11월 12일, 데이터 공유 사이트에 공지 및 샘플 데이터 올려...12월 10일 전체 공개 압박
RA그룹, 유출 데이터는 △업무용 연락망 △부서별 데이터 △그 외의 파일 등으로 명시
보안전문가, 악성코드 포함된 채용 관련 이메일을 클릭해 감염된 것으로 추정
[보안뉴스 김영명 기자] 지난해 4월 22일부터 활동을 시작한 것으로 알려진 랜섬웨어 조직인 RA그룹(RA GROUP)이 SK가스의 직원 개인정보 및 데이터 700GB를 탈취했다고 주장하고 나섰다.
▲SK가스의 데이터를 탈취했다고 주장하는 RA그룹의 데이터 목록[이미지=보안뉴스]
RA그룹은 앞서 3년 전에 소스코드 전부가 온라인에 유출된 바북(Babuk) 랜섬웨어를 자기들만의 독특한 방식으로 개조해 사용하는 것으로 알려졌다.
RA그룹은 앞서 11월 12일 20시 15분에 데이터 공유 사이트에 ‘SK Gas’라는 이름으로 샘플 데이터를 올렸다. 유출된 데이터의 크기는 700GB이며, 유출된 파일의 주 내용은 △업무용 연락망 △부서별 데이터 △그 외의 파일 등이라고 명시됐다. RA그룹은 유출된 파일의 샘플을 내려받을 수 있는 주소를 파일 공유 서비스인 고파일(Gofile)에 공개했다. 이어 해당 데이터를 오는 12월 10일에 전체 공개하겠다며 일정도 명시했다.
▲RA그룹이 SK가스를 공격했다고 하는 게시물이 11월 12일에 올라온 것을 확인할 수 있다[이미지=보안뉴스]
이들이 올린 샘플 파일을 살펴보면 총 80개의 파일이 있었으며, 파일 유형은 PDF, 엑셀, 워드, 아웃룩 등 다양하다. 파일이 만들어지거나 수정된 날짜를 살펴보면 2021년 8월부터 올해 7월까지다. 파일 중에는 ‘복호화 보고양식’, ‘포지션_231122’, ‘mfm증가분_1027’ 등 한글 이름으로 저장된 파일과 함께 내부 직원으로 추정되는 인물의 여권도 있었다.
▲유출된 샘플 목록의 여권 PDF 파일[이미지=보안뉴스]
‘certificate of employment(재직증명서)’이라는 파일명에 추가된 이름으로는 ‘김**(D******* Kim)’, ‘정** 2024(H** ** Jung 2024)’, ‘김**(K** D*** ****)’, ‘홍**(Hong **** ***)’ 등 영어로 된 이름도 발견할 수 있다. 파일 중에는 ‘SKGI’로 시작하는 ‘Employee Remuneration’, ‘HR Project 2024’ 파일도 발견된다. SKGI는 ‘SK GAS INTERNATIONAL PTE. LTD’의 약자로 해외 자회사다.
▲유출된 재직증명서 샘플 파일[이미지=보안뉴스]
특히, ‘Passport’라는 PDF 파일을 열어보면 ‘홍**’이라는 이름의 여권 파일도 확인이 가능하다. 해당 여권은 블러 처리가 되어 있지 않아 여권번호, 이름, 생년월일, 주민등록번호(뒷자리), 발급일, 기간만료일 등을 모두 확인할 수 있다. 이 ‘홍**’이란 이름을 인터넷에서 ‘SK가스’와 연결시켜 검색해 보면 비등기임원으로, 2022년 1월 1일자로 선임됐다는 SK가스의 ‘임원·주요주주 특정증권 등 소유상황보고서’를 확인할 수 있다.
이번 사고와 관련해 익명을 요청한 보안전문가는 “전체 문서 파일에서 확인되고 있는 ‘박**’라는 인물은 전략기획실의 HR(Human Resources, 인사) 담당자인데, 박**의 PC가 공격을 받아 자료가 유출된 것으로 보인다”며 “아마 악성코드가 숨겨진 채용 관련 이메일을 클릭해 감염된 것이 아닐까 추정된다”고 밝혔다.
이어 “랜섬웨어 공격자로 알려진 ‘RA World’라고도 하는 RA그룹(RA Group)은 바북(Babuk) 랜섬웨어의 맞춤형 변종을 활용해 지난해 4월에 처음 등장한 것으로 알려져 있다”며 “현재까지 어떤 경로로 유출되었는지는 알 수 없으나 악성코드가 첨부된 문서를 클릭해서 랜섬웨어에 감염된 것으로 추정된다”고 설명했다.
해당 보안전문가는 “최근 랜섬웨어 공격자들이 채용담당자를 타깃으로 구인·구직 관련 이메일을 통해 공격을 감행한 사례가 많아 기업 담당자들의 주의가 필요할 것 같다”며 “구인·구직 이메일이라도 메일 보안 솔루션을 통해 악성코드 여부를 철저히 검증하고 열람하는 등 보안 관리에 만전을 기해야 한다”고 밝혔다.
한편, 이번 데이터 유출 의혹 사건에 대해 SK가스 측에 이틀에 걸쳐 사실 확인 및 대응조치 여부를 문의했지만 SK가스 사이버보안팀의 답변을 들을 수는 없었다.
