2022-06-30 07:55 (목)
2022년 1분기, 신종 랜섬웨어 대거 등장...공격도 급증
상태바
2022년 1분기, 신종 랜섬웨어 대거 등장...공격도 급증
  • 길민권 기자
  • 승인 2022.05.16 16:20
이 기사를 공유합니다

한국 랜섬웨어 관심도, 78개 지역 중 44위...2021년 4분기 관심도에 비해 6%↑
출처=KISA
출처=KISA

2022년 1분기에는 BlackCat, DeadBolt, Sugar 등의 신종 랜섬웨어가 발견되었다. 공공기관 및 기업을 대상으로 파일 암호화와 데이터 탈취를 동시에 수행하는 랜섬웨어의 공격이 증가하고 있다. 또한 랜섬웨어 조직들은 러시아와 우크라이나 간에 발생한 전쟁 상황을 악용해 랜섬웨어를 유포하고 있는 것으로 조사됐다. 

한국인터넷진흥원은 최근 2022년 1분기 랜섬웨어 동향 보고서를 발표하고 글로벌 랜섬웨어 현황에 대한 정보를 공유했다. 

보고서에 따르면, 전 세계 기준 2022년 1분기 랜섬웨어 관련 시간 흐름에 따른 관심도는 평균 64.7%로 2021년 4분기 평균 17.9%에 비해 약 3.6배 증가했다.

2022년 1분기 랜섬웨어 관련 지역별 관심도는 우리나라가 20%로 78개 지역 중 44위이며, 2021년 4분기 관심도에 비해 6% 증가했고 순위는 48위에서 44위로 증가했다.

2021년과 마찬가지로 랜섬웨어 공격 그룹은 금전적 이익을 크게 얻을 수 있는 기업들을 주로 공격하고 있으며, 이에 대응하기 위해 미국, 호주, 영국 등에서는 정부기관이나 기업에게 랜섬웨어에 대응하는 방법과 정보를 제공하고 있다.

랜섬웨어 공격 그룹은 피해자의 시스템에 존재하는 파일을 암호화하여 복구 비용을 요구하는 방식과 함께 피해자의 데이터를 탈취하여 자신들의 유출 사이트에 일부 공개한 뒤 요구하는 금액을 지급하지 않을시 데이터 전체를 공개하겠다고 협박하는 방식도 사용하고 있다. 

이와 같이 랜섬웨어 공격은 갈수록 사업화되고 있으며 금전적 이익을 최대한 얻기 위해 이중 협박 방식을 사용하고 있어 이에 대응할 수 있는 정교한 랜섬웨어 대응책이 필요한 상황이다. 

출처=KISA
출처=KISA

◇랜섬웨어 글로벌 사고사례

△Delta Electronics사의 랜섬웨어 감염(1월) 

2022년 1월, Conti 랜섬웨어는 대만의 전자제품 제조기업인 Delta Electronics 社의 시스템을 공격하였다. 공격자는 Delta사 네트워크 내의 약 65,000대 장비 중 서버 1,500대와 컴퓨터 12,000대를 암호화했다고 주장하였다. 또한, 기업의 주요 데이터를 탈취하는 것을 중지하고 복구도구를 제공하는 대가로 1,500만 달러를 요구하였다. 반면에 Delta는 이번 공격으로 인해 제품 생산에는 차질이 없다고 주장하였으며, 보안팀을 구성하여 사고를 조사 중이다.

△프랑스 법무부의 랜섬웨어 감염(1월)

2022년 1월, LockBit 2.0 랜섬웨어는 프랑스 법무부의 컴퓨터 시스템을 공격하여 데이터를 암호화하고 탈취하였다고 주장하였다. 공격자는 토르 기반으로 만들어진 자신들의 웹 사이트에 탈취한 데이터를 2주 후인 2월 10일에 공개하겠다고 밝혔다. 사이버보안 연구원인 Anis Haboubi는 본 랜섬웨어 공격은 BIG-IP 장치의 인스턴스 보호에 실패하여 발생한 것으로 보이며, 공격자가 인증되지 않은 원격 명령 실행 취약점(CVE-2021-22986)을 이용했을 가능성이 있다고 말했다.

