잉카인터넷 시큐리티대응센터, 9월 랜섬웨어 동향 보고서 발표
[보안뉴스 김영명 기자] 지난달 9월에는 어떤 랜섬웨어가 전 세계에 가장 큰 피해를 입혔는지, 어떤 국가에서 가장 많은 데이터 유출 사고가 발생했는지, 그리고 어떤 산업 분야에서 공격을 많이 받았는지 한눈에 요약해보는 시간을 마련했다.
[이미지=gettyimagesbank]
9월 1일부터 30일 사이에 발생한 데이터 유출 현황을 랜섬웨어 진단명 별로 비교했을 때 ‘랜섬허브(RansomHub)’가 68건으로 가장 많은 데이터를 유출했다. 이어서 ‘플레이(Play)’ 랜섬웨어가 37건, ‘록빗(LockBit)’ 랜섬웨어가 20건의 유출 사례를 기록했다.
▲2024년 9월 진단명별 데이터 유출 현황[자료=잉카인터넷 시큐리티대응센터]
잉카인터넷 시큐리티대응센터는 최근 9월 랜섬웨어 동향 보고서를 발표했다. 이번에 발표된 정보는 랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된 전 세계 데이터 유출 사이트 31곳의 정보를 취합한 결과다.
지난달 9월 1일부터 9월 30일까지 한 달 동안 발생한 데이터 유출 사건을 랜섬웨어 진단명 별로 비교했을 때 랜섬허브, 플레이, 록빗 이외에도 메두사(18건), 칵투스(15건), 헌터스 인터내셔널(14건), 블랙수트·비안리안(각 10건), INC 랜섬(9건), 라이시다(7건), 드래곤포스·3AM·시카다3301(각 6건) 등의 순이었다.
▲2024년 9월 국가별 데이터 유출 비율[자료=잉카인터넷 시큐리티대응센터]
랜섬웨어 발생 국가별로 비교했을 때는 미국이 52%로 절반이 넘는 비율을 차지했다. 이어 캐나다가 7%, 영국이 6%, 일본·스페인·브라질·이탈리아가 각 3%를 차지했다. 미국과 캐나다와 영국은 8월과 마찬가지로 데이터 유출국의 1~3위를 이어갔다.
9월에 발생한 데이터 유출 건수를 산업별로 비교했을 때도 톱 4개 분야는 지난달과 변동이 없었다. 제조·공급 분야가 지난달에 이어 가장 많은 공격을 받았으며, 건설·부동산, 기술·통신, 의료·제약, 도소매업·전자상거래의 순이었다. 8월에 산업별 데이터 유출 건수에서 5위를 차지했던 정부·공공기관은 이달에는 9위로 유출 건수가 크게 줄어든 것으로 볼 수 있다. 그밖에도 유통·무역·운송, 금융 서비스, 교육 서비스, 법률 등의 순으로 데이터 유출이 발생한 것을 알 수 있다.
▲2024년 9월 산업별 데이터 유출 현황[자료=잉카인터넷 시큐리티대응센터]
9월에 발생한 랜섬웨어 피해 사고 중 주요 사건들을 한 번 살펴보면 다음과 같다. 한달간 랜섬웨어 동향을 조사했을 때 국내 정보통신 컨설팅 업체 커브가 ‘엘도라도(Eldorado)’ 랜섬웨어의 공격을 받은 소식이 전해졌다. 또한 미국의 반도체 제조업체 마이크로칩 테크놀로지(Microchip Technology Incorporated)가 플레이(Play) 랜섬웨어의 공격을 받았고, 캐나다의 자동차 대리점 오토캐나다(AutoCanada)가 헌터스 인터내셔널(Hunters International) 랜섬웨어 공격을 받은 정황이 알려졌다. 한편 미국의 비영리 의료단체 플랜드 패런트후드(Planned Parenthood)와 미국 시애틀 항만청은 각각 랜섬허브(RansomHub)와 라이시다(Rhysida) 랜섬웨어의 공격으로 데이터가 유출된 정황이 발견됐다.
