랜섬웨어 조직 엘도라도, 운영 사이트에 랜섬웨어 피해 기업으로 한국 기업 커브 공개
27일 커브 몸값 200달러에서 1.5 BTC, 대략 한화 1억 2,000만원으로 금액 올려 판매 유도
엘도라도, 올해 첫 등장한 신규 조직으로 17개 피해 기업 공개

[보안뉴스 김경애 기자] 올해 처음 등장한 랜섬웨어 조직 엘도라도(ELDORADO)가 그들이 운영하는 사이트에 랜섬웨어 피해 기업으로 국내 데브옵스(DevOps) 전문 컨설팅 기업 ‘커브’를 공개했다. 한국 기업으로는 첫 피해 기업으로 올라온 만큼 이들 조직의 랜섬웨어 공격 피해를 입지 않도록 기업, 기관, 개인의 각별한 주의가 요구된다.


▲엘도라도 랜섬웨어 조직이 자신이 운영하는 사이트에 공개한 랜섬웨어 공격을 받은 피해 기업 화면[이미지=보안뉴스]

<보안뉴스>가 단독 입수해 엘도라도가 운영하는 랜섬웨어 사이트를 살펴본 결과, 해당 조직이 공개한 피해 기업은 총 17곳이며, 국가별로는 미국, 콩고, 이탈리아, 크로아티아, 한국 등이 포함됐다. 업종도 안경 및 보안경, 통신 솔루션, 인력 파견 서비스, 교육기관, 유조선, 부동산, 전문 청소 서비스 등 다양하다.

이 가운데 랜섬웨어 피해 기업으로 한국 기업 커브도 포함돼 있다. 엘도라도가 공개한 커브는 ‘18words·Omin read’로 표기돼 있다. 특히 주목되는 건 해커조직이 제안한 데이터 거래금액과 관련해 약 50분 만에 가격을 올려 거래를 제안했다는 점이다.

엘도라도가 주고받은 메시지를 살펴보면 엘도라도는 UTC 기준으로 지난 8월 27일 오전 10시 13분경 커브의 샘플 파일 링크 공개와 함께 20,000달러(2,668만 6,000원)를 요구했다. 그러나 약 50분이 지난 이후인 오전 11시 4분경 1.5 BTC로 대략 한화 1억 2,000만원으로 금액을 올려 거래를 제안했다.

<보안뉴스>는 피해 여부에 대한 사실 확인을 위해 해당 기업에 이 같은 사실을 알렸다. 이와 관련 커브 관계자는 “시험용으로 사용하고 있던 윈도우 PC가 랜섬웨어에 감염됐다”며 “내부 조사 결과 시험 용도로 사용했던 윈도우 PC가 윈도우 보안 프로그램 업그레이드 누락으로 윈도우 원격 접속의 취약점을 통해 침입한 것으로 파악된다”고 밝혔다.

이어 커브 관계자는 “한국인터넷진흥원(KISA)에 즉시 랜섬웨어 감염 사실을 신고했으며, KISA와 함께 침입경로 등에 대한 상세조사와 함께 대응절차를 진행하고 있다”며 “업무 시스템은 클라우드 기반으로 운영되고 있어 로컬 시험 서버의 랜섬웨어 감염에 따른 피해와 정보 유출은 없으며, 해당 시스템의 시험용 데이터만 유출돼 서버를 차단한 후 해커의 금전 요구에 응하지 않자 다크웹에 게시한 것으로 보인다”고 전했다.

그러면서 이번 사건으로 보안 패치의 중요성을 체감하고 보안관리 체계를 보다 촘촘하게 보완하는 계기가 되었다고 덧붙였다.

이와 관련 리니어리티 한승연 대표는 “대기업이 랜섬웨어 공격을 당하면 큰 이슈가 되기 때문에 대기업만이 랜섬웨어의 주요 타깃이 된다고 생각하기 쉽다”며 “그러나 실제로 랜섬웨어 조직들의 사이트를 보면 중소기업이나 중견기업의 정보도 다수 포함되어 있는 것을 확인할 수 있다”고 말했다.

이어 한 대표는 “보안 투자가 부족한 기업들은 랜섬웨어 공격으로 인해 복구가 불가능한 수준의 피해를 입을 수 있다”며 “따라서 기업들은 랜섬웨어 조직들의 공격 유형을 파악하고, 공격 과정 중 일부라도 탐지할 수 있도록 최소한의 대응조치를 취해야 한다”라고 강조했다.

한편, 올해 처음 등장한 엘도라도는 랜섬웨어 조직의 대표가 러시아어를 사용하는 것으로 알려져 있다. Group-IB 분석에 따르면 “조직 대표가 러시아어를 구사하고, 윈도우와 리눅스용 두 가지 버전의 멀웨어가 있다”며 “엘도라도 랜섬웨어는 흔적을 제거하기 위해 파워셸 명령을 실행해 파일을 삭제하기 전에 임의의 바이트로 덮어쓰고, 감염 과정을 숨기기 위해 작업이 수행되지 않는 명령어를 사용하는 등 고도의 전문성을 갖춘 조직”이라고 분석했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>