공격 후 다크웹에 정보 공개 협박하는 게 통상적 수법
정보 탈취 여부 및 범위 관건
[보안뉴스 강현주 기자] 랜섬웨어로 멈췄던 SGI서울보증의 서비스가 재개됐지만 개인정보 유출 우려는 여전히 남아 있다.
SGI서울보증은 랜섬웨어 그룹 ‘건라’로 추정되는 공격자들로부터 해킹을 당해 14일부터 전세보증 등 여러 보증 업무들에 차질을 빚었다. 이후 17일 서비스가 재개됐다.
▲SGI서울보증이 랜섬웨어 공격을 당했다. [자료: 연합]
랜섬웨어는 기업의 시스템을 잠그거나 데이터를 암호화하고, 풀어주는 대가로 금전을 요구하는 공격이다. SGI서울보증의 서비스가 재개됨에 따라 이 회사가 공격자들과의 협상을 통해 암호화를 풀었는지 관심이 몰렸다.
하지만 18일 <보안뉴스> 취재에 따르면 이번 사건 조사에 참여한 금융보안원이 암호화를 풀어내 이른바 ‘몸값’이라 불리는 랜섬을 제공하지 않고 서비스를 재개할 수 있었다.
문제는 랜섬웨어 범죄자들은 해킹으로 얻은 데이터를 다크웹에 공개한다고 협박하는 게 통상적인 ‘협상’ 수법이라는 점이다. 랜섬웨어로 잠긴 시스템과 확보한 민감 데이터를 모두 활용하는 ‘이중 갈취’(double extortion) 수법이다.
보안 업계 한 전문가는 “랜섬웨어 공격을 당한 기업이 자력으로 서비스 재개에 성공했다 해도, 이미 공격자들 손에 고객 데이터 등 중요 정보들이 넘어갔다면 이를 유출시킬 수 있다”며 “대가를 지불하면 탈취한 정보를 다크웹에 올리지 않겠다는 식으로 협상하는 게 통상적”이라고 말했다.
공개되는 개인정보는 공격자들이 탈취한 데이터의 범위에 따라 다르다. 기업 내 일부 부서 임직원 정보 일부만 공개된 사례도 있으며, 공격 당한 기업 서비스 이용자들의 개인정보가 무더기로 공개되기도 한다.
SGI서울보증과 금융감독원 등 유관기관은 개인정보 유출 정황은 아직 발견되지 않았다고 밝혔다. 하지만 공격자들이 이용자 개인정보가 담겨있는 DB까지 침투해 정보를 탈취했는지 여부는 아직 미지수다. 만약 탈취를 했다면 어느 정도 규모의 정보를 손에 넣었는지도 관건이다.
개인정보보호위원회 관계자는 “개인정보 유출 정황이 확인되면 개인정보위에 72시간 내 신고를 하게 돼 있는데, 아직 SGI서울보증보험으로부터 신고가 들어온 바는 없다”고 밝혔다.
한편, 이번 SGI서울보증 랜섬웨어 사건은 건라로 추정되는 범죄 그룹이 1차적으로 SSL-VPN 장비의 SSH 서비스 포트를 통해 무작위 로그인 공격으로 침투에 성공한 것으로 분석됐다.
[강현주 기자(jjoo@boannews.com)]
정보 탈취 여부 및 범위 관건
[보안뉴스 강현주 기자] 랜섬웨어로 멈췄던 SGI서울보증의 서비스가 재개됐지만 개인정보 유출 우려는 여전히 남아 있다.
SGI서울보증은 랜섬웨어 그룹 ‘건라’로 추정되는 공격자들로부터 해킹을 당해 14일부터 전세보증 등 여러 보증 업무들에 차질을 빚었다. 이후 17일 서비스가 재개됐다.
▲SGI서울보증이 랜섬웨어 공격을 당했다. [자료: 연합]
랜섬웨어는 기업의 시스템을 잠그거나 데이터를 암호화하고, 풀어주는 대가로 금전을 요구하는 공격이다. SGI서울보증의 서비스가 재개됨에 따라 이 회사가 공격자들과의 협상을 통해 암호화를 풀었는지 관심이 몰렸다.
하지만 18일 <보안뉴스> 취재에 따르면 이번 사건 조사에 참여한 금융보안원이 암호화를 풀어내 이른바 ‘몸값’이라 불리는 랜섬을 제공하지 않고 서비스를 재개할 수 있었다.
문제는 랜섬웨어 범죄자들은 해킹으로 얻은 데이터를 다크웹에 공개한다고 협박하는 게 통상적인 ‘협상’ 수법이라는 점이다. 랜섬웨어로 잠긴 시스템과 확보한 민감 데이터를 모두 활용하는 ‘이중 갈취’(double extortion) 수법이다.
보안 업계 한 전문가는 “랜섬웨어 공격을 당한 기업이 자력으로 서비스 재개에 성공했다 해도, 이미 공격자들 손에 고객 데이터 등 중요 정보들이 넘어갔다면 이를 유출시킬 수 있다”며 “대가를 지불하면 탈취한 정보를 다크웹에 올리지 않겠다는 식으로 협상하는 게 통상적”이라고 말했다.
공개되는 개인정보는 공격자들이 탈취한 데이터의 범위에 따라 다르다. 기업 내 일부 부서 임직원 정보 일부만 공개된 사례도 있으며, 공격 당한 기업 서비스 이용자들의 개인정보가 무더기로 공개되기도 한다.
SGI서울보증과 금융감독원 등 유관기관은 개인정보 유출 정황은 아직 발견되지 않았다고 밝혔다. 하지만 공격자들이 이용자 개인정보가 담겨있는 DB까지 침투해 정보를 탈취했는지 여부는 아직 미지수다. 만약 탈취를 했다면 어느 정도 규모의 정보를 손에 넣었는지도 관건이다.
개인정보보호위원회 관계자는 “개인정보 유출 정황이 확인되면 개인정보위에 72시간 내 신고를 하게 돼 있는데, 아직 SGI서울보증보험으로부터 신고가 들어온 바는 없다”고 밝혔다.
한편, 이번 SGI서울보증 랜섬웨어 사건은 건라로 추정되는 범죄 그룹이 1차적으로 SSL-VPN 장비의 SSH 서비스 포트를 통해 무작위 로그인 공격으로 침투에 성공한 것으로 분석됐다.
[강현주 기자(jjoo@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
