신흥 ‘젠틀맨’ 랜섬웨어 그룹 소행
최근 루마니아 기간 시설 사이버 위협 잇달아

[보안뉴스 김형근 기자] 루마니아 최대 석탄 기반 에너지 기업 올테니아에너지복합체(Complexul Energetic Oltenia)가 크리스마스 이튿날인 26일(현지시간) 랜섬웨어 공격을 받아 IT 인프라가 마비되는 사태가 발생했다.

이 회사는 1만9000명의 직원을 두고 루마니아 전체 전력의 약 30%를 공급한다. 이번 공격으로 전사적자원관리(ERP) 시스템, 문서 관리 애플리케이션, 이메일 서비스 및 공식 홈페이지가 일시적으로 중단됐다고 회사측은 밝혔다.

발전 및 송전 부문은 영향을 받지 않아 국가 에너지 시스템의 실제 운영엔 즉각적 지장이 없었으나, 내부 문서와 파일들이 상당수 암호화되는 피해를 입었다.

올테니아는 공격 감지 직후 기존 백업 데이터를 활용해 새로운 인프라 위에 시스템을 재구축하기 시작했다.

현재 랜섬웨어에 의해 암호화되기 전 단계에서 데이터가 외부로 유출됐는지 정밀 분석 중이다. 루마니아 국가사이버보안국과 조직범죄수사국(DIICOT) 등 관계 기관에 사건을 신고하고 수사를 의뢰한 상태다.

이번 공격을 주도한 것은 ‘젠틀맨’(Gentlemen) 랜섬웨어 그룹이다. 올해 8월 처음 등장한 신생 조직으로, 탈취된 계정 정보를 이용하거나 외부에 노출된 인터넷 서비스를 통해 침투하는 수법을 사용한다.

이들은 파일 확장자를 .7mtzhh로 변경하고 연락처가 담긴 랜섬노트를 남기는 특징이 있다.

이 그룹은 지금까지 약 40여건에 이르는 공격 실적을 자신들의 다크웹 사이트에 공개하며 세를 과시해 왔다. 올테니아는 아직 이들의 희생자 목록에 오르지 않았으나, 이는 현재 몸값을 둘러싸고 협상이 이뤄지고 있기 때문으로 보인다.

루마니아에선 최근 기간시설을 노린 사이버 공격이 빈번해지고 있다. 2주 전엔 국가수자원공사(Romanian Waters)가 공격을 받아 1000대 이상의 컴퓨터 시스템이 영향을 받았다. 작년엔 대형 전력 배급사 일렉트리카그룹(Electrica Group)과 100여개 병원이 랜섬웨어 공격을 당한 바 있다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>