[AI요약] 미국과 캐나다, 유럽 일부 국가의 기업과 대학 등을 공격한 랜섬웨어 갱단 클롭이 해킹 희생자 목록 공개를 시작했다. 이들은 러시아와 연계된 것으로 파악되고 있으며 피해자는 점점 더 확대될 것으로 우려되고 있다.

파일전송 도구의 보안 취약점을 악용한 랜섬웨어 갱단 ‘클롭’(clop)으로 인한 미국 은행과 대학 등 기업들의 피해 현황과 전망에 대해 뉴욕타임즈, 테크크런치 등 외신이 17일(현지시간) 보도했다.

미국 현지 전문가들은 클롭이 러시아와 연계된 랜섬웨어 갱단으로 파악고 있다. 이들은 5월 말부터 기업과 기업이 인터넷을 통해 대용량 파일을 공유하는 데 사용하는 도구인 무브잇트랜스퍼(MOVEit Transfer)의 보안 결함을 악용했다.

현재 무브잇 소프트웨어를 개발한 프로그레스 소프트웨어는 문제의 취약점을 패치했지만, 클롭은 이미 그전에 막대한 피해를 입힌 상태다. 이번 해킹으로 인한 피해자의 정확한 수는 알려지지 않은 가운데, 클롭은 해킹했다고 주장하는 조직의 첫 번째 ‘희생자 목록’을 나열했다.

클롭의 다크웹 유출 사이트에 올라온 피해자 명단에는 미국계 금융기관인 퍼스트소스와 퍼스트내셔널뱅커스뱅크가 포함됐다. 또한 보스턴에 기반을 둔 투자관리회사인 퍼트넘인베스트먼트, 네덜란드 기반의 랜달그린파크, 영국에 기반을 둔 에너지 대기업 쉘도 이번 피해자 명단에 올랐다.

또한 금융 소프트웨어 제공업체인 데이터사이트, 교육용 비영리 업체 네셔널스튜던트 정보센터, 학생건강보험 제공업체 유나이티드 헬스케어 스튜던트 리소스, 미국 제조업체 레겟&플랫, 스위스 보험회사 ÖKK, 조지아대학교시스템(USG) 등도 피해자 목록에 포함됐다. 건강 및 치과 서비스를 제공하는 비영리 사업자인 그린쉴드캐나다도 유출 사이트에 등록됐지만 이후 삭제됐다.

클롭은 일반적으로 해킹 피해자에게 접촉해 훔친 파일 삭제를 명목으로 ‘몸값’을 요구하는 다른 랜섬웨어 갱단과는 다르게 해킹한 조직에게 연락을 취하지 않는 이례적인 조치를 취했다. 그 대신 다크웹 유출 사이트를 통해 피해자들에게 6월 14일 마감일 이전에 갱단에 연락하라는 협박 메시지를 남겼다.

17일(현지시간) 기준으로 클롭이 훔친 데이터는 아직 게시되지 않았다. 그러나 클롭은 피해자들에게 ‘데이터를 아주 많이 다운로드 했다’고 협박하고 있다.

이번 피해자 명단 공개에 앞서 BBC, 에어링구스, 브리티쉬에어웨이스 등 여러 조직이 공격의 결과로 피해를 입었다고 밝힌바 있다. 이 조직들은 MOVEit 시스템이 손상되었음을 확인한 HR과 급여소프트웨어 공급업체 젤리스에 의존하기 때문에 모두 영향을 받은 것으로 알려졌다.

무브잇을 사용해 부서 간에 파일을 공유하는 캐나다 노바스코샤 주도 해당 해킹에 영향을 받았음을 확인하고 일부 시민의 개인 정보가 손상되었을 수 있다고 성명을 통해 밝혔다. 그러나 클롭은 정부, 도시, 경찰 관련 데이터는 모두 지웠다고 주장하고 있다.

현재 해킹의 전체 범위는 정확하게 파악되지 않은 상황이며, 새로운 피해자들이 계속해서 나오고 있다.

존스홉킨스대학교도 무브잇 해킹과 관련된 것으로 여겨지는 사이버 보안 사건을 확인했다. 대학은 성명서를 통해 “이번 데이터 유출이 이름, 연락처 정보, 건강 청구 기록을 포함한 민감한 개인 및 금융 정보에 영향을 미쳤을 수 있다”고 밝혔다.

영국의 통신규제기관인 오프컴(Ofcom)도 무브잇 해킹에서 일부 기밀 정보가 손상됐다고 인정했다. 규제 당국은 성명을 통해 “해커들이 오프컴 직원 412명의 개인 정보와 함께 규제 대상 기업에 대한 일부 데이터에 접근한 사실을 확인했다”고 밝혔다.

교통서비스운영을 담당하는 영국정부기관인 트렌스포트포런던(Transport for London)도 이번 해킹으로 인해 피해를 입은 것으로 파악됐다.

대부분 미국에 위치한 수천개의 무브잇 서버는 인터넷에서 여전히 검색 가능한 상태이며, 앞으로 며칠, 몇주 동안 더 많은 피해자가 공개될 것으로 예상된다.

클롭이 해킹 피해자로 언급한 독일 기계 엔지니어링 기업 하이델베르크의 대변인은 “이번 해킹 피해 사건을 인지하고 있다”며 “우리는 신속하고 효과적으로 대응했으며, 기업의 분석에 따르면 데이터 유출로는 이어지지 않았다”고 주장했다.

익명의 USG 관계자는 “해킹으로 인한 잠재적인 데이터 노출의 범위와 피해 심각성을 평가하고 있다”며 “필요한 경우 연방법 및 주법에 따라 영향을 받는 모든 개인에게 통지가 발행될 것”이라고 설명했다.

미국 리스크컨설팅기업 크롤은 “이번 해킹은 램섬웨어 갱단이 무브잇 사이버 공격과 같은 대량 공격에 들어가기 전 정확한 지식을 바탕으로 정교하게 준비했음을 보여주고 있다”고 지적했다.