클롭 랜섬웨어 운영자들의 인터뷰, 외신에 등장... 3일 오후 6시경 디크웹에 카드정보 공개
11월 말 이랜드 매장 23곳 마비시킨 클롭 랜섬웨어...당시 이랜드그룹은 “고객 데이터 안전”
하지만 1년 동안 POS 멀웨어 통해 신용카드 정보 빼냈다고 주장하는 공격자들
[보안뉴스 문가용 기자] 이랜드그룹을 공격했던 클롭(Clop) 랜섬웨어 조직이 예고했던 대로 3일 오후 6시경 그들이 유출했다고 주장하는 신용카드 정보 10만건을 다크웹에 공개했다. 2일 오후 6시에 카드정보 샘플 정보를 올린 데 이은 후속 조치다. 더욱이 이들은 IT 및 보안 전문 외신 블리핑컴퓨터와 인터뷰를 진행했고, 이 내용이 비슷한 시점에 기사화됐다. 이 사이버 범죄자들의 주장은 사고 당시 이랜드그룹이 발표했던 것과 조금 상반되는 내용을 담고 있어 공개된 정보가 실제 유출된 카드정보일 가능성이 제기되고 있다.
▲다크웹에 공개된 신용카드 정보 10만건 중 일부[자료=NSHC]
먼저 이랜드그룹 랜섬웨어 사건은 11월 말 경에 터졌다. 이 때 이랜드그룹에서 운영하는 NC 백화점과 뉴코어 매장 23곳이 운영을 일시적으로 중단되면서 사건이 커졌다. 그러나 이랜드그룹 측은 웹사이트 공식 발표문을 통해 “고객의 민감한 데이터는 암호화 되어 별도의 서버에 저장되어 있어 안전하다”고 설명했다. 요즘 랜섬웨어 공격자들 사이에서 유행하고 있는 ‘이중 협박’ 전략이 통하지 않을 것이라는 데에 대한 힌트가 되는 발언이었다.
하지만 블리핑컴퓨터가 인터뷰를 통해 드러낸 클롭 랜섬웨어 운영자들의 주장은 달랐다. 인터뷰에 의하면 이들은 약 1년 전에 이미 이랜드그룹의 네트워크에 침투했으며, 그 때부터 랜섬웨어 공격이 크게 터질 때까지 사용자들의 민감한 정보를 야금야금 누적해 왔다고 한다. 특히, POS 멀웨어를 심어 신용카드 정보가 꾸준히 쌓여있는 상태라고 이들은 주장했다.
이랜드의 설명이 거짓말이었다는 게 아니다. 랜섬웨어를 터트리기 전 1년이 넘는 기간 동안 카드 정보를 모음으로써 사이버공격에 대한 기업의 방비책을 뛰어넘어 ‘이중 협박’ 랜섬웨어 공격을 성공시켰다는 것을 의미한다. 이들은 “그 1년 동안 이랜드그룹은 의심도 하지 않았고 아무런 조치를 취하지도 않았다”고 주장했다.
이렇게 이들이 모은 정보는 약 200만 건의 신용카드 정보라고 한다. 신용카드 번호와 만료일 등의 정보가 포함되어 있는데, CVV 코드는 무사한 것으로 보인다. 따라서 공격자들이 이 정보를 가지고 할 수 있는 일은 가짜 신용카드를 만들어 오프라인 매장에서 사용하는 것이라고 블리핑컴퓨터는 언급했다.
한편, 이들의 인터뷰 뉘앙스로서는 치밀한 계획을 가지고 신용카드 데이터를 수집한 것으로 보이지 않는다. 일단 침투에 성공했으니 뭘 할까 고민하다가 POS 멀웨어를 심었고, 그냥 거기에 심어둔 채로 놔뒀다는 것이 그들의 설명이다. POS가 알아서 카드의 트랙 2(Track 2) 데이터를 공격자의 서버로 1년간 전송했는데, 이걸 이랜드가 알아채지 못했다는 것이다.
이들의 말이 사실이라면 올해부터 이중 협박의 노선을 밟고 있는 랜섬웨어를 방어한다는 것이 보다 종합적인 전략을 필요로 한다는 뜻이 된다. POS 공격, 디도스 등 일견 랜섬웨어와 상관 없어 보이는 다른 수상한 현상들이 훗날 랜섬웨어로 이어질 수 있으니, 보다 넓은 시야로 방어 전략을 구축하는 것이 보다 안전하다는 것이다.
