이스라엘 연구진은 로스앤젤레스 교통 시스템을 마비시킨 3월의 컴퓨터 침해 사건이 이란 해커들에 의해 발생했다고 주장했다.
2026년 5월 26일, 로이터통신의 보도에 따르면, 이란 해커들은 로스앤젤레스 카운티 메트로폴리탄교통국(LACMTA)의 네트워크 일부를 중단시킨 파괴적 침해 사건의 책임자였다고 이스라엘 연구진은 밝혔다. 텔아비브에 본사를 둔 사이버보안 기업 갬빗 시큐리티(Gambit Security)는 온라인에 의도치 않게 노출된 뒤 유출 자료를 발견했다고 설명했다. 이 회사는 해커들이 최소 700GB에 달하는 이메일, 백업 파일 및 기타 자료를 탈취했다고 전했다. 700GB는 대규모 문서와 데이터, 내부 통신 기록이 담길 수 있는 상당한 용량으로, 기관 운영 정보와 보안 체계에 영향을 줄 수 있는 규모다.
갬빗 시큐리티는 지난 화요일 발표한 보고서에서, 해당 데이터가 발견된 서버와 이스라엘 당국과 연구진이 테헤란과 연관 지었다고 보는 기존 해킹 작전 사이에 디지털 흔적이 연결돼 있었다고 밝혔다. 이란 유엔대표부는 관련 논평 요청에 응답하지 않았고, 이스라엘 국가사이버국도 메시지에 답하지 않았다.
LACMTA 역시 조사 결과에 대한 질문에 응답하지 않았다. 다만 지난달 공유한 성명에서 당국은 시스템을 다시 온라인 상태로 복구하는 과정에서 법 집행기관과 사이버 전문가들과 협력하고 있다고 밝혔다. 당국은 당시
“귀속은 조사의 일부이며, 추측하지 않겠다”
고 말했다. 여기서 귀속(attribution)은 사이버 공격의 배후를 특정하는 절차를 뜻하며, 해킹 사건 조사에서 핵심 단계로 꼽힌다.
디지털 보안 전문가들은 LACMTA 공격의 배후에 이란이 있다는 의심을 처음부터 제기해 왔다. 이는 책임을 자처한 ‘아바빌 오브 미나브(Ababil of Minab)’라는 잘 알려지지 않은 친이란 성향 조직 때문이었다. 이 단체명은 이란 미나브시의 한 여자학교 폭격 사건을 가리키는 것으로, 현지 당국은 이 공격으로 어린이와 교사 175명 이상이 숨졌다고 말한다. 이 단체의 표현 방식과 공격 수법은 미국과 이스라엘 연구진이 이란 정보기관의 위장 조직이라고 의심하는 자칭 자경단식 해커 집단과 유사한 특징을 보인다고 전해졌다.
갬빗의 위협 인텔리전스 담당 이사 이알 셀라(Eyal Sela)는 아바빌과 이란 국가 사이의 연관성은 “작업 가설”이었다고 말했다. 그는
“우리의 연구가 추가한 것은 이를 뒷받침하는 포렌식 증거”
라고 밝혔다. 포렌식 증거는 디지털 흔적, 서버 기록, 데이터 이동 경로 등 기술적 분석을 통해 공격 주체를 추적하는 자료를 뜻한다.
갬빗은 미국 국가안보국(NSA)에 해당하는 이스라엘 국가안보국의 전신인 8200부대(Unit 8200) 출신 인사들이 일부 참여해 설립한 보안 스타트업이라고 밝혔다. 회사는 자신의 조사 결과를 관련 당국에 통보했다고 덧붙였다.
아바빌은 웹사이트의 문의 양식을 통해 남겨진 메시지에도 응답하지 않았다. 연방수사국(FBI)은 LACMTA 사건을 인지하고 있으며 “파트너들과 대응을 조율하고 있다”고 밝혔다. 다만 FBI는 추가 논평을 거절했다. 미국의 민간 사이버 방어 기구인 사이버보안 및 기반시설안보국(CISA)도 논평 요청에 답하지 않았다.
■ 전쟁 시작 이후 활동했을 가능성 제기
LACMTA 침해는 당국이 밝힌 바에 따르면 3월 16일경 감지됐다. 약 2주 뒤 아바빌은 온라인에 등장해 대규모 파괴적 사이버 공격으로 엄청난 양의 데이터를 지웠다고 주장했고, 교통망 내부를 휩쓰는 듯한 영상을 공개했다. 로스앤젤레스 교통 당국은 이번 침해가 열차나 버스 운행을 중단시키지는 않았다고 밝혔지만, 현지 언론은 일부 도착 안내 전광판이 작동하지 않았고 고객들이 교통카드에 금액을 충전할 수 없었다고 전했다.
아바빌은 남부 플로리다의 Tri-Rail 통근 철도 시스템, 차량 추적 회사 Vyncs, 사우디아라비아 인프라 기업 Unimac에 대한 해킹도 자신들이 했다고 주장해 왔다. Tri-Rail은 성명에서 “약 한 달 전” 해킹 피해를 입었다고 확인하면서도 영향을 받은 데이터 가운데 중요한 정보는 없었다고 밝혔다. Vyncs의 소유주인 Agnik은 4월 2일 침해 사실을 발견했다고 말했으나, 해커들이 탈취한 데이터의 성격에 대해서는 언급을 거부했다. Tri-Rail과 Agnik은 모두 FBI가 사건에 관여하고 있다고 밝혔으며, Agnik은 이메일을 통해 수사기관이
“이 범죄자들이 누구인지 상당히 잘 이해하고 있다”
고 말했다. Unimac은 질문에 답하지 않았다.
갬빗 시큐리티는 아바빌 배후 세력이 스파이들이 온라인에 남겨둔 또 다른 데이터를 분석한 결과, 신원을 공개하지 않은 다른 조직들도 해킹한 정황이 있다고 밝혔다. 셀라는 이들 가운데 이스라엘의 한 언론사와 교육기관, 그리고 튀르키예의 한 보험 중개회사가 포함된다고 말했지만, 추가 식별은 거부했다.
미국과 이스라엘이 2026년 2월 말 이란과 전쟁을 시작한 이후, 이란 해커들은 연속적인 디지털 작전을 벌여온 것으로 의심받고 있다. 여기에는 의료기기 업체 스트라이커(Stryker)를 겨냥한 피해성 공격과 FBI 국장 캐시 파텔(Kash Patel)의 개인 이메일 유출이 포함된다. 또한 CNN은 이달 초 이란 해커들이 주유소의 연료 계기판을 원격 조작했을 가능성이 있다고 보도했다. 이러한 흐름은 단발성 사건이 아니라, 지정학적 긴장이 사이버 공간으로 확장되고 있음을 보여주는 사례로 해석된다. 특히 교통, 의료, 물류, 에너지 분야가 표적이 될 경우 직접적인 서비스 차질은 물론, 복구 비용 증가와 보안 투자 확대 압박으로 이어질 수 있어 관련 기관들의 경계가 더욱 필요해 보인다.
