크스테이션/기기 ID, 심지어 '선택 대상자' 플래그와 서류 확인 상태 같은 보안 검색 지표까지 포함되어 있다고 밝혔습니다.(은행 정보 보안) 이는 일반적인 PII가 아닙니다. 이는 표적 피싱, 로열티 프로그램의 계정 탈취, 신원 도용, 공항 직원에 대한 소셜 엔지니어링에 직접적으로 악용될 수 있는 항공편 운영 메타데이터입니다.은행 정보 보안)

더블린 공항의 운영사인 daa는 자체 시스템이 직접적으로 유출되었다는 "증거는 없다"고 밝혔으며, 대신 이번 유출은 제3자 공급업체인 콜린스 에어로스페이스에 의한 것으로 2025년 8월 더블린 공항을 여행한 승객의 탑승권 및 체크인 데이터와 관련된 것으로 보입니다.(은행 정보 보안) 아일랜드의 데이터 보호 위원회를 포함한 규제 기관에 통보되어 적극적으로 참여하고 있습니다.RTÉ)

이것이 바로 현대의 항공 및 여행 조직이 사전에 테스트해야 하는 시나리오입니다. 펜리전트의 역할은 이러한 승객 및 운영 데이터 흐름에 대한 공격자의 행동을 승인 하에 시뮬레이션한 다음, GDPR 위반 알림 타임라인과 같은 규제 의무에 대한 노출을 매핑하는 규정 준수 등급 보고서를 생성하는 것입니다. Penligent는 운영 인프라를 수정하거나 다크 웹 채팅을 모니터링하거나 MSSP 역할을 하지 않습니다. 통제된 침투 테스트와 규정 준수를 위한 보고에 중점을 둡니다.

AI 펜테스트

에베레스트가 말하는 에베레스트의 특징과 그것이 중요한 이유

주장된 침해 범위

에베레스트는 약 1,533,900명의 승객 관련 기록이 유출되었다고 주장하며 더블린 공항을 유출/탈취 사이트에 에어아시아와 함께 피해자 명단에 올렸습니다(은행 정보 보안) 목록은 카운트다운 타이머와 함께 게시되었는데, 이는 전형적인 '이중 갈취' 수법입니다. 타이머가 만료되기 전에 돈을 지불하거나 협상하지 않으면 누출됩니다.은행 정보 보안)

에버레스트의 공개 보고와 게시물의 스크린샷은 '이름 + 이메일' 이상의 데이터 필드를 설명합니다:

전체 이름
항공권 / 예약 / PNR 유사 참조 번호
좌석 배정, 여행 클래스/구획, 구간 순서
항공편 번호, 출발지 및 도착지 공항 코드, 타임스탬프
상용고객 프로그램, 로열티 번호, 등급/상태
우선순위/패스트트랙 표시 및 수하물 태그 번호
탑승권 바코드 형식 및 발급 메타데이터
탑승권 발급에 사용된 기기/워크스테이션 ID, 기기 이름 및 기기 유형
'선택 대상자' 표시 및 국제 문서 확인 상태(예: 심사/보안 플래그)
체크인 장소 및 탑승권 발권 장소(데스크, 키오스크, 탑승구 등)(은행 정보 보안)

이는 한 번에 세 개의 위협 평면이 교차하기 때문에 중요합니다:

표적 피싱 및 소셜 엔지니어링
공격자는 사용자가 8월 14일에 더블린→브뤼셀 항공편을 이용했고 22C 좌석에 탑승했으며 서류 확인을 위해 플래그가 지정된 사실을 알고 있다면 항공사 보안 또는 공항 고객 센터를 사칭하여 "귀국 구간 전에 여권을 다시 확인해야 한다"는 내용의 이메일을 보낼 수 있습니다. 이러한 피싱 이메일이나 전화는 일반 여행객의 신뢰도가 90% 이상일 것입니다.은행 정보 보안)
로열티 및 마일리지 사기
상용 고객 번호와 등급 상태는 금전적으로 가치가 있습니다. 공격자들은 마일리지, 승급 티켓 또는 소셜 엔지니어링 콜센터에 마일리지 자격 증명을 일상적으로 사용합니다. 역사적으로 도난당한 로열티 데이터는 은행 계좌를 침해하지 않고도 악용되어 왔으며, 이미 유동적인 가치를 지니고 있습니다.
작전 정찰
공격자는 워크스테이션 ID와 탑승권 발급 기기 이름을 이용해 공항 지상 직원을 노린 내부 피싱을 제작할 수 있습니다("9월 21일 워크스테이션 G12 보안 감사 - 첨부된 진단 도구 열기"). 이는 '승객 데이터 탈취'에서 '공항 운영 침해'로 이어지는 연결고리입니다.은행 정보 보안)

