사업자등록증, 재학증명서, 상업용 부동산 전문 교육 코스 수료증 등 샘플정보 공개
[보안뉴스 김경애 기자] 킬섹(KillSec) 랜섬웨어 그룹이 운영하는 킬시큐리티 사이트에 국내 기업 ‘서울프라퍼티인사이트(SPI)’가 랜섬웨어 피해기업으로 올라와 파장이 커지고 있다.
▲랜섬웨어 조직이 운영하는 킬시큐리티 사이트에 국내 기업인 ‘서울프라퍼티인사이트’가 피해 기업 리스트로 올라온 화면[이미지=보안뉴스]
7일 한 제보자는 “킬섹 랜섬웨어 사이트에 한국 기업이 피해기업으로 올라왔다”고 밝혔다. <보안뉴스>에서 이를 확인하기 위해 7일 해당 사이트를 접속한 결과 ‘서울프라퍼티인사이트’가 피해기업 리스트로 등재돼 있었다.
킬시큐리티 사이트 운영자는 해당 사이트에서 여러 국가들의 기업 사이트를 해킹했다고 주장하며, 피해기업 리스트를 공개했다. 사이트에 올라온 피해 기업 리스트를 클릭하면 개인정보 등이 포함된 민감 정보가 샘플로 공개돼 있다. 사이트 우측 상단에는 (돈)지불을 하려면 여기를 클릭하라고 안내했다.
‘서울프라퍼티인사이트’의 경우 서울프라퍼티인사이트 사업자등록증, 고객정보로 보이는 재학증명서, 상업용 부동산 전문 교육 코스 수료증 등이 공개돼 있다.
▲사이트 운영자가 샘플로 공개한 ‘서울프라퍼티인사이트’ 정보 화면[이미지=보안뉴스]
공개된 정보와 랜섬웨어 감염 사실을 확인하기 위해 해당 기업에 관련 내용을 전달했다. 7일 서울프라퍼티인사이트 관계자는 “앞서 오전에 보안관제 업체로부터 연락을 받았다”며 “제가 전문가가 아니다 보니 구체적이고 전문적으로 설명할 수는 없지만 개발팀을 통해 전해 듣기로는 구글 기반으로 구축돼 있는 해킹 당할 수 없는 시스템으로, 대응할 가치가 없다고 전해 들었다”고 답변했다.
또한 해커가 샘플로 공개한 정보의 유출 여부에 대해 그는 “공개된 정보는 맞으나, 통상적인 정보”라고 말했다.
이와 관련 피해기업에 공격 피해 사실을 전달한 보안관제 기업 관계자는 “랜섬웨어 공격 모니터링을 하다보니 피해 사실을 알게되어 해당 내용에 대해 피해기업에 전달했다”고 밝혔다.
하지만 이번 사건에 대한 보안전문가의 견해는 달랐다. 피해사실 확인 및 취약점 점검 등 다양한 위협요소에 대해 꼼꼼히 살펴봐야 한다는 것이다.
리니어리티 한승연 대표는 “킬섹 랜섬웨어 그룹이 올해 6월 본격적으로 RaaS(Ransomware-as-a-Service) 사업을 시작한 이후, 8월에는 15건, 9월에는 14건, 10월에는 6건 등 짧은 기간 동안 30개 이상의 기업을 공격했다”며, “중소 규모 사이트를 포함한 다수의 기업을 타깃으로 하면서도 3만 유로 미만의 비교적 적은 금액을 요구하는 전략을 구사하는 것으로 보인다”고 밝혔다.
이어 “현재 유출된 데이터의 위험도는 낮아 보일 수 있지만, 취약점이 해결되지 않을 경우 또 다른 공격이 발생할 수 있다”며 “원인 파악과 이에 따른 적절한 조치가 필요하다”고 경고했다.
순천향대학교 염흥열 교수는 “공격을 감행한 랜섬웨어 그룹의 주장과 공격 피해 예상 기업의 입장이 다른 경우”라며 “랜섬웨어 그룹은 몸값을 받기 위해 유출 정보를 올리고, 피해기업은 해당 유출 정보를 기반으로 공격 사실에 대한 확인을 하게 되는데, 이번 사건은 피해기업이 해킹된 사실이 없다고 주장하는 경우다. 하지만 피해기업이 해킹 가능성을 좀더 꼼꼼히 살펴봐야 한다”고 당부했다.
이어 염 교수는 “진짜 해킹됐는지 또는 해킹 사실로 협박받고 있는지 여부는 피해기업이 가장 잘 알 것”이라며 “데이터 백업이 잘 되어 있는지도 살펴보고, 로그 분석을 통해 해킹 흔적을 세부적으로 살펴봐야 한다”고 덧붙였다.
사이버리즌EDR 침해위협 분석가는 “요새 랜섬웨어 해킹 조직의 전략은 단순히 데이터를 암호화하고 복구 비용을 요구하는 것을 넘어 사전 단계에서 기업의 내부 정보를 탈취해 이를 협박이나 불법판매 수단으로 활용하는 양상을 보이고 있다”며 “특히 주목할 점은 정보 탈취의 출처가 반드시 기업 내부 시스템에만 국한되지 않는다는 점으로, 직원의 개인 PC나 협력업체, 개인 클라우드, 심지어 외부 공용 메일 서버 등이 해킹 경로가 되어 민감정보가 유출될 수 있다”고 설명했다.
이어 분석가는 “제로트러스트 모델을 기반으로 어디서든 보안 취약점이 존재할 수 있음을 인지하고, 조직 내 각 영역에 대한 지속적인 모니터링과 함께 다양한 보안 솔루션(EDR, APT솔루션, 네트워크 보안장비 등)을 구축 및 운영해 위협에 대한 다단계 방어전략을 세우는 것이 필요하다”고 강조했다.