△KP Snacks사의 랜섬웨어 감염(2월)

2022년 2월, Conti 랜섬웨어는 영국의 식료품 생산기업 KP Snacks 社를 공격하여 IT 시스템을 마비시켰다. 해당 공격으로 인해 대형 슈퍼마켓으로 식료품 배송이 지연되거나 취소되었으며, 3월 말까지 공급 부족 문제가 발생하였다. 공격자는 KP Snacks사의 내부 네트워크를 공격한 다음 직원 인사 자료와 재무 관련 자료를 포함한 민감한 데이터를 암호화하였다. 또한 비공개 유출 사이트에서 신용카드 내역서, 출생증명서, 직원 주소와 전화번호 등의 내용이 담긴 민감한 문서를 공유하였다.

△Swissport International 랜섬웨어 감염(2월)

2022년 2월, BlackCat 랜섬웨어는 스위스의 항공 서비스 기업 Swissport International 社를 공격하여 IT 시스템과 관련 서비스를 마비시켰다. 이 공격으로 인해 22편의 항공편이 3분에서 20분 정도 지연되었다. 공격자는 Swissport사로부터 탈취하였다고 주장하는 데이터(이름, 여권번호, 국적, 이메일 주소, 전화번호 등)의 일부를 유출 사이트에 공개하였다. 또한 1.6TB 크기에 달하는 데이터 전체를 구매 희망자에 한해 판매할 의향이 있다고 밝혔다. 현재, Swissport 社의 마비된 IT 시스템은 전부 복구된 상태이다.

△미즈노(Mizuno) 랜섬웨어 감염(2월)

2022년 2월, 일본의 스포츠용품 제조기업인 Mizuno사가 랜섬웨어 공격을 받았다. 해당 공격으로 인해 전화연결 중단, 제품 배송 지연, 웹 사이트 마비 등 사업 운영에 큰 차질이 생겼다. 특히 시스템 마비로 인해 고객들은 야구, 골프, 소프트볼, 배구, 수영 등과 관련된 다양한 제품들을 구매하지 못하였다. Mizuno 社는 이번 랜섬웨어 공격에 대한 입장을 밝히고 있지 않으며, 보안업체의 어떠한 질문에도 답변하지 않고 있다.

△Bridgestone Americas 랜섬웨어 감염(2월)

2022년 2월, LockBit 랜섬웨어 공격 그룹은 미국의 세계 최대 타이어 제조기업인 Bridgestone Americas를 공격했다고 주장했으며, 해당 기업으로부터 탈취한 데이터를 모두 공개하겠다고 협박하였다. Bridgestone Americas는 랜섬웨어 감염사고의 피해 규모를 조사하기 위해 보안 기업과 협력 중이며, 탈취당한 데이터를 확인하기 위해 분석 중이라고 밝혔다.

△DENSO 랜섬웨어 감염(3월)

2022년 3월 10일, Pandora 랜섬웨어는 자동차 부품 제조업체인 DENSO를 공격하고 데이터를 탈취하였다. DENSO는 네트워크에 대한 외부에서의 불법 접속을 감지하고 바로 차단하여 다른 네트워크 장비에 대한 영향이 없음을 확인하였다. 반면에 Pandora 랜섬웨어 공격 그룹은 DENSO 社 네트워크를 공격하여 1.4TB 크기에 달하는 데이터(구매 주문서, 기술 설계도, 비공개 계약서 등)를 탈취했다고 주장하였다. 

이번 보고서는 데일리시큐 자료실에서도 다운로드 가능하다. 


◆국내 최대 의료기관 정보보호 컨퍼런스 MPIS 2022 개최◆

-주최: 데일리시큐

-후원: 보건복지부·대한병원정보협회·대한병원정보보안협의회

-대상: 전국 국공립 의료기관, 대학병원 및 민간 대중소형 병원 개인정보보호, 정보보안 책임자·실무자, 정보보호 시스템 관리자 

-일시: 2022년 5월 24일 화요일 (오전9시~오후5시)

-장소: 더케이호텔서울 가야금홀 및 로비

-참석비용: 병원/의료 공공기관 관계자 무료참석

-의료기관 이외 관계자유료참석: 의료기관/의료분야 공공기관 이외 참석자는 11만원(VAT 포함)

-교육이수: 공무원 및 일반병원 담당자 정보보호 및 개인정보보호 교육 이수 7시간 인정(CPPG 7시간 인정)

-보안전시회: 국내·외 최신 개인정보보호/정보보안 솔루션 소개

-문의: 데일리시큐 길민권 기자(mkgil@dailysecu.com)

-사전등록클릭

★정보보안 대표 미디어 데일리시큐!★