미국 공격한 ‘랜섬웨어 갱단’, 해킹 희생자 목록 공개 시작

2023.06.19

[AI요약] 미국과 캐나다, 유럽 일부 국가의 기업과 대학 등을 공격한 랜섬웨어 갱단 클롭이 해킹 희생자 목록 공개를 시작했다. 이들은 러시아와 연계된 것으로 파악되고 있으며 피해자는 점점 더 확대될 것으로 우려되고 있다.

미국 기업과 대학 등을 공격한 랜섬웨어 갱단이 해킹 피해자들의 목록을 공개하기 시작했다. (이미지=unit42)

파일전송 도구의 보안 취약점을 악용한 랜섬웨어 갱단 ‘클롭’(clop)으로 인한 미국 은행과 대학 등 기업들의 피해 현황과 전망에 대해 뉴욕타임즈, 테크크런치 등 외신이 17일(현지시간) 보도했다.

미국 현지 전문가들은 클롭이 러시아와 연계된 랜섬웨어 갱단으로 파악고 있다. 이들은 5월 말부터 기업과 기업이 인터넷을 통해 대용량 파일을 공유하는 데 사용하는 도구인 무브잇트랜스퍼(MOVEit Transfer)의 보안 결함을 악용했다.

현재 무브잇 소프트웨어를 개발한 프로그레스 소프트웨어는 문제의 취약점을 패치했지만, 클롭은 이미 그전에 막대한 피해를 입힌 상태다. 이번 해킹으로 인한 피해자의 정확한 수는 알려지지 않은 가운데, 클롭은 해킹했다고 주장하는 조직의 첫 번째 ‘희생자 목록’을 나열했다.

클롭의 다크웹 유출 사이트에 올라온 피해자 명단에는 미국계 금융기관인 퍼스트소스와 퍼스트내셔널뱅커스뱅크가 포함됐다. 또한 보스턴에 기반을 둔 투자관리회사인 퍼트넘인베스트먼트, 네덜란드 기반의 랜달그린파크, 영국에 기반을 둔 에너지 대기업 쉘도 이번 피해자 명단에 올랐다.

또한 금융 소프트웨어 제공업체인 데이터사이트, 교육용 비영리 업체 네셔널스튜던트 정보센터, 학생건강보험 제공업체 유나이티드 헬스케어 스튜던트 리소스, 미국 제조업체 레겟&플랫, 스위스 보험회사 ÖKK, 조지아대학교시스템(USG) 등도 피해자 목록에 포함됐다. 건강 및 치과 서비스를 제공하는 비영리 사업자인 그린쉴드캐나다도 유출 사이트에 등록됐지만 이후 삭제됐다.

클롭은 일반적으로 해킹 피해자에게 접촉해 훔친 파일 삭제를 명목으로 ‘몸값’을 요구하는 다른 랜섬웨어 갱단과는 다르게 해킹한 조직에게 연락을 취하지 않는 이례적인 조치를 취했다. 그 대신 다크웹 유출 사이트를 통해 피해자들에게 6월 14일 마감일 이전에 갱단에 연락하라는 협박 메시지를 남겼다.

17일(현지시간) 기준으로 클롭이 훔친 데이터는 아직 게시되지 않았다. 그러나 클롭은 피해자들에게 ‘데이터를 아주 많이 다운로드 했다’고 협박하고 있다.

이번 피해자 명단 공개에 앞서 BBC, 에어링구스, 브리티쉬에어웨이스 등 여러 조직이 공격의 결과로 피해를 입었다고 밝힌바 있다. 이 조직들은 MOVEit 시스템이 손상되었음을 확인한 HR과 급여소프트웨어 공급업체 젤리스에 의존하기 때문에 모두 영향을 받은 것으로 알려졌다.

무브잇을 사용해 부서 간에 파일을 공유하는 캐나다 노바스코샤 주도 해당 해킹에 영향을 받았음을 확인하고 일부 시민의 개인 정보가 손상되었을 수 있다고 성명을 통해 밝혔다. 그러나 클롭은 정부, 도시, 경찰 관련 데이터는 모두 지웠다고 주장하고 있다.

랜섬웨어 갱단 클롭으로 인한 피해는 점점 더 확대될 것으로 우려된다. (이미지=bankinfosecurity)

현재 해킹의 전체 범위는 정확하게 파악되지 않은 상황이며, 새로운 피해자들이 계속해서 나오고 있다.

