[데이터넷] 일본의 주요 방산기업 항공전자공업(Japan Aviation Electronics, JAE)이 랜섬웨어 공격으로 홈페이지가 마비되는 사고를 입었다. JAE는 이 사고로 정보유출 등의 피해는 없다고 공개했지만, AlphV/Black Cat 집단의 유출 사이트에는 피해 조직으로 추가됐다.

최근 일본 제조사와 주요 인프라를 대상으로 한 랜섬웨어 공격이 잇따르고 있는데, 시계 제조사 세이코와 카시오, 지퍼 대기업 YKK, 제약회사 에자이(Eisai), 일본 최대 무역항 나고야항 등이 랜섬웨어 공격으로 큰 피해를 입었으며, 일본 사이버 보안 기관인 국립사이버보안사고대비전략센터(NISC)는 9개월 동안 중국 기반 해커로 의심되는 공격자들이 NISC의 민감 데이터에 접근했다는 사실을 8월 공개하기도 했다.

‘복호화 vs 유출 데이터 삭제’…몸값 협상 옵션 주는 공격자

일본뿐만 아니라 중요 인프라와 제조사를 대상으로 한 랜섬웨어가 급격하게 늘어나고 있다. 미국 에너지 서비스 기업 BHI 에너지가 5월 랜섬에어 그룹 아키라(Akira)의 침해를 받았는데, 공격자는 외부 계약 직원의 VPN 계정을 훔쳐 BHI 네트워크에 침투했다.

BHI는 공격 상황을 분석한 보고서를 10월 공개했는데, 이 보고서에 따르면 공격자는 초기 접속 후 일주일동안 내부 네트워크를 정찰했으며, 6월 20일부터 29일까지 AD 데이터베이스를 포함 690GB 데이터가 포함된 76만여개의 파일을 훔쳤다. 그리고 모든 기기에 아키라 랜섬웨어를 배포학 파일을 암호화했다.

트렌드마이크로가 아키라 그룹을 분석한 바에 따르면 이들은 콘티(Conti) 랜섬웨어 계열로 보이며, 미국과 캐나다에 본사를 둔 회사를 표적으로 삼는다. 데이터 유출 후 암호화 협박하는 다중강탈 전술을 수행하는데, 암호화된 파일을 해독하거나 유출한 데이터를 삭제하는 두 가지 중 하나의 옵션을 선택하도록 하는 ‘아량’을 베풀기도 한다. 이들이 요구하는 몸값은 20만달러에서 400만달러 정도로 알려진다.

미국 항공기 제조사 보잉도 랜섬웨어 공격자의 피해자 목록에 추가됐다. 보잉의 데이터 유출 사이트에 게시한 그룹은 락비트이며, 부품·유통 사업 관련된 조직이 공격을 당했했다고 밝혔다. 보잉은 지난해 친 러시아 그룹으로부터 디도스 공격을 당했다.

우리나라 대기업도 피해를 입었다. 락비트는 국내 글로벌 제조사의 데이터 800GB를 탈취하고 업무 관련 문서, 데이터베이스 관련 파일 등 데이터 100GB를 공개하면서 금전을 요구했다.

민감한 개인정보가 많은 서비스 기업들도 잇단 피해를 입고 있다. 지난달 싱가포르 마리나베이 샌즈 카지노와 호텔에서 66만5000명의 데이터가 도난당했으며, 올해 초에는 라스베이거스에 본사를 둔 MGM리조트와 시저스 엔터테인먼트도 호텔 시스템 중단과 고객 데이터 도난으로 약 1억달러의 손실을 입은 것으로 알려진다.

영국의 물류회사 KNP 로지스틱 그룹은 6월 아키라 랜섬웨어 공격을 당한 후 파산을 선언하기도 했다. KNP는 공격 이전에도 경영에 어려움을겪고 있기는 했지만, 랜섬웨어 공격으로 인해 주요 시스템과 프로세스, 재무 정보에 영향을 받아 결국 파산한 것으로 알려진다.

락비트, 공격 차단되면 3AM으로 다시 공격

무브잇 취약점을 이용한 공급망 공격을 단행하면서 악명을 떨치고 있는 클롭의 활동은 여전히 계속되고 있다. SK쉴더스에 따르면 이들은 클리어넷(ClearNet)과 토렌트를 통해 데이터 유출을 지속하고 있다.

SK쉴더스의 ‘2023 3분기 KARA 랜섬웨어 동향 보고서’에서는 락비트가 3AM이라는 새로운 RaaS를 출범시키면서 공격을 이어가고 있다. 락비트 랜섬웨어가 보안 시스템에 의해 차단되면 3AM이 공격하는 방식이다. 새로운 공격을 통해 랜섬웨어 방어를 우회하는 시도는 다른 그룹에서도 보인다. 블랙캔 그룹은 Sphynx, 아비스(Abyss)와 몬티(Monti) 그룹은 리눅스 버전의 랜섬웨어를 진행하면서 보안 탐지를 우회한다.

취약점도 랜섬웨어 공격자들이 주로 악용하는 도구다. 클롭이 무브잇 취약점으로 큰 성공을 거둔 것이 대표적인 예이며, 락비트와 아키라는 시스코 VPN, 파이어파워 위협 디펜스 취약점을 악용하고 있다.

여행 서비스 ‘트립어드바이저’로 위장한 악성메일로 공격을시도하는 나이트(Knight), 윈도우 보안 데이트로 위장한 매그니베르, 정상 소프트웨어 사이트와 구글 애드를 통해 유포되는 블랙캣 등 사회공학 기법 악용 공격도 증가하고 있다.

랜섬웨어 그룹은 초기 액세스 브로커(IAB)와 협업하면서 더 조직적이고 치밀한 공격을 진행하고 있다. IAB로부터 초기 침투 경로를 구입한 후 공격으로 인한 수익을 믹싱 서비스로 세탁해 빠르게 공격하면서 추적을 피한다. 더불어 멀티 플랫폼을 지원해 다양한 환경의 조직에 피해를 입히며, 데이터 유출 후 공개 협박으로 더 높은 몸값을 얻어내고 있다.

SK쉴더스 보고서에서는 “랜섬웨어 그룹은 파일 암호화뿐만 아니라 데이터를 탈취해 이를 빌미로 돈을 요구하는 이중협박 전략을 사용하고 있기 때문에 피해를 예방하기 위해 타깃형 APT 공격에 대한 대비와 침입에 대한 각 단계별 적절한 보안 요소, 프로세스를 마련해 공격자 그룹이 목표를 달성하기 전에 탐지하고 차단해야 한다”고 밝혔다.

김선애 기자 다른기사 보기