미국 공격한 ‘랜섬웨어 갱단’, 해킹 희생자 목록 공개 시작

2023.06.19

[AI요약] 미국과 캐나다, 유럽 일부 국가의 기업과 대학 등을 공격한 랜섬웨어 갱단 클롭이 해킹 희생자 목록 공개를 시작했다. 이들은 러시아와 연계된 것으로 파악되고 있으며 피해자는 점점 더 확대될 것으로 우려되고 있다.

미국 기업과 대학 등을 공격한 랜섬웨어 갱단이 해킹 피해자들의 목록을 공개하기 시작했다. (이미지=unit42)

파일전송 도구의 보안 취약점을 악용한 랜섬웨어 갱단 ‘클롭’(clop)으로 인한 미국 은행과 대학 등 기업들의 피해 현황과 전망에 대해 뉴욕타임즈, 테크크런치 등 외신이 17일(현지시간) 보도했다.

미국 현지 전문가들은 클롭이 러시아와 연계된 랜섬웨어 갱단으로 파악고 있다. 이들은 5월 말부터 기업과 기업이 인터넷을 통해 대용량 파일을 공유하는 데 사용하는 도구인 무브잇트랜스퍼(MOVEit Transfer)의 보안 결함을 악용했다.

현재 무브잇 소프트웨어를 개발한 프로그레스 소프트웨어는 문제의 취약점을 패치했지만, 클롭은 이미 그전에 막대한 피해를 입힌 상태다. 이번 해킹으로 인한 피해자의 정확한 수는 알려지지 않은 가운데, 클롭은 해킹했다고 주장하는 조직의 첫 번째 ‘희생자 목록’을 나열했다.

클롭의 다크웹 유출 사이트에 올라온 피해자 명단에는 미국계 금융기관인 퍼스트소스와 퍼스트내셔널뱅커스뱅크가 포함됐다. 또한 보스턴에 기반을 둔 투자관리회사인 퍼트넘인베스트먼트, 네덜란드 기반의 랜달그린파크, 영국에 기반을 둔 에너지 대기업 쉘도 이번 피해자 명단에 올랐다.

또한 금융 소프트웨어 제공업체인 데이터사이트, 교육용 비영리 업체 네셔널스튜던트 정보센터, 학생건강보험 제공업체 유나이티드 헬스케어 스튜던트 리소스, 미국 제조업체 레겟&플랫, 스위스 보험회사 ÖKK, 조지아대학교시스템(USG) 등도 피해자 목록에 포함됐다. 건강 및 치과 서비스를 제공하는 비영리 사업자인 그린쉴드캐나다도 유출 사이트에 등록됐지만 이후 삭제됐다.

클롭은 일반적으로 해킹 피해자에게 접촉해 훔친 파일 삭제를 명목으로 ‘몸값’을 요구하는 다른 랜섬웨어 갱단과는 다르게 해킹한 조직에게 연락을 취하지 않는 이례적인 조치를 취했다. 그 대신 다크웹 유출 사이트를 통해 피해자들에게 6월 14일 마감일 이전에 갱단에 연락하라는 협박 메시지를 남겼다.

17일(현지시간) 기준으로 클롭이 훔친 데이터는 아직 게시되지 않았다. 그러나 클롭은 피해자들에게 ‘데이터를 아주 많이 다운로드 했다’고 협박하고 있다.

이번 피해자 명단 공개에 앞서 BBC, 에어링구스, 브리티쉬에어웨이스 등 여러 조직이 공격의 결과로 피해를 입었다고 밝힌바 있다. 이 조직들은 MOVEit 시스템이 손상되었음을 확인한 HR과 급여소프트웨어 공급업체 젤리스에 의존하기 때문에 모두 영향을 받은 것으로 알려졌다.

무브잇을 사용해 부서 간에 파일을 공유하는 캐나다 노바스코샤 주도 해당 해킹에 영향을 받았음을 확인하고 일부 시민의 개인 정보가 손상되었을 수 있다고 성명을 통해 밝혔다. 그러나 클롭은 정부, 도시, 경찰 관련 데이터는 모두 지웠다고 주장하고 있다.