Zephyr Energy, 결제 프로세스 침투 공격 피해
시스템 아닌 ‘신뢰 기반 거래 구조’가 무너졌다

[메타X(MetaX)] 영국 상장 에너지 기업 Zephyr Energy plc가 단 한 번의 송금으로 약 70만 파운드(약 12억 원)를 탈취당하는 사이버 공격 피해를 입었다. 이번 사건은 전통적인 해킹이나 랜섬웨어 공격이 아니라, 정상 거래를 위장한 자금 탈취라는 점에서 기업 보안의 구조적 취약성을 드러낸 사례로 평가된다.

Zephyr Energy는 2026년 4월 9일 공식 공시를 통해 미국 자회사를 대상으로 한 사이버 공격이 발생했으며, 특정 계약자에게 지급될 예정이던 약 70만 파운드가 제3자 계좌로 유출됐다고 밝혔다. 공격은 단일 거래를 정밀하게 표적으로 삼았으며, 회사는 현재 법 집행기관 및 금융기관과 협력해 대응 중이라고 설명했다. 또한 시스템은 정상적으로 운영되고 있으며 추가 보안 조치를 완료했다고 덧붙였다.

이번 사건의 핵심은 ‘해킹’이 아니라 ‘금융 프로세스 공격’이라는 점이다. 공격 방식은 BEC(Business Email Compromise)로 불리는 기업 이메일 사기 유형과 유사한 것으로 분석된다. 공격자는 내부 커뮤니케이션을 관찰하고 거래 흐름을 파악한 뒤, 지급 시점에 계좌 정보를 변경하거나 위조된 정보를 전달해 정상적인 송금이 이루어지도록 유도한다. 이는 시스템을 직접 침투하는 것이 아니라 조직 내부의 신뢰 구조를 악용하는 방식이다.

특히 이번 사례에서 주목할 점은 단 한 번의 거래로 피해가 발생했다는 사실이다. 이는 공격자가 기업의 결제 프로세스와 승인 구조를 정밀하게 이해하고 있었음을 의미하며, 단일 성공으로도 충분한 피해를 발생시키는 공격 구조의 위험성을 보여준다. 즉, 공격의 본질은 반복이 아닌 ‘정확한 타이밍’에 있다.

회사 측이 시스템 정상 운영을 강조한 점 역시 중요한 시사점을 제공한다. 이는 현대 사이버 공격이 더 이상 IT 시스템 자체를 겨냥하지 않고, 사람과 프로세스, 그리고 신뢰를 중심으로 한 조직 구조를 표적으로 삼고 있음을 의미한다. 다시 말해, 보안의 취약점은 기술이 아니라 운영 방식에 존재한다는 것이다.

이번 사건은 ‘산업 표준 보안’의 한계도 드러냈다. Zephyr Energy는 표준 보안 체계를 유지하고 있었지만, 결과적으로 공격을 방어하지 못했다. 이는 기존의 기술 중심 보안 접근만으로는 새로운 유형의 공격을 막기 어렵다는 점을 보여주며, 보다 정교한 프로세스 기반 보안 전략이 필요함을 시사한다.

책임 문제 역시 복잡한 구조를 보인다. 기업은 내부 통제와 검증 절차의 미흡에 대한 책임을, 금융기관은 송금 검증 시스템의 한계를, 공격자는 범죄 행위의 주체로서 각각 책임을 지게 된다. 이러한 책임 분산 구조는 향후 법적·제도적 논쟁의 핵심 쟁점으로 이어질 가능성이 높다.

에너지 기업이라는 점도 이번 사건의 위험성을 확대하는 요소다. 에너지 산업은 금융, 인프라, 운영이 결합된 구조를 갖고 있어, 사이버 공격이 단순한 금전 피해를 넘어 국가 기반시설 리스크로 확장될 수 있다. 이는 산업별 보안 전략이 단순 IT 보호를 넘어 국가 안보 차원으로 확장되고 있음을 보여준다.

글로벌 보안 리포트에 따르면 BEC 공격은 가장 큰 금전 피해를 유발하는 사이버 범죄 유형으로 꼽힌다. 기술적으로는 복잡하지 않지만, 성공 확률이 높고 탐지가 어려운 특징을 갖는다. 이는 가장 단순한 방식이 가장 큰 피해를 만들어낼 수 있다는 역설을 보여준다.

향후 기업 보안 전략은 ‘결제 보안’ 중심으로 재편될 가능성이 높다. 송금 과정에서 다중 인증을 적용하고, 계좌 변경 시 이중 확인 절차를 의무화하는 등의 조치가 강화될 것으로 예상된다. 또한 내부 커뮤니케이션까지 검증하는 Zero Trust 모델이 확산되고, 인공지능을 활용한 이상 거래 탐지 시스템의 중요성도 더욱 커질 전망이다. 동시에 AI 기술을 활용한 공격 역시 고도화되며, 딥페이크 기반 사기 등 새로운 위협이 등장할 가능성도 제기된다.

결국 Zephyr 사건은 단순한 사이버 범죄가 아니다. 이는 신뢰를 기반으로 작동해온 금융 시스템이 얼마나 쉽게 무너질 수 있는지를 보여주는 사례다. 보안의 핵심은 더 이상 시스템을 보호하는 데 있지 않다. 이제 기업은 ‘거래 자체를 의심하는 구조’를 설계해야 하는 시대에 진입하고 있다.

[ⓒ META-X. 무단전재-재배포 금지]