미국 공격한 ‘랜섬웨어 갱단’, 해킹 희생자 목록 공개 시작

2023.06.19

[AI요약] 미국과 캐나다, 유럽 일부 국가의 기업과 대학 등을 공격한 랜섬웨어 갱단 클롭이 해킹 희생자 목록 공개를 시작했다. 이들은 러시아와 연계된 것으로 파악되고 있으며 피해자는 점점 더 확대될 것으로 우려되고 있다.

미국 기업과 대학 등을 공격한 랜섬웨어 갱단이 해킹 피해자들의 목록을 공개하기 시작했다. (이미지=unit42)

파일전송 도구의 보안 취약점을 악용한 랜섬웨어 갱단 ‘클롭’(clop)으로 인한 미국 은행과 대학 등 기업들의 피해 현황과 전망에 대해 뉴욕타임즈, 테크크런치 등 외신이 17일(현지시간) 보도했다.

미국 현지 전문가들은 클롭이 러시아와 연계된 랜섬웨어 갱단으로 파악고 있다. 이들은 5월 말부터 기업과 기업이 인터넷을 통해 대용량 파일을 공유하는 데 사용하는 도구인 무브잇트랜스퍼(MOVEit Transfer)의 보안 결함을 악용했다.

현재 무브잇 소프트웨어를 개발한 프로그레스 소프트웨어는 문제의 취약점을 패치했지만, 클롭은 이미 그전에 막대한 피해를 입힌 상태다. 이번 해킹으로 인한 피해자의 정확한 수는 알려지지 않은 가운데, 클롭은 해킹했다고 주장하는 조직의 첫 번째 ‘희생자 목록’을 나열했다.

클롭의 다크웹 유출 사이트에 올라온 피해자 명단에는 미국계 금융기관인 퍼스트소스와 퍼스트내셔널뱅커스뱅크가 포함됐다. 또한 보스턴에 기반을 둔 투자관리회사인 퍼트넘인베스트먼트, 네덜란드 기반의 랜달그린파크, 영국에 기반을 둔 에너지 대기업 쉘도 이번 피해자 명단에 올랐다.

또한 금융 소프트웨어 제공업체인 데이터사이트, 교육용 비영리 업체 네셔널스튜던트 정보센터, 학생건강보험 제공업체 유나이티드 헬스케어 스튜던트 리소스, 미국 제조업체 레겟&플랫, 스위스 보험회사 ÖKK, 조지아대학교시스템(USG) 등도 피해자 목록에 포함됐다. 건강 및 치과 서비스를 제공하는 비영리 사업자인 그린쉴드캐나다도 유출 사이트에 등록됐지만 이후 삭제됐다.

클롭은 일반적으로 해킹 피해자에게 접촉해 훔친 파일 삭제를 명목으로 ‘몸값’을 요구하는 다른 랜섬웨어 갱단과는 다르게 해킹한 조직에게 연락을 취하지 않는 이례적인 조치를 취했다. 그 대신 다크웹 유출 사이트를 통해 피해자들에게 6월 14일 마감일 이전에 갱단에 연락하라는 협박 메시지를 남겼다.

17일(현지시간) 기준으로 클롭이 훔친 데이터는 아직 게시되지 않았다. 그러나 클롭은 피해자들에게 ‘데이터를 아주 많이 다운로드 했다’고 협박하고 있다.

이번 피해자 명단 공개에 앞서 BBC, 에어링구스, 브리티쉬에어웨이스 등 여러 조직이 공격의 결과로 피해를 입었다고 밝힌바 있다. 이 조직들은 MOVEit 시스템이 손상되었음을 확인한 HR과 급여소프트웨어 공급업체 젤리스에 의존하기 때문에 모두 영향을 받은 것으로 알려졌다.

무브잇을 사용해 부서 간에 파일을 공유하는 캐나다 노바스코샤 주도 해당 해킹에 영향을 받았음을 확인하고 일부 시민의 개인 정보가 손상되었을 수 있다고 성명을 통해 밝혔다. 그러나 클롭은 정부, 도시, 경찰 관련 데이터는 모두 지웠다고 주장하고 있다.

랜섬웨어 갱단 클롭으로 인한 피해는 점점 더 확대될 것으로 우려된다. (이미지=bankinfosecurity)

현재 해킹의 전체 범위는 정확하게 파악되지 않은 상황이며, 새로운 피해자들이 계속해서 나오고 있다.