영향을 받는 대상, 기간 및 규모

DAA는 유출된 데이터가 2025년 8월 1일부터 8월 31일 사이에 더블린 공항을 출발한 승객을 대상으로 하는 것으로 보인다고 밝혔습니다.은행 정보 보안) 8월은 교통량이 가장 많은 달입니다: 더블린은 그 달에 약 수백만 명의 승객을 처리했습니다.BeyondMachines)

DAA는 또한 자체 내부 시스템이 침해된 것이 확인되지 않았다고 밝히며, 이를 공급업체(콜린스 에어로스페이스/MUSE)의 사고로 규정했습니다.은행 정보 보안) 이러한 구분은 내부적으로는 책임 소재를 가리는 데 중요하지만, 규제 기관의 입장에서는 어느 박스가 해킹당했는지는 중요하지 않습니다. 데이터가 노출되면 데이터 관리자와 처리자 모두 규정 준수 반경 안에 들어갑니다.

공급망 약점으로서의 MUSE / vMUSE

한 번의 장애, 여러 공항

콜린스 에어로스페이스의 MUSE(흔히 vMUSE라고도 함)는 여러 항공사, 실제로는 여러 공항에 걸쳐 체크인 데스크, 수하물 수취대, 탑승구를 공유하는 등 승객 처리에 공통적으로 사용되는 솔루션입니다.은행 정보 보안) 2025년 9월 공격자들이 이 계층을 공격했을 때 히드로, 브뤼셀, 베를린, 더블린 등 유럽의 주요 허브에서 자동 승객 처리 기능이 중단되어 수동 탑승, 수기 폴백, 연쇄적인 지연이 발생했습니다.헤이즈 온라인)

에버레스트는 이제 체크인을 방해하는 것 이상의 일을 했다고 주장합니다. 취약한 자격 증명으로 노출된 콜린스 항공의 FTP 서버에 액세스하여 승객 및 운영 데이터를 가져온 다음 순수한 랜섬웨어 암호화가 아닌 강탈을 사용했다고 합니다.은행 정보 보안) 사실이라면 이는 (a) 장기간 자격 증명을 재사용하고 (b) 고가치 운영 데이터를 부적절하게 격리하고 있다는 의미입니다.

제3자 침해 ≠ 책임 없음

DAA는 "우리의 핵심 시스템은 타격을 받지 않았다"고 밝혔으며, 콜린스 에어로스페이스는 조사 중입니다.은행 정보 보안) GDPR 스타일의 규정에서는 그것만으로는 충분하지 않습니다. 식별 가능한 승객 데이터와 보안 검색 정보가 공급업체 환경을 떠난 경우에도 공항 운영자는 인지 후 72시간 이내에 당국에 알리고, 위험성이 높은 경우 '부당한 지체 없이' 해당 개인에게 경고해야 하는 규제 의무를 지게 됩니다.RTÉ)

다시 말해 "공급업체가 해킹당했다"고 해서 침해 보고, 브랜드 손상 또는 소송으로부터 보호받을 수 있는 것은 아닙니다.

공격자가 훔친 필드를 무기화하는 방법

아래는 에버레스트가 보유하고 있다고 주장하는 데이터 유형을 기반으로 한 집중 위험 매트릭스입니다.은행 정보 보안)

노출 필드	공격자 사용 사례	방어적 완화
승객 이름 + 예약번호/항공권 번호(PNR)	항공사의 지원을 받는 여행자로 사칭하여 재예약, 환불 또는 여정 변경을 요청합니다.	여정 변경 시 다단계 인증 필요, PNR + 성에만 의존하지 마세요.
항공편 번호, 노선, 좌석, 타임스탬프	신빙성이 높은 피싱("8월 14일 항공편 DUB→BRU에 플래그가 지정되었습니다. 여권 재발급을 위해 여권을 업로드하세요")	'긴급한 여행 중단' 메시지에 대한 대역 외 강제 확인
상용고객 ID/등급 상태	로열티 계정 도용, 마일리지 도용, 사기 업그레이드	로열티 포털, 특히 상위 등급 계정에서 MFA 및 이상 징후 확인 시행
우선순위 / 선정자 / 인증 상태	'신고된' 여행자에 대한 괴롭힘, 협박 또는 표적 압박	선별 상태를 민감한 보안 데이터로 취급하고, 표적화된 사회 공학 또는 협박을 모니터링합니다.
탑승권 발급용 워크스테이션/기기 ID	지상 직원을 대상으로 한 내부 피싱("게이트 워크스테이션 G12에 대한 보안 감사")	체크인/탑승 하드웨어에 제로 트러스트 태세 적용, 워크스테이션 자격 증명 순환 및 액세스 감사
수하물 태그 번호/구간 순서	고가치 또는 고빈도 여행객의 행동 프로필 구축	고액 여행객에게 개인화된 피싱이 예상되는 경우 사전에 경고