[김경애 기자(boan3@boannews.com)]
[보안뉴스 김경애 기자] 킬섹(KillSec) 랜섬웨어 그룹이 운영하는 킬시큐리티 사이트에 국내 기업 ‘서울프라퍼티인사이트(SPI)’가 랜섬웨어 피해기업으로 올라와 파장이 커지고 있다.
▲랜섬웨어 조직이 운영하는 킬시큐리티 사이트에 국내 기업인 ‘서울프라퍼티인사이트’가 피해 기업 리스트로 올라온 화면[이미지=보안뉴스]
7일 한 제보자는 “킬섹 랜섬웨어 사이트에 한국 기업이 피해기업으로 올라왔다”고 밝혔다. <보안뉴스>에서 이를 확인하기 위해 7일 해당 사이트를 접속한 결과 ‘서울프라퍼티인사이트’가 피해기업 리스트로 등재돼 있었다.
킬시큐리티 사이트 운영자는 해당 사이트에서 여러 국가들의 기업 사이트를 해킹했다고 주장하며, 피해기업 리스트를 공개했다. 사이트에 올라온 피해 기업 리스트를 클릭하면 개인정보 등이 포함된 민감 정보가 샘플로 공개돼 있다. 사이트 우측 상단에는 (돈)지불을 하려면 여기를 클릭하라고 안내했다.
‘서울프라퍼티인사이트’의 경우 서울프라퍼티인사이트 사업자등록증, 고객정보로 보이는 재학증명서, 상업용 부동산 전문 교육 코스 수료증 등이 공개돼 있다.
▲사이트 운영자가 샘플로 공개한 ‘서울프라퍼티인사이트’ 정보 화면[이미지=보안뉴스]
공개된 정보와 랜섬웨어 감염 사실을 확인하기 위해 해당 기업에 관련 내용을 전달했다. 7일 서울프라퍼티인사이트 관계자는 “앞서 오전에 보안관제 업체로부터 연락을 받았다”며 “제가 전문가가 아니다 보니 구체적이고 전문적으로 설명할 수는 없지만 개발팀을 통해 전해 듣기로는 구글 기반으로 구축돼 있는 해킹 당할 수 없는 시스템으로, 대응할 가치가 없다고 전해 들었다”고 답변했다.
또한 해커가 샘플로 공개한 정보의 유출 여부에 대해 그는 “공개된 정보는 맞으나, 통상적인 정보”라고 말했다.
이와 관련 피해기업에 공격 피해 사실을 전달한 보안관제 기업 관계자는 “랜섬웨어 공격 모니터링을 하다보니 피해 사실을 알게되어 해당 내용에 대해 피해기업에 전달했다”고 밝혔다.
하지만 이번 사건에 대한 보안전문가의 견해는 달랐다. 피해사실 확인 및 취약점 점검 등 다양한 위협요소에 대해 꼼꼼히 살펴봐야 한다는 것이다.
리니어리티 한승연 대표는 “킬섹 랜섬웨어 그룹이 올해 6월 본격적으로 RaaS(Ransomware-as-a-Service) 사업을 시작한 이후, 8월에는 15건, 9월에는 14건, 10월에는 6건 등 짧은 기간 동안 30개 이상의 기업을 공격했다”며, “중소 규모 사이트를 포함한 다수의 기업을 타깃으로 하면서도 3만 유로 미만의 비교적 적은 금액을 요구하는 전략을 구사하는 것으로 보인다”고 밝혔다.
이어 “현재 유출된 데이터의 위험도는 낮아 보일 수 있지만, 취약점이 해결되지 않을 경우 또 다른 공격이 발생할 수 있다”며 “원인 파악과 이에 따른 적절한 조치가 필요하다”고 경고했다.
순천향대학교 염흥열 교수는 “공격을 감행한 랜섬웨어 그룹의 주장과 공격 피해 예상 기업의 입장이 다른 경우”라며 “랜섬웨어 그룹은 몸값을 받기 위해 유출 정보를 올리고, 피해기업은 해당 유출 정보를 기반으로 공격 사실에 대한 확인을 하게 되는데, 이번 사건은 피해기업이 해킹된 사실이 없다고 주장하는 경우다. 하지만 피해기업이 해킹 가능성을 좀더 꼼꼼히 살펴봐야 한다”고 당부했다.
이어 염 교수는 “진짜 해킹됐는지 또는 해킹 사실로 협박받고 있는지 여부는 피해기업이 가장 잘 알 것”이라며 “데이터 백업이 잘 되어 있는지도 살펴보고, 로그 분석을 통해 해킹 흔적을 세부적으로 살펴봐야 한다”고 덧붙였다.
사이버리즌EDR 침해위협 분석가는 “요새 랜섬웨어 해킹 조직의 전략은 단순히 데이터를 암호화하고 복구 비용을 요구하는 것을 넘어 사전 단계에서 기업의 내부 정보를 탈취해 이를 협박이나 불법판매 수단으로 활용하는 양상을 보이고 있다”며 “특히 주목할 점은 정보 탈취의 출처가 반드시 기업 내부 시스템에만 국한되지 않는다는 점으로, 직원의 개인 PC나 협력업체, 개인 클라우드, 심지어 외부 공용 메일 서버 등이 해킹 경로가 되어 민감정보가 유출될 수 있다”고 설명했다.
이어 분석가는 “제로트러스트 모델을 기반으로 어디서든 보안 취약점이 존재할 수 있음을 인지하고, 조직 내 각 영역에 대한 지속적인 모니터링과 함께 다양한 보안 솔루션(EDR, APT솔루션, 네트워크 보안장비 등)을 구축 및 운영해 위협에 대한 다단계 방어전략을 세우는 것이 필요하다”고 강조했다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