존스홉킨스대학교도 무브잇 해킹과 관련된 것으로 여겨지는 사이버 보안 사건을 확인했다. 대학은 성명서를 통해 “이번 데이터 유출이 이름, 연락처 정보, 건강 청구 기록을 포함한 민감한 개인 및 금융 정보에 영향을 미쳤을 수 있다”고 밝혔다.

영국의 통신규제기관인 오프컴(Ofcom)도 무브잇 해킹에서 일부 기밀 정보가 손상됐다고 인정했다. 규제 당국은 성명을 통해 “해커들이 오프컴 직원 412명의 개인 정보와 함께 규제 대상 기업에 대한 일부 데이터에 접근한 사실을 확인했다”고 밝혔다.

교통서비스운영을 담당하는 영국정부기관인 트렌스포트포런던(Transport for London)도 이번 해킹으로 인해 피해를 입은 것으로 파악됐다.

대부분 미국에 위치한 수천개의 무브잇 서버는 인터넷에서 여전히 검색 가능한 상태이며, 앞으로 며칠, 몇주 동안 더 많은 피해자가 공개될 것으로 예상된다.

클롭이 해킹 피해자로 언급한 독일 기계 엔지니어링 기업 하이델베르크의 대변인은 “이번 해킹 피해 사건을 인지하고 있다”며 “우리는 신속하고 효과적으로 대응했으며, 기업의 분석에 따르면 데이터 유출로는 이어지지 않았다”고 주장했다.

익명의 USG 관계자는 “해킹으로 인한 잠재적인 데이터 노출의 범위와 피해 심각성을 평가하고 있다”며 “필요한 경우 연방법 및 주법에 따라 영향을 받는 모든 개인에게 통지가 발행될 것”이라고 설명했다.

미국 리스크컨설팅기업 크롤은 “이번 해킹은 램섬웨어 갱단이 무브잇 사이버 공격과 같은 대량 공격에 들어가기 전 정확한 지식을 바탕으로 정교하게 준비했음을 보여주고 있다”고 지적했다.

#랜섬웨어 갱단 #미국 #클롭 #해킹 희생자 목록 공개

류정민 기자

znryu@daum.net

기자의 다른 기사보기

미국 대선 여파…사용자들 ‘X’ 손절하고 ‘블루스카이’에 몰린다

미국 대선 이후 소셜 플랫폼 사용자들이 X에서 대거 이탈하고 경쟁사인 블루스카이에 합류하고 있다. 그동안 도널드 트럼프 대통령 당선자를 공개적으로 지지한 일론 머스크의 행보와 인종차별 및 성차별 등 유해한 게시물을 급격하게 증가하고 있는 것을 목격한 사용자들이 X를 이탈하고 있다는 분석이 나온다.

인사이트42 디지털마케팅 인터뷰

[인터뷰] 김충섭 퍼플아이오 CTO “마케터의 시간을 돌려주는 ‘AI 기반 온사이트 마케팅 SaaS 서비스’를 아세요?”

코드앤버터의 개발을 주도한 퍼플아이오의 김충섭 CTO는 지금은 개발자들이 일반적으로 쓰는 기술인 ‘도커’를 처음 한국에 소개한 사람이다. 개발 관련 블로그는 물론 팟캐스트, 유튜브 활동을 통해 기술로 세상의 문제 해결을 고민해 온 김 CTO는 코드앤버터를 ‘그로스 플랫폼’이라고 이야기한다. 고객들의 고충과 문제를 해결함으로써 고객의 성장을 돕는 플랫폼이라는 의미다. 그리고 그 가치는 지속적인 고도화를 통해 코드앤버터의 영역 확장으로 이어지고 있다.

인사이트42

‘AI 딥페이크 포르노’로부터 자신을 보호하는 법

합의되지 않은 실제 이미지가 공유되는 ‘리벤지 포르노’ 문제가 AI 기술 확산과 함께 누구나 딥페이크 포르노 희생자가 될수 있는 공포로 떠올랐다. 실제 개인이 노골적인 이미지를 만들거나 또는 누군가에게 이를 보낸적이 없더라도 누구나 딥페이크 포르노의 괴롭힘 대상이 될수 있다.

인사이트42 테크놀로지

당신의 인체디지털트윈으로 최적의 암치료법 쪽집게처럼

의사가 당신에게 암이 있고 즉시 치료가 필요하다고 말했다고 상상해 보자. 의사는 최소한 두 가지 치료 방식을 제시하고 하나를 선택할 수...

댓글을 달기 위해서는 로그인해야합니다.