비트로커 악용한 랜섬웨어...수자원관리청 IT 인프라 1000대 마비
중앙 본부 포함 11개 지사 중 10곳 피해…GIS·DB·메일·웹서비스 ‘올스톱’

[보안뉴스 김형근 기자] 루마니아 국가 수자원 관리청이 지난 주말 대규모 랜섬웨어 공격을 받아 중앙 본부와 전국 11개 지사 중 10개 지사의 IT 인프라가 마비됐다.


[자료: gettyimagesbank]

루마니아 국가사이버보안국(DNSC)에 따르면, 이번 공격으로 지리정보시스템(GIS) 서버, 데이터베이스, 이메일, 웹 서비스, 도메인 네임 서버(DNS) 등 약 1000대의 컴퓨터 시스템이 감염돼 기능을 잃었다.

해커들은 윈도우 자체 암호화 기능인 비트로커(BitLocker)를 악용해 시스템을 잠갔으며, 7일 이내에 연락하라는 협박 메시지를 남긴 것으로 확인됐다.

실제 물 공급을 관리하는 운영 기술(OT) 시스템은 피해를 입지 않아, 국가 수자원 공급 및 인프라 운영은 현재 정상 작동 중이다.

DNSC와 국가정보국(SRI) 산하 사이버인텔센터 등 전문 인력들이 투입돼 사건을 조사하고 피해 확산을 막기 위해 분리 조치하는 격리 작업을 진행하고 있다.

조사 결과, 수자원관리청은 아직 국가 사이버 보호 시스템(CNC)에 연결되지 않은 상태였으며, 이번 사건을 계기로 통합 작업을 시작했다.

당국은 해커들과 접촉하거나 협상하지 말 것을 강력히 권고하고 있으며, 복구 팀이 작업에 집중할 수 있도록 외부의 불필요한 연락을 자제해 달라고 당부했다.

이번 공격은 이달 초 미 사이버보안및인프라 보안국(CISA)과 FBI, 유로폴 등이 경고했던 친러시아계 해커 조직들의 세계 주요 인프라 공격 예고와 맞물려 있다.

지-펜테스트(Z-Pentest), 노네임(NoName), CARR(Cyber Army of Russia Reborn) 등 러시아계 핵티비스트 그룹들이 현재 세계 국가 주요 인프라를 타깃으로 활발히 활동 중인 것으로 알려졌다.

루마니아 정부는 이번 사건을 국가 중요 시설에 대한 심각한 위협으로 규정하고, 유관 기관과 협력해 시스템 복구와 보안 강화에 총력을 기울이고 있다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>