일본 대형 전자상거래 기업...10월 랜섬웨어 공격으로 주문 배송 작업 계속 차질
협력사 보안 헛점 이용해 침투
[보안뉴스 김형근 기자] 일본 대형 전자상거래 기업 아스쿨(Askul)이 10월 발생한 랜섬웨어 공격으로 약 74만건의 고객 기록이 유출됐다는 사실을 공식 확인했다. 아스쿨은 야후재팬 자회사다.
이 공격으로 IT 시스템 장애가 발생, 유통 대기업 무지(無印, Muji) 등 고객들에 대한 제품 배송이 중단됐다.
조사 결과, 유출된 데이터는 기업 고객 서비스 데이터 59만건과 개인 고객 서비스 데이터 13만2000건 등 총 74만 건에 달한다.) 비즈니스 파트너 정보 약 1만5000건과 임직원 정보 2700건도 유출됐다.
아스쿨은 도난 정보의 악용을 방지하기 위해 구체적 유출 정보를 공개하지 않았으며, 대신 피해 고객 및 파트너에게 개별적으로 통지할 예정이라고 밝혔다.
아스쿨은 일본 개인정보보호위원회에 데이터 노출 사실을 보고하고 장기적 모니터링 시스템을 구축했다. 12월 15일 기준, 주문 배송 업무는 여전히 침해 사고의 영향을 받고 있으며, 복구 작업은 진행 중이다.
이 공격은 랜섬하우스 해킹 그룹에 의해 이루어졌다. 이들은 10월 30일 침해 사실을 공개하고, 11월 10일과 12월 2일 두 차례에 걸쳐 데이터를 유출했다.
공격자는 다중인증(MFA) 보호 장치가 없는 협력업체의 관리자 계정 인증 정보를 악용해 아스쿨 네트워크에 침투한 것으로 추정된다.
초기 침투에 성공한 공격자는 네트워크 정찰을 시작하고 인증 정보 수집을 시도했다. 이어 엔드포인트 탐지 및 대응(EDR) 솔루션 등 보안 소프트웨어를 무력화시켰다.
공격자는 다수 서버를 이동하며 필요한 권한을 획득했다. 아스쿨에 따르면, 이 공격에 여러 종류의 랜섬웨어 변종이 사용됐으며, 이 중 일부는 업데이트된 EDR 시그니처를 회피하는 기능을 가졌다. 랜섬웨어 페이로드는 다수 서버에 동시 배포됐으며, 백업 파일도 복구를 막기 위해 삭제됐다.
대응 조치로 감염된 네트워크의 물리적 차단, 데이터 센터 통신 차단, 모든 주요 시스템에 대한 MFA 적용, 관리자 계정 비밀번호 재설정 등이 이뤄졌다.
아스쿨은 자세한 재정 영향 평가를 위해 예정된 분기 보고를 연기했다.
[김형근 기자(editor@boannews.com)]
협력사 보안 헛점 이용해 침투
[보안뉴스 김형근 기자] 일본 대형 전자상거래 기업 아스쿨(Askul)이 10월 발생한 랜섬웨어 공격으로 약 74만건의 고객 기록이 유출됐다는 사실을 공식 확인했다. 아스쿨은 야후재팬 자회사다.
이 공격으로 IT 시스템 장애가 발생, 유통 대기업 무지(無印, Muji) 등 고객들에 대한 제품 배송이 중단됐다.
조사 결과, 유출된 데이터는 기업 고객 서비스 데이터 59만건과 개인 고객 서비스 데이터 13만2000건 등 총 74만 건에 달한다.) 비즈니스 파트너 정보 약 1만5000건과 임직원 정보 2700건도 유출됐다.
아스쿨은 도난 정보의 악용을 방지하기 위해 구체적 유출 정보를 공개하지 않았으며, 대신 피해 고객 및 파트너에게 개별적으로 통지할 예정이라고 밝혔다.
아스쿨은 일본 개인정보보호위원회에 데이터 노출 사실을 보고하고 장기적 모니터링 시스템을 구축했다. 12월 15일 기준, 주문 배송 업무는 여전히 침해 사고의 영향을 받고 있으며, 복구 작업은 진행 중이다.
이 공격은 랜섬하우스 해킹 그룹에 의해 이루어졌다. 이들은 10월 30일 침해 사실을 공개하고, 11월 10일과 12월 2일 두 차례에 걸쳐 데이터를 유출했다.
공격자는 다중인증(MFA) 보호 장치가 없는 협력업체의 관리자 계정 인증 정보를 악용해 아스쿨 네트워크에 침투한 것으로 추정된다.
초기 침투에 성공한 공격자는 네트워크 정찰을 시작하고 인증 정보 수집을 시도했다. 이어 엔드포인트 탐지 및 대응(EDR) 솔루션 등 보안 소프트웨어를 무력화시켰다.
공격자는 다수 서버를 이동하며 필요한 권한을 획득했다. 아스쿨에 따르면, 이 공격에 여러 종류의 랜섬웨어 변종이 사용됐으며, 이 중 일부는 업데이트된 EDR 시그니처를 회피하는 기능을 가졌다. 랜섬웨어 페이로드는 다수 서버에 동시 배포됐으며, 백업 파일도 복구를 막기 위해 삭제됐다.
대응 조치로 감염된 네트워크의 물리적 차단, 데이터 센터 통신 차단, 모든 주요 시스템에 대한 MFA 적용, 관리자 계정 비밀번호 재설정 등이 이뤄졌다.
아스쿨은 자세한 재정 영향 평가를 위해 예정된 분기 보고를 연기했다.
[김형근 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.jpg)
.jpg)
.png){kind=spacer}
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
