지난 주 두 번째 랜섬웨어 걸렸다는 발표...이번 주에는 정보가 유출되었다는 소식
방대한 규모라 보안 구멍 많은 듯...지금은 범인들에게 돈을 주지 않겠다는 의지 표명

[보안뉴스 문가용 기자] 호주의 대형 선박 업체인 톨(Toll)이 랜섬웨어 공격을 받은 뒤 데이터가 유출되었다는 증거는 어디에서도 찾을 수 없었다고 발표했다가, 이번 주 “일부 데이터가 탈취되었다”고 발표 내용을 번복했다.


지난 주 톨은 고객들에게 “IT 시스템 일부에서 랜섬웨어가 발견돼 일부 서비스 운영을 중단했다”고 발표했다. 올해 들어 두 번째로 겪는 랜섬웨어 사건이었다. 그런데 여기에 더해 “해커들이 랜섬웨어로 시스템을 감염시키기 전에 서버에 침투해 일부 정보를 다운로드 하는 데 성공했다”는 소식이 더해진 것이다.

문제의 서버에는 이전 근무자와 현재 근무자들의 개인정보는 물론 기업 고객들과의 계약 내용까지 저장되어 있었다고 한다. 하지만 톨은 “기업 고객들의 운영 관련 기밀들은 노출되거나 영향을 받지 않았다”고 발표했다.

이번 사건과 연루된 랜섬웨어는 네필림(Nefilim)인 것으로 알려져 있다. 네필림 운영자들은 랜섬웨어 공격을 하기 전에 데이터를 훔쳐간 뒤, 피해자가 돈을 내지 않을 경우 이 정보를 공개하겠다는 협박을 하는 것으로 알려져 있다. 하지만 톨은 “범인들이 요구한 돈을 내지 않겠다”는 입장이며, “아직까지도 범인들은 정보를 공개하지 못하고 있는 상황”이라고 주장했다.

톨 측은 공식 발표를 통해 “현재 공격자들이 서버에 저장된 정보를 일부 빼간 것을 확인한 상태이며, 정확히 어떤 정보가 새나갔는지를 확인 중에 있다”고 밝혔다. 그러면서 “네필림 공격자들은 피해자가 거래에 응하지 않을 경우 ‘다크웹’에 데이터를 유출시키는 것으로 알려져 있다”며, “우리가 흔히 사용하는 인터넷 공간에 유출될 일은 없어 보인다”고 설명했다.

현재 톨이 내부에서 진행하고 있는 조사는, 공격 사후 분석에 필요한 기술적 난이도 등을 생각했을 때 앞으로 최소 수주 동안 진행되어야 더 많은 정보가 나올 수 있을 것으로 예상된다. 톨은 외부 전문가들을 초대해 이 과정을 서두르고 있다고 하며, 이번 사건으로 영향을 받은 것으로 보이는 모든 사람들에게 연락을 취하는 중이라고 한다.

톨은 4만 명이 넘는 직원과, 전 세계를 아우르는 유통망을 보유한 거대 기업으로, 현재 50개국 1200개 지역에서 운영되고 있다. 따라서 공격 표면이 드넓고, 민감한 정보가 풍부하다. 올해만 랜섬웨어에 두 번 감염된 것도 방대한 영역에서 보안 강화를 미처 다 적용하지 못하고 있어서이기도 하다.

참고로 올해 1월 톨에서 발생한 랜섬웨어 공격과 연루된 것은 메일토(Mailto)라는 이름의 랜섬웨어였다. 이 두 가지 공격은 현재까지 서로와 무관하게 벌어진 것으로 보인다.

3줄 요약
1. 1월 메일토 랜섬웨어에 걸렸던 호주 대형 선박 회사 톨, 이번에는 네필림 랜섬웨어에 걸림.
2. 원래는 일부 시스템에만 공격이 있었고 정보 유출은 없었다고 발표했음.
3. 하지만 이번 주 정보 유출이 있었다고 새롭게 발표함. 네필림은 원래 데이터 유출로도 유명.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>