한편, 일각에서는 이랜드그룹이 협상에 응하지 않았고, 그래서 공격자들의 보복이 본격적으로 시작됐다고 보고 있다.
▲클롭 랜섬웨어에 의해 다크웹에 유출된 한국 신용카드 정보 10만건 카드사별 분석결과[자료=NSHC]
다크웹에 유출된 개인정보·신용카드 정보 등을 지속적으로 모니터링 및 추적해온 보안전문업체 NSHC 측은 “클롭 랜섬웨어 조직이 해킹으로 유출시킨 신용카드 정보 10만건을 다크웹에 공개했다”며, “일단 카드사 2곳의 요청으로 유출된 카드 정보를 선별 분류해서 제공했다”고 밝혔다. 이어 “향후에 올라오는 유출 정보도 다크웹 인텔리전스 시스템인 다크트레이서(DarkTracer) 시스템을 통해 확인해서 고객사에 전달될 예정”이라며, “요청하는 타 카드사에도 무료로 정보를 제공할 것”이라고 덧붙였다.
현재 유출된 신용카드 정보의 경우 대부분의 카드사가 포함돼 있는 것으로 드러났다. NSHC가 분석한 결과에 따르면 전체 10만건 가운데 비씨카드가 21,161건으로 가장 많았고, 신한카드 19,860건, 국민카드 19,845건의 순으로 나타났다. 이에 따라 카드사와 금융사, 그리고 사용자들의 피해를 차단하기 위한 신속한 조치들이 이루어져야 할 것으로 보인다.
3줄 요약
1. 이랜드그룹 공격한 클롭 운영자들, 1년 전부터 신용카드 데이터 뺌.
2. 이랜드그룹은 별도의 서버에 개인정보를 보관해왔지만 공격자들은 전혀 다른 부분 노린 것.
3. 랜섬웨어가 이중 협박 전략을 구사하면서 방어는 보다 종합적으로 진행되어야 함.
[국제부 문가용 기자(globoan@boannews.com)]
11월 말 이랜드 매장 23곳 마비시킨 클롭 랜섬웨어...당시 이랜드그룹은 “고객 데이터 안전”
하지만 1년 동안 POS 멀웨어 통해 신용카드 정보 빼냈다고 주장하는 공격자들
[보안뉴스 문가용 기자] 이랜드그룹을 공격했던 클롭(Clop) 랜섬웨어 조직이 예고했던 대로 3일 오후 6시경 그들이 유출했다고 주장하는 신용카드 정보 10만건을 다크웹에 공개했다. 2일 오후 6시에 카드정보 샘플 정보를 올린 데 이은 후속 조치다. 더욱이 이들은 IT 및 보안 전문 외신 블리핑컴퓨터와 인터뷰를 진행했고, 이 내용이 비슷한 시점에 기사화됐다. 이 사이버 범죄자들의 주장은 사고 당시 이랜드그룹이 발표했던 것과 조금 상반되는 내용을 담고 있어 공개된 정보가 실제 유출된 카드정보일 가능성이 제기되고 있다.
▲다크웹에 공개된 신용카드 정보 10만건 중 일부[자료=NSHC]
먼저 이랜드그룹 랜섬웨어 사건은 11월 말 경에 터졌다. 이 때 이랜드그룹에서 운영하는 NC 백화점과 뉴코어 매장 23곳이 운영을 일시적으로 중단되면서 사건이 커졌다. 그러나 이랜드그룹 측은 웹사이트 공식 발표문을 통해 “고객의 민감한 데이터는 암호화 되어 별도의 서버에 저장되어 있어 안전하다”고 설명했다. 요즘 랜섬웨어 공격자들 사이에서 유행하고 있는 ‘이중 협박’ 전략이 통하지 않을 것이라는 데에 대한 힌트가 되는 발언이었다.