이것이 이 유출이 일반적인 이메일/비밀번호 유출과 다른 점입니다. 동기 부여가 된 공격자는 이제 가능합니다:

항공사가 회원님보다 회원님의 예약 정보를 더 잘 알고 있기 때문에 회원님을 사칭할 수 있습니다;
정확한 좌석과 타임스탬프를 알고 있기 때문에 항공사를 사칭할 수 있습니다;
내부 장치/감사 언어를 모방하여 공항 운영으로 전환합니다.

공항 운영자 및 항공사에 대한 즉각적인 대응 기대치

격리 및 증거

이러한 침해가 발생한 후 가장 먼저 해야 할 일은 홍보가 아닙니다. 범위 확인과 증거 보존입니다:

어떤 날짜 범위가 영향을 받나요(daa는 2025년 8월 1일~31일을 가리켰습니다)?은행 정보 보안)
어떤 이동 통신사와 어떤 단말기가 손상된 MUSE / vMUSE 워크플로우를 사용했나요?(헤이즈 온라인)
다운스트림 사기 위험이 가장 큰 승객 세그먼트(VIP, 프리미엄, 정부, 기업)는 무엇인가요?
이제 어떤 내부 워크스테이션 ID, 게이트 ID 또는 장치 식별자가 소각되어 회전해야 하나요?

유럽 데이터 보호 당국과 사이버 보험사는 언론 인용이 아닌 타임라인을 요구할 것이므로 이 모든 것을 문서화해야 합니다.RTÉ)

일반적인 내부 강화 워크플로우는 다음과 같습니다:

# 유사 논리: 고위험 승객에 대한 지원 우선순위 지정
for rec in leaked_passenger_records:
    rec.frequent_flyer_tier가 ["골드","플래티넘","VIP"] 또는 rec.ticket_price > HIGH_VALUE인 경우:
        에스컬레이트_투_매뉴얼_검토(rec.pnr, rec.name, rec.flight_route)
        flag_for_proactive_notification(rec.email)

이렇게 하면 "고객님께, 노출되었을 수 있습니다"라는 포괄적인 메시지에서 방어 가능한 타겟팅된 위험 알림으로 전환할 수 있습니다.

승객 알림 및 사기 감시

DAA는 이미 2025년 8월 여행객에게 의심스러운 예약 변경이나 비정상적인 여정 활동을 주의하라고 경고했으며, 이는 본질적으로 초기 사기 주의보입니다.은행 정보 보안신원 도용, 표적 피싱, 로열티 도용 등 영향을 받는 개인에게 "높은 위험"이 있는 경우 "부당한 지체 없이" 통지한다는 GDPR의 기대치에 부합합니다.

지원 흐름 강화

항공사 콜센터와 로열티 데스크는 PNR + 성 + 항공편 날짜를 신원 증명으로 취급하는 것을 중단해야 합니다. 이런 사고가 발생하면 이 조합은 공격자에게 공개됩니다. 2차 확인(대역 외 확인, 로열티 계정에 대한 MFA 또는 제어된 콜백)이 필요합니다.

펜리젠트가 적합한 경우와 적합하지 않은 경우

Penligent는 AI 기반 침투 테스트 도구입니다. 이 도구의 목적은 두 가지입니다:

권한 부여를 통해 사용자 환경에 대한 공격자의 행동을 시뮬레이션하세요.
펜리전트는 유출된 스타일의 예약 데이터, 상용 고객 ID, 좌석 배정, 워크스테이션 ID 등을 사용하여 (테스트 환경에서) 지원 흐름, 로열티 액세스 또는 지상 운영 워크플로우를 탐색하는 등 에버레스트가 주장한 것과 유사한 통제된 공격 연습을 수행할 수 있습니다. 공격자가 여기에 노출된 필드 유형만을 사용하여 계정 변경, 여정 수정 또는 운영 액세스 권한을 소셜 엔지니어링할 수 있는지 확인하는 것이 목표입니다.(은행 정보 보안다시 말해, 펜리젠트는 이렇게 대답합니다: "8월 14일에 예약 번호 XYZ123, 좌석 22C를 가진 사람이 나타나면 탑승 자격 증명을 재발급받거나 로열티 잔액을 건드리도록 속일 수 있나요?"
규정 준수에 부합하는 보고서를 생성하세요.
시뮬레이션이 끝나면 Penligent는 식별된 남용 경로를 규제 및 공시 의무에 매핑하는 구조화된 보고서를 작성합니다. 여기에는 다음이 포함됩니다:
- 여행자를 가장하거나 충성도 가치에 접근하기에 충분한 데이터 요소는 무엇입니까?
- 기본 검증에 실패하거나 최소 권한 가정을 위반하는 워크플로
- 라이브 승객을 대상으로 악용될 경우 GDPR 스타일의 침해 알림 타임라인(72시간 당국 통지, '부당한 지연' 사용자 통지)이 트리거되는 이슈는 무엇일까요?

펜리전트가 하는 일 not 할 수 있습니다:

SOC를 실행하거나 연중무휴 24시간 모니터링을 제공하거나 실시간 다크웹 감시를 수행하지 않습니다.
콜린스 에어로스페이스의 인프라를 수리하거나 MUSE를 강화한다고 주장하지 않습니다.
봉쇄를 보장하지는 않습니다.

대신 Penligent는 CISO, 공항 운영자, 항공사 보안 책임자에게 공격자가 다음에 시도할 수 있는 정확한 소셜 엔지니어링 및 데이터 악용 수법에 대한 통제된 리허설을 제공하고 법률 및 규정 준수 부서에 제출할 수 있는 보고서를 제공합니다.

AI 펜리전트 도구 펜리전트

승객이 해야 할 일

'단순한 여행자'라 하더라도 개인정보 유출은 추상적인 문제가 아닙니다:

정확한 2025년 8월 여정, 좌석 또는 항공편 번호를 언급하며 여권 이미지, 신분증 재확인 또는 즉시 결제를 요청하는 메시지는 의심해 보세요. 이 정도 수준의 세부 정보는 이제 범죄자의 손에 들어갈 가능성이 있습니다.은행 정보 보안)
상용고객 계정 잠금: MFA를 켜고, 비밀번호를 변경하고, 포인트/마일리지 사용을 모니터링하세요. 로열티 사기는 마찰이 적은 현금 인출입니다.
본인 명의로 무단 재예약 또는 환불이 이루어지지 않도록 주의하세요. daa는 8월 여행객에게 비정상적인 예약 활동이 있는지 모니터링하라고 명시적으로 경고했습니다.은행 정보 보안)
직급이 높거나 기업/정부 출장자라면 표적 피싱의 우선 순위가 높다고 가정하세요.

닫기 보기

더블린 공항 사고는 일상적인 '데이터 유출' 사례가 아닙니다. 콜린스 에어로스페이스의 MUSE/vMUSE 승객 처리 계층의 공급망 손상으로 인해 이미 2025년 9월 유럽 전역에서 물리적 공항 운영 중단 사태가 발생한 바 있습니다.헤이즈 온라인) 에베레스트가 더블린 공항을 공개적으로 상장하고 카운트다운을 시작하는 등 강탈극이 벌어지고 있습니다.은행 정보 보안) 또한 좌석 배정, PNR 참조, 로열티 등급, 워크스테이션 ID 등 운영상 민감한 승객 데이터(약 150만 건의 기록)가 노출되었습니다(은행 정보 보안)

항공 사업자에게 이 모델은 이제 기본 위협 모델입니다:

타사 체크인/탑승 스택은 전국 규모의 단일 장애 지점입니다.(헤이즈 온라인)
승객 데이터는 단순한 'PII'가 아니라 소셜 엔지니어링을 위한 살아있는 탄약입니다.은행 정보 보안)
규제 당국은 '공급업체'라 하더라도 72시간 이내에 증거, 타임라인, 승객 알림을 요구합니다.RTÉ)

펜리전트의 역할은 통제된 조건에서 정확한 시나리오를 연습할 수 있도록 지원하는 것입니다. 지원 및 ID 흐름에 대한 공격자의 다음 조치를 시뮬레이션한 다음 어떤 흐름이 실패하는지, 어떤 ID가 탈취될 수 있는지, 얼마나 빨리 알려야 하는지 등을 보여주는 규정 준수 보고서를 제공합니다.

2025년에는 "있으면 좋은 것"이 아닙니다. 공항과 항공사에 있어 이는 테이블 스테이크입니다.