잉카인터넷 시큐리티대응센터, 2024년 4월 랜섬웨어 동향 보고서 발표
[보안뉴스 김영명 기자] 랜섬웨어 조직이 탈취했다고 주장하는 데이터가 게시된 데이터 유출 사이트 37곳의 정보를 취합했을 때 지난달 발생한 랜섬웨어 진단명별 데이터 유출 현황에서는 헌터스인터내셔널(Hunters International)이 30건으로 가장 많은 비중을 보였다. 이어 플레이(Play) 랜섬웨어가 25건, 에잇베이스(8Base) 랜섬웨어가 24건의 유출 사례를 기록했다.
[이미지=gettyimagesbank]
잉카인터넷 시큐리티대응센터는 최근 4월 1일부터 4월 30일까지 한 달 동안 발생한 데이터 유출 현황을 발표했다. 먼저 유출 현황을 국가별로 비교해 보면 미국이 58%로 가장 높은 비중을 차지했고, 캐나다가 6%, 영국이 4%, 독일·이탈리아·오스트레일리아가 각 3%의 비율을 보였다.
▲2024년 4월 진단명별 데이터 유출 현황[자료=잉카인터넷 시큐리티대응센터]
같은 기간 데이터 유출 건을 산업별로 비교해 보면 제조·공급 분야가 가장 많은 공격을 받았다. 이어 건설·부동산 분야, 의료·제약 분야가 높은 비중을 나타냈으며, 금융 서비스, 기술·통신, 도소매업·전자상거래, 법률, 정부·공공기관, 유통·무역·운송, 교육 서비스 등 순으로 나타났다.
▲2024년 4월 국가별 데이터 유출 비율[자료=잉카인터넷 시큐리티대응센터]
국내외 주요 랜섬웨어 피해사례
4월 한 달 동안의 전 세계 주요 랜섬웨어 피해동향을 살펴보면 먼저, 이탈리아의 Synlab Italia 의료연구소에서 랜섬웨어 공격을 받은 소식을 공개했다. 또한, 미국의 의료 비영리단체 GHC-SCW와 정보통신업체 UNDP에서 각각 블랙수트(BlackSuit)와 에잇베이스(8Base) 랜섬웨어의 공격을 받은 정황이 발견됐다. 일본의 광학기기 제조업체 Hoya는 헌터스인터내셔널(Hunters International)에게, 네덜란드 반도체 제조업체 Nexperia는 던힐릭(Dunghill Leak) 랜섬웨어의 공격을 받은 정황이 드러났다.
▲2024년 4월 산업별 데이터 유출 현황[자료=잉카인터넷 시큐리티대응센터]
4월 초에 일본의 광학기기 제조업체 호야(Hoya)에서 헌터스인터내셔널(Hunters International) 랜섬웨어 조직의 공격으로 인한 사이버 사고로 시스템 운영이 중단된 정황이 알려졌다. 피해 업체는 해외 지사 중 한 곳에서 시스템 장애가 발생했다고 언급했으며, 그 이후 시스템 복원 완료 소식과 함께 일부 파일이 유출된 정황을 홈페이지로 전했다. 이에 대해 헌터스인터내셔널 랜섬웨어 조직에서 피해 업체를 공격해 2TB에 달하는 데이터를 탈취했다는 소식이 전해졌다. 또한 외신은 랜섬웨어 조직이 탈취한 데이터의 공개를 빌미로 1,000만 달러(한화 약 136억 8,000만원)를 요구했다고 보도했다.
미국의 의료 비영리 단체 GHC-SCW(Group Health Cooperative of South Central Wisconsin)에서 블랙수트(BlackSuit) 랜섬웨어 공격으로 데이터가 유출된 정황이 발견됐다. 피해 단체는 올해 1월에 내부 시스템에서 무단 접속 이력을 발견해 조사를 진행했다고 언급했다. 이 과정에서 이름과 전화번호 등이 포함된 개인정보가 복사된 징후를 발견해 영향을 받은 개인에게 통지했다고 전했다. 한편 블랙수트 측은 해당 공격이 자신들의 소행이라고 주장하며 데이터 유출 사이트에 글을 게시했다. 해당 게시글에서는 피해 단체에서 언급한 개인정보 외에도 내부 문서와 데이터베이스 등의 유출된 데이터 목록이 확인됐다.
네덜란드 반도체 제조업체 넥스피아(Nexperia)는 던힐릭(Dunghill Leak) 랜섬웨어 피해를 당했다. 던힐릭 랜섬웨어 조직은 직접 운영하는 데이터 유출 사이트에 피해 업체의 글을 게시하면서 공격 사실을 주장했다. 또한 개인정보와 내부 민감정보를 포함해 1TB에 달하는 데이터를 탈취했다고 언급했다. 이에 대한 근거로 해당 조직은 여권 사진과 기술 문서 등의 샘플 파일을 공개해 현재까지도 확인할 수 있다. 한편 피해 업체는 승인되지 않은 제3자가 내부 서버에 접근한 사실을 확인해 조사하고 있다고 공지했다.
미국 정보통신업체 UNDP가 에잇베이스(8Base) 랜섬웨어의 공격을 받았다. UNDP(United Nations Development Programme)에서 덴마크의 코펜하겐시에 있는 시스템이 사이버 공격을 받은 정황을 공지했다. UNDP 측은 3월 말에 발생한 공격으로 개인정보와 내부 자료가 유출됐다고 언급했다. 이에 영향을 받은 개인에게 연락해 유출된 정보가 오용되지 않도록 조치하고 있음을 전했다. 해당 공격이 자신들의 소행이라고 주장한 에잇베이스 측은 데이터 유출 사이트에 글을 게시했다. 현재까지도 해당 게시글에는 개인정보뿐만 아니라 회계 문서와 영수증 등의 탈취한 데이터 목록이 확인된다.
이탈리아 의료연구소 신랩 이탈리아(Synlab Italia)에서 랜섬웨어 공격 피해를 입은 소식을 공지했다. 피해 연구소는 공격의 영향으로 모든 실험실의 분석과 시료 수집 서비스를 중단한다고 전했다. 또한 이번 사건을 조사하고 있으며 개인정보가 유출됐을 가능성이 있다고 언급했다. 공격 발생 이후 피해 연구소는 홈페이지에 일부 서비스가 복구된 소식을 추가로 알렸다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>