록빗 43건, 플레이 34건, 블랙바스타 29건 유출 사례 기록
잉카인터넷 시큐리티대응센터, 2024년 3월 랜섬웨어 동향 보고서 발표

[보안뉴스 김영명 기자] 2024년 3월 한 달간 전 세계 랜섬웨어 해킹그룹의 공격을 분석한 결과 ‘록빗(LockBit)’ 랜섬웨어가 43건으로 가장 많은 데이터 유출을 기록했다. 이어 ‘플레이(Play)’ 랜섬웨어가 34건, ‘블랙바스타(BlackBasta)’ 랜섬웨어가 29건의 유출 사례를 기록했다.

[이미지=gettyimagesbank]

잉카인터넷 시큐리티대응센터는 최근 2024년 3월의 랜섬웨어 공격 사례를 분석한 보고서를 발표했다. 이번 보고서는 랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된, 데이터 유출 사이트 35곳의 정보를 취합한 결과다.

▲2024년 3월 진단명별 데이터 유출 현황[자료=잉카인터넷 시큐리티대응센터]

해당 보고서를 분석해보면 전 세계 데이터 유출 건을 국가별로 비교했을 때 미국이 54%로 가장 높았고, 캐나다가 9%로 그 뒤를 이었다. 다음으로 독일(6%), 영국(6%), 스웨덴(2%), 이탈리아(2%), 기타(20%) 등이었다.

▲2024년 3월 국가별 데이터 유출 비율[자료=잉카인터넷 시큐리티대응센터]

2024년 3월 1일부터 3월 31일까지 한 달 사이에 발생한 데이터 유출 사건을 산업별로 비교했을 때 제조·공급 분야가 가장 많은 공격을 받았다. 이어 의료·제약 분야, 기술·통신 분야, 건설·부동산 분야, 기술·통신 분야, 도소매업·전자상거래, 금융 서비스, 유통·무역·운송, 법률, 정부·공공기관, 교육 서비스 분야가 그 뒤를 따랐다.

▲2024년 3월 산업별 데이터 유출 현황[자료=잉카인터넷 시큐리티대응센터]

국내외 주요 랜섬웨어 피해 사례 살펴보니
올해 3월 한 달간 랜섬웨어 동향을 살펴보면 영국 북부의 스코틀랜드 국립 보건서비스가 ‘INC Ransom’ 조직의 공격으로 데이터가 유출된 정황이 발견됐다. 또한 스위스 정부와 일본의 자동차 제조업체 닛산(Nissan)에서 각각 ‘플레이’와 ‘아키라(Akira)’ 랜섬웨어의 공격으로 유출된 데이터 정보를 공개했다. 미국의 콜로라도주 국선 변호인실과 온타리오주 해밀턴시 행정기관은 올해 2월에 발생한 랜섬웨어 공격의 복구 작업을 진행 중인 소식이 전해졌다.

올해 3월 초, 스위스 정부에서 ‘플레이’ 랜섬웨어 공격의 영향으로 유출된 데이터의 분석 결과를 발표했다. ‘플레이’ 측은 지난해에 스위스 정보통신 업체를 공격해 탈취한 데이터를 유출 사이트에 공개했다. 당시 스위스 정부는 피해 업체가 여러 정부기관에 서비스를 제공하고 있어 공격의 영향을 받을 우려가 있다고 언급했다. 그 이후 진행된 사건 조사에서 유출된 데이터 중 약 6만 5,000개가 정부 데이터라는 걸 확인했다고 전했다. 여기에는 기술 정보와 기밀 정보 외에도 이름과 주소 등의 개인정보가 포함됐다고 덧붙였다. 피해 정부기관 측은 3월 말까지 행정 조사를 마무리할 예정이라고 공지했으며 이후 추가된 내용은 확인되지 않고 있다.

일본의 자동차 제조업체 닛산(Nissan)은 ‘아키라’ 랜섬웨어 피해 사례에 대해 공지했다. 닛산 측은 오스트레일리아와 뉴질랜드에 위치한 센터가 공격받으면서 일부 데이터가 유출된 정황을 언급했다. 당시 아키라 측에서는 자신들이 센터를 공격해 100GB의 데이터를 탈취했다고 주장하는 글을 게시했다. 그 이후 피해 업체는 유출된 데이터를 조사해 고객과 직원의 개인정보가 포함된 사실을 확인했다고 전했다. 또한 이번 랜섬웨어 공격으로 영향을 받는 10만여명에게 관련 내용을 전할 예정이며, 개인이 수신하는 모든 통신의 발신자를 확인할 것을 권고했다.

스코틀랜드 국립 보건 서비스는 INS 랜섬(INC Ransom) 피해 사례를 공지했다. 해당 기관은 사건 조사 과정에서 환자 정보의 일부가 외부로 유출된 사실을 확인해 관련 당사자에게 연락할 예정이라고 공지했다. 또한 유출된 정보의 규모를 파악하기 위한 조사를 진행 중이며, 더 많은 정보가 유출될 가능성도 배제할 수 없다고 언급했다. 한편, INC 랜섬웨어 그룹 측은 자신들이 피해 기관을 공격해 3TB에 달하는 데이터를 탈취했다고 주장하는 글을 게시했다. 이에 대해 피해 기관은 랜섬웨어 조직의 주장을 인지하고 있으며 정보의 공유를 제한하기 위해 노력할 것이라고 전했다.

미국 콜로라도주 국선 변호인실이 랜섬웨어 공격을 받아 개인정보가 유출된 정황을 공지했다. 피해 기관은 올해 2월 초에 내부 시스템이 공격받아 암호화돼 운영을 제한한다고 발표했다. 그 이후 사건 경위를 조사하면서 홈페이지를 통해 피해 복구 현황을 업데이트했다. 한편 사실 조사 과정에서 이름, 사회보장번호 및 의료 정보 등이 저장된 파일이 유출된 사실을 발견했다고 언급했다. 이에 따라 개인에게 신원 도용 및 사기 사건에 대한 경각심을 유지할 것을 권고했다.

올해 2월 말, 미국 온타리오주 해밀턴시 행정기관이 랜섬웨어 피해를 받았으며, 3월 말에는 이와 관련된 피해 복구 현황을 공지했다. 피해 기관은 지난 2월 말에 발생한 랜섬웨어 공격으로 일부 시스템의 운영이 중단되는 사태가 발생했다고 밝혔다. 이에 대해 중단된 서비스는 직원이 수동으로 대응했으며, 대중교통과 응급 서비스 등의 주요 서비스는 정상적으로 운영되고 있다고 전했다. 현재는 피해 확산 방지를 위한 격리 조치가 완료돼 시스템 복구에 중점을 두고 작업 중이라고 발표했다. 이번 사건의 공격 조직은 알려진 바가 없으며, 피해 기관의 홈페이지에서 복구 현황을 확인할 수 있다.
[김영명 기자([email protected])]