[김영명 기자(boan@boannews.com)]
RA그룹, 유출 데이터는 △업무용 연락망 △부서별 데이터 △그 외의 파일 등으로 명시
보안전문가, 악성코드 포함된 채용 관련 이메일을 클릭해 감염된 것으로 추정
[보안뉴스 김영명 기자] 지난해 4월 22일부터 활동을 시작한 것으로 알려진 랜섬웨어 조직인 RA그룹(RA GROUP)이 SK가스의 직원 개인정보 및 데이터 700GB를 탈취했다고 주장하고 나섰다.
▲SK가스의 데이터를 탈취했다고 주장하는 RA그룹의 데이터 목록[이미지=보안뉴스]
RA그룹은 앞서 3년 전에 소스코드 전부가 온라인에 유출된 바북(Babuk) 랜섬웨어를 자기들만의 독특한 방식으로 개조해 사용하는 것으로 알려졌다.
RA그룹은 앞서 11월 12일 20시 15분에 데이터 공유 사이트에 ‘SK Gas’라는 이름으로 샘플 데이터를 올렸다. 유출된 데이터의 크기는 700GB이며, 유출된 파일의 주 내용은 △업무용 연락망 △부서별 데이터 △그 외의 파일 등이라고 명시됐다. RA그룹은 유출된 파일의 샘플을 내려받을 수 있는 주소를 파일 공유 서비스인 고파일(Gofile)에 공개했다. 이어 해당 데이터를 오는 12월 10일에 전체 공개하겠다며 일정도 명시했다.
▲RA그룹이 SK가스를 공격했다고 하는 게시물이 11월 12일에 올라온 것을 확인할 수 있다[이미지=보안뉴스]
이들이 올린 샘플 파일을 살펴보면 총 80개의 파일이 있었으며, 파일 유형은 PDF, 엑셀, 워드, 아웃룩 등 다양하다. 파일이 만들어지거나 수정된 날짜를 살펴보면 2021년 8월부터 올해 7월까지다. 파일 중에는 ‘복호화 보고양식’, ‘포지션_231122’, ‘mfm증가분_1027’ 등 한글 이름으로 저장된 파일과 함께 내부 직원으로 추정되는 인물의 여권도 있었다.
▲유출된 샘플 목록의 여권 PDF 파일[이미지=보안뉴스]
‘certificate of employment(재직증명서)’이라는 파일명에 추가된 이름으로는 ‘김**(D******* Kim)’, ‘정** 2024(H** ** Jung 2024)’, ‘김**(K** D*** ****)’, ‘홍**(Hong **** ***)’ 등 영어로 된 이름도 발견할 수 있다. 파일 중에는 ‘SKGI’로 시작하는 ‘Employee Remuneration’, ‘HR Project 2024’ 파일도 발견된다. SKGI는 ‘SK GAS INTERNATIONAL PTE. LTD’의 약자로 해외 자회사다.
▲유출된 재직증명서 샘플 파일[이미지=보안뉴스]
특히, ‘Passport’라는 PDF 파일을 열어보면 ‘홍**’이라는 이름의 여권 파일도 확인이 가능하다. 해당 여권은 블러 처리가 되어 있지 않아 여권번호, 이름, 생년월일, 주민등록번호(뒷자리), 발급일, 기간만료일 등을 모두 확인할 수 있다. 이 ‘홍**’이란 이름을 인터넷에서 ‘SK가스’와 연결시켜 검색해 보면 비등기임원으로, 2022년 1월 1일자로 선임됐다는 SK가스의 ‘임원·주요주주 특정증권 등 소유상황보고서’를 확인할 수 있다.
이번 사고와 관련해 익명을 요청한 보안전문가는 “전체 문서 파일에서 확인되고 있는 ‘박**’라는 인물은 전략기획실의 HR(Human Resources, 인사) 담당자인데, 박**의 PC가 공격을 받아 자료가 유출된 것으로 보인다”며 “아마 악성코드가 숨겨진 채용 관련 이메일을 클릭해 감염된 것이 아닐까 추정된다”고 밝혔다.
이어 “랜섬웨어 공격자로 알려진 ‘RA World’라고도 하는 RA그룹(RA Group)은 바북(Babuk) 랜섬웨어의 맞춤형 변종을 활용해 지난해 4월에 처음 등장한 것으로 알려져 있다”며 “현재까지 어떤 경로로 유출되었는지는 알 수 없으나 악성코드가 첨부된 문서를 클릭해서 랜섬웨어에 감염된 것으로 추정된다”고 설명했다.
해당 보안전문가는 “최근 랜섬웨어 공격자들이 채용담당자를 타깃으로 구인·구직 관련 이메일을 통해 공격을 감행한 사례가 많아 기업 담당자들의 주의가 필요할 것 같다”며 “구인·구직 이메일이라도 메일 보안 솔루션을 통해 악성코드 여부를 철저히 검증하고 열람하는 등 보안 관리에 만전을 기해야 한다”고 밝혔다.
한편, 이번 데이터 유출 의혹 사건에 대해 SK가스 측에 이틀에 걸쳐 사실 확인 및 대응조치 여부를 문의했지만 SK가스 사이버보안팀의 답변을 들을 수는 없었다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