존스홉킨스대학교도 무브잇 해킹과 관련된 것으로 여겨지는 사이버 보안 사건을 확인했다. 대학은 성명서를 통해 “이번 데이터 유출이 이름, 연락처 정보, 건강 청구 기록을 포함한 민감한 개인 및 금융 정보에 영향을 미쳤을 수 있다”고 밝혔다.

영국의 통신규제기관인 오프컴(Ofcom)도 무브잇 해킹에서 일부 기밀 정보가 손상됐다고 인정했다. 규제 당국은 성명을 통해 “해커들이 오프컴 직원 412명의 개인 정보와 함께 규제 대상 기업에 대한 일부 데이터에 접근한 사실을 확인했다”고 밝혔다.

교통서비스운영을 담당하는 영국정부기관인 트렌스포트포런던(Transport for London)도 이번 해킹으로 인해 피해를 입은 것으로 파악됐다.

대부분 미국에 위치한 수천개의 무브잇 서버는 인터넷에서 여전히 검색 가능한 상태이며, 앞으로 며칠, 몇주 동안 더 많은 피해자가 공개될 것으로 예상된다.

클롭이 해킹 피해자로 언급한 독일 기계 엔지니어링 기업 하이델베르크의 대변인은 “이번 해킹 피해 사건을 인지하고 있다”며 “우리는 신속하고 효과적으로 대응했으며, 기업의 분석에 따르면 데이터 유출로는 이어지지 않았다”고 주장했다.

익명의 USG 관계자는 “해킹으로 인한 잠재적인 데이터 노출의 범위와 피해 심각성을 평가하고 있다”며 “필요한 경우 연방법 및 주법에 따라 영향을 받는 모든 개인에게 통지가 발행될 것”이라고 설명했다.

미국 리스크컨설팅기업 크롤은 “이번 해킹은 램섬웨어 갱단이 무브잇 사이버 공격과 같은 대량 공격에 들어가기 전 정확한 지식을 바탕으로 정교하게 준비했음을 보여주고 있다”고 지적했다.

#랜섬웨어 갱단 #미국 #클롭 #해킹 희생자 목록 공개

류정민 기자

znryu@daum.net

기자의 다른 기사보기

CATL “주행거리 1000km 리튬인산철배터리” 공개···초당 1km 충전

세계 최대 배터리 제조업체인 중국 CATL이 초당 1km씩 충전해 10여분 만에 총 1000km를 달리게 해 주는 전기차용 초고속 충전 리튬인산철(LFP) 배터리를 내놓았다. 10분만 충전하면 600km를 달릴 수 있다. CATL은 10여분 충전으로 중국 북부 베이징에서 남부 난징까지 갈 수 있다고 말했다.

인사이트42 테크놀로지

AI 엑스포 2024 현장, '본격화된 생성형 AI 시대'… 온디바이스 AI, 디지털 문서, 영상인식까지

챗GPT, 제미나이, 라마 등 대화형으로 시작된 생성형 AI 기술은 이제 다양한 분야와 접목돼 놀라운 상용화 서비스로 선보이고 있는 상황. 올해 AI 엑스포 2024에서는 이 혁신의 중심에 선 관련 국내외 생성 AI 플랫폼들의 서비스 경쟁이 특히 많은 주목을 받았다.

인사이트42

‘챗GPT’ 능가한다니! 아이폰과 챗봇 ‘클로드’의 만남

오픈AI의 전 직원 그룹이 세운 앤스로픽의 챗봇 클로드가 애플의 아이폰과 만나면서 챗GPT의 대항마로 떠올랐다. 클로드는 챗봇 테스트 사이트에서 1위를 차지하면서 GPT-4를 무너뜨린 최초의 AI가 된 시스템으로 평가받고 있다.

인사이트42 디지털마케팅 인터뷰 테크놀로지

[인터뷰] 김민성 아드리엘 부대표 “글로벌 디지털 마케팅 시장에서 경쟁력 있는 한국의 B2B SaaS 솔루션으로 인정받게 할 겁니다”

글로벌 시장 확대를 본격화하고 있는 아드리엘의 행보가 예사롭지 않다. 이러한 상황에서 지난달 김민성 부대표의 합류는 아드리엘의 글로벌 시장 공략에 새로운 전환점이 될 것으로 기대를 모으고 있다. 취임의 변을 통해 김 부대표는 아드리엘을 “글로벌 마케팅 분석 및 시각과 솔루션 이상의 가치를 제공하는 최고의 SaaS 기업이 될 수 있도록 할 것”이라고 포부를 밝혔다. 서울 종로구 아드리엘 본사에서 진행된 김 부대표와의 인터뷰는 이와 관련된 질문으로 시작했다.

댓글을 달기 위해서는 로그인해야합니다.