9월 초에 엘도라도(Eldorado) 랜섬웨어 그룹이 국내 정보통신 컨설팅업체 커브를 공격했다고 주장했다. 이에 대해 피해 업체에서 시험용으로 사용하던 마이크로소프트 윈도(Windows)의 보안 프로그램 업그레이드가 누락돼 랜섬웨어 공격을 받은 것으로 추정된다는 소식이 전해졌다. 엘도라도 그룹은 유출된 데이터의 공개를 빌미로 금전을 요구했지만, 피해 업체 측에서 시험용 데이터라는 이유로 응하지 않아 결국 다크웹에 글이 게시된 것으로 알려졌다. 피해 업체 측은 실제 업무가 클라우드, 기반으로 운영돼 피해가 없었으며, 현재는 한국인터넷진흥원(KISA)에 랜섬웨어 감염 사실을 신고하고 조사를 진행 중이라는 입장을 전했다. 한편 엘도라도 랜섬웨어 그룹의 데이터 유출 사이트에서는 피해 업체의 글이 게시된 상태로 확인된다.
미국의 반도체 제조업체 마이크로칩 테크놀로지에서 사이버 공격으로 데이터가 유출된 사실을 전했다. 마이크로칩 테크놀로지는 8월 중순에 공격받아 여러 제조시설의 운영을 종료하고 조사를 진행한 것으로 알려졌다. 그 이후 피해 업체의 내부 정보와 직원 개인정보 및 특정 업체의 정보가 유출됐을 가능성을 확인했다고 전했다. 한편 플레이(Play) 랜섬웨어 그룹 측은 자신들이 피해 업체를 공격했다고 주장하면서 데이터 유출 사이트에 글을 게시해 현재까지도 확인할 수 있다.
미국의 비영리 의료단체 플랜드 패런트후드가 랜섬허브 랜섬웨어 그룹의 공격을 받은 정황이 발견됐다. 조직은 데이터 유출 사이트에 피해 단체를 공격해 93GB에 달하는 데이터를 탈취했다고 주장하며 일주일 안으로 공개할 예정이라고 전했다. 또한 랜섬허브 그룹은 탈취한 데이터의 샘플 파일로 행정과 법무 및 재무 관련 문서를 공개했다. 한편 플랜드 패런트후드 측에서는 공격 사실을 인지하고 조사를 진행 중인 것으로 알려졌다. 현재는 랜섬허브에서 운영하는 다크웹 사이트에 피해 단체의 데이터가 공개된 것으로 확인된다.
미국의 정부기관 시애틀 항만청은 9월 중순에 사이버 공격으로 시스템 운영에 영향을 미친 정황을 공지했다. 피해 기관은 8월 말에 해당 공격이 발생해 수하물, 체크인 키오스크 및 티켓 판매 등의 일부 시스템이 중단됐다고 언급했다. 이로 인해 시애틀-타코마 국제공항의 예약 체크인 시스템 또한 중단됐으며, 항공편이 지연되는 사태가 발생했다고 밝혔다. 한편 공격이 발생한지 3주가 지난 다음 항만 당국은 라이시다(Rhysida) 랜섬웨어 그룹의 공격임을 확인했으나 조직 측의 복호화 비용 지불 요구에 응하지 않을 것으로 전했다. 현재는 라이시다 그룹의 데이터 유출 사이트에 등록된 피해 기관의 게시글에서 일부 데이터가 공개된 것으로 확인된다.
헌터스 인터내셔널 랜섬웨어 그룹은 9월 말에 캐나다의 자동차 대리점 오토캐나다를 공격했다고 주장했다. 이 랜섬웨어 그룹은 8월에 피해 업체를 공격해 재무 문서 등이 포함된 테라바이트 단위의 데이터를 탈취했다고 전했다. 탈취한 데이터에는 직원의 이름과 급여 정보 및 사회보장번호 등의 개인정보도 포함됐다고 덧붙였다. 한편 오토캐나다 측은 해당 공격으로 일부 서비스 업무가 지연되는 등의 피해가 발생했다고 밝혔다. 현재는 해당 사건의 조사와 암호화된 정보 복원 작업을 진행 중이라고 전하면서 홈페이지에 사건 관련 FAQ를 제공하고 있다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>