최근 사이버 보안 사고에서 캐나다 대형 석유 및 가스 파이프라인 운영사인 Trans-Northern Pipelines(이하 TNPI)는 2023년 11월에 내부 네트워크가 침해된 사실을 확인했다. ALPHV/BlackCat 랜섬웨어 그룹의 소행으로 추정된다.
TNPI는 온타리오-퀘벡에서 850킬로미터, 앨버타에서 320킬로미터에 이르는 광범위한 파이프라인 네트워크를 운영하고 있다. 이 파이프라인은 휘발유, 디젤 연료, 항공 연료, 난방 연료와 같은 정제된 석유 제품을 정유소에서 유통 터미널로 운송하는 데 중요한 역할을 한다.
사이버 공격은 TNPI의 네트워크 내 제한된 수의 내부 컴퓨터 시스템을 표적으로 삼았다. 정확한 침해 규모는 아직 조사 중이지만, ALPHV/BlackCat 랜섬웨어 조직은 회사 네트워크에서 190GB의 데이터를 유출했다고 주장하고 있다. 또한 이 랜섬웨어 그룹은 TNPI의 시스템에서 183GB의 문서를 훔쳤다고 주장한다.
공격자들은 몸값을 지불하지 않을 경우 탈취한 데이터 공개 위협 등 전형적인 랜섬웨어 운영 전술을 사용했다.
이전에 다크사이드, 블랙매터로 알려진 ALPHV/BlackCat은 2021년 11월부터 활동해 왔다. 이 그룹은 콜로니얼 파이프라인 사건과 같은 공격으로 악명이 높고, 이로 인해 광범위한 조사와 법 집행 기관의 조치가 이루어졌다. 법 집행 기관의 활동 중단 노력에도 불구하고 ALPHV/BlackCat은 다른 이름으로 다시 살아나 전 세계 조직을 계속 표적으로 삼고 공격하고 있다.
미국 연방수사국(FBI)은 2021년 11월부터 2022년 3월까지 전 세계 조직을 대상으로 한 60건 이상의 침해 사건이 ALPHV/BlackCat과 연관이 있다고 밝혔다. 이 그룹은 2023년 9월까지 전 세계 1,000개 이상 조직으로부터 3억 달러 이상의 몸값을 받아내는 등 상당한 액수의 몸값을 탈취한 것으로 알려져 있다.
지난 12월, FBI는 이 조직의 서버에 침투해 ALPHV/BlackCat의 운영을 중단시켰다. 그러나 랜섬웨어 그룹은 빠르게 활동을 재개해 법 집행 기관의 손이 닿지 않는 새로운 토르 URL을 운영했다.
TNPI와 기타 피해 조직은 시스템을 보호하고 ALPHV/BlackCat과 같은 정교한 사이버 위협을 방어하는 데 지속적인 도전에 직면해 있다. 사이버 보안 복원력과 대응 능력을 강화하기 위한 노력은 향후 중요 인프라에 대한 공격의 잠재적 영향을 완화하는 데 필수적이다.
■[G-PRIVACY 2024] 하반기 최대 개인정보보호&정보보안 컨퍼런스 개최 (7시간 보안교육 이수)
△일시: 2024년 3월 12일(화)
△장소: 서울 양재동 더케이호텔서울 2층 가야금홀
△주최: 데일리시큐
△참석대상자: 전국 공공기관 및 지자체, 교육기관, 공기업, 일반기업, 금융기관 등 개인정보보호 책임자, 개인정보보호 담당자, CISO, 정보보안 실무자 등 1,000여 명 이상(현업 보안업무와 관련 없는 자는 참석불가)
△전시회: 국내외 최신 정보보안 솔루션 소개
△보안기업 전시회 참가신청: 데일리시큐 길민권 기자 / mkgil@dailysecu.com
△참관객 사전등록: 클릭
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