하지만 블리핑컴퓨터가 인터뷰를 통해 드러낸 클롭 랜섬웨어 운영자들의 주장은 달랐다. 인터뷰에 의하면 이들은 약 1년 전에 이미 이랜드그룹의 네트워크에 침투했으며, 그 때부터 랜섬웨어 공격이 크게 터질 때까지 사용자들의 민감한 정보를 야금야금 누적해 왔다고 한다. 특히, POS 멀웨어를 심어 신용카드 정보가 꾸준히 쌓여있는 상태라고 이들은 주장했다.
이랜드의 설명이 거짓말이었다는 게 아니다. 랜섬웨어를 터트리기 전 1년이 넘는 기간 동안 카드 정보를 모음으로써 사이버공격에 대한 기업의 방비책을 뛰어넘어 ‘이중 협박’ 랜섬웨어 공격을 성공시켰다는 것을 의미한다. 이들은 “그 1년 동안 이랜드그룹은 의심도 하지 않았고 아무런 조치를 취하지도 않았다”고 주장했다.
이렇게 이들이 모은 정보는 약 200만 건의 신용카드 정보라고 한다. 신용카드 번호와 만료일 등의 정보가 포함되어 있는데, CVV 코드는 무사한 것으로 보인다. 따라서 공격자들이 이 정보를 가지고 할 수 있는 일은 가짜 신용카드를 만들어 오프라인 매장에서 사용하는 것이라고 블리핑컴퓨터는 언급했다.
한편, 이들의 인터뷰 뉘앙스로서는 치밀한 계획을 가지고 신용카드 데이터를 수집한 것으로 보이지 않는다. 일단 침투에 성공했으니 뭘 할까 고민하다가 POS 멀웨어를 심었고, 그냥 거기에 심어둔 채로 놔뒀다는 것이 그들의 설명이다. POS가 알아서 카드의 트랙 2(Track 2) 데이터를 공격자의 서버로 1년간 전송했는데, 이걸 이랜드가 알아채지 못했다는 것이다.
이들의 말이 사실이라면 올해부터 이중 협박의 노선을 밟고 있는 랜섬웨어를 방어한다는 것이 보다 종합적인 전략을 필요로 한다는 뜻이 된다. POS 공격, 디도스 등 일견 랜섬웨어와 상관 없어 보이는 다른 수상한 현상들이 훗날 랜섬웨어로 이어질 수 있으니, 보다 넓은 시야로 방어 전략을 구축하는 것이 보다 안전하다는 것이다.
한편, 일각에서는 이랜드그룹이 협상에 응하지 않았고, 그래서 공격자들의 보복이 본격적으로 시작됐다고 보고 있다.
▲클롭 랜섬웨어에 의해 다크웹에 유출된 한국 신용카드 정보 10만건 카드사별 분석결과[자료=NSHC]
다크웹에 유출된 개인정보·신용카드 정보 등을 지속적으로 모니터링 및 추적해온 보안전문업체 NSHC 측은 “클롭 랜섬웨어 조직이 해킹으로 유출시킨 신용카드 정보 10만건을 다크웹에 공개했다”며, “일단 카드사 2곳의 요청으로 유출된 카드 정보를 선별 분류해서 제공했다”고 밝혔다. 이어 “향후에 올라오는 유출 정보도 다크웹 인텔리전스 시스템인 다크트레이서(DarkTracer) 시스템을 통해 확인해서 고객사에 전달될 예정”이라며, “요청하는 타 카드사에도 무료로 정보를 제공할 것”이라고 덧붙였다.
현재 유출된 신용카드 정보의 경우 대부분의 카드사가 포함돼 있는 것으로 드러났다. NSHC가 분석한 결과에 따르면 전체 10만건 가운데 비씨카드가 21,161건으로 가장 많았고, 신한카드 19,860건, 국민카드 19,845건의 순으로 나타났다. 이에 따라 카드사와 금융사, 그리고 사용자들의 피해를 차단하기 위한 신속한 조치들이 이루어져야 할 것으로 보인다.
3줄 요약
1. 이랜드그룹 공격한 클롭 운영자들, 1년 전부터 신용카드 데이터 뺌.
2. 이랜드그룹은 별도의 서버에 개인정보를 보관해왔지만 공격자들은 전혀 다른 부분 노린 것.
3. 랜섬웨어가 이중 협박 전략을 구사하면서 방어는 보다 종합적으로 진행되어야 함.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
_m.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
