잭 다니엘스 보유한 브라운포만, 레빌 랜섬웨어에 당해...암호화는 막고 유출은 못 막고
부자들이 자주 찾는 럭셔리 호텔 리츠 런던...예약 정보 유출돼 카드 사기 거래 이어져

[보안뉴스 문가용 기자] 잭 다니엘스라는 유명 양주 브랜드와 리츠 런던 호텔이 사이버 공격을 받아 민감 정보가 유출될 상황에 놓였다. 잭 다니엘스 브랜드의 소유 기업인 브라운포만(Brown-Forman)은 레빌(REvil) 랜섬웨어에 걸렸지만, 파일이 암호화 되는 것을 막을 수 있었다고 발표했고, 리츠 런던 측은 “8월 14일에 데이터 침해 사고가 발생한 것을 파악하게 되었다”고 발표했다.


하지만 레빌 랜섬웨어 갱단은 단순 파일 암호화만이 아니라 정보 유출까지도 함께 실행하는 공격 단체로 유명하다. 이들은 브라운포만으로부터 1테라바이트의 정보를 빼돌렸다고 주장했다. 그러면서 자신들이 개설한 데이터 노출 사이트의 주소를 공개하기도 했다. 브라운포만 측은 사법 기관을 비롯해 세계적인 수준의 서드파티 데이터 보안 전문가들과 함께 상황 해결에 몰두하고 있다고 발표했다. 그러면서 “범죄자들과의 협상은 없다”고 선언했다. 레빌 갱단도 “(브라운포만이) 협상에 응하지 않고 있다”고 발표해 브라운포만이 거짓을 말하지 않고 있다는 게 확인된다.

레빌은 여러 가지 측면에서 주목을 받고 있는 랜섬웨어다. 먼저 레빌은 RaaS, 즉 대여형 혹은 서비스형 랜섬웨어라는 사업 구조를 갖추고 있다. RaaS는 랜섬웨어를 개발하는 사람과 활용하는 사람이 계약을 맺고 서로를 도우며, 이익을 일정 비율로 나누는 형태다. 랜섬웨어가 보다 폭넓게 배포되는 형태라고 볼 수 있다. 그 다음 레빌은 파일 암호화와 정보 유출을 동시에 진행하는 대표적인 랜섬웨어이기도 하다. 암호화 피해자가 협상에 응하지 않을 경우 정보를 공개하겠다고 협박해 수익을 늘리기 위한 수법이다.

보안 업체 노비포(KnowBe4)의 전문가 제임스 맥퀴간(James McQuiggan)은 자사 블로그를 통해 “주장 그대로 1테라바이트의 데이터가 사라진 거라면, 공격자들이 피해자의 네트워크에 상당히 오랜 기간 동안 머물렀다는 뜻”이라고 말한다. “이렇게 많은 양의 데이터가 사라지기까지 아무도 몰랐다는 건, 꾸준히 오랜 시간 데이터 전송을 실시했다는 뜻밖에 되지 않습니다. 레빌 랜섬웨어 공격자들이 얼마나 치밀한지가 드러나는 부분입니다.”

한편 세계적인 고급 호텔 브랜드인 리츠 런던 측은 “사이버 공격 때문에 음식과 음료 저장 시스템에 문제가 생겼다”고 발표했다. 또한 해당 공격으로 방문자의 개인정보가 유출됐다고 알렸다. “사고 사실을 알게 되자마자 조사를 시작했습니다. 조사는 아직도 진행 중에 있으며, 무슨 일이 어떤 경로로 일어났고, 또 어떻게 비슷한 사고의 재발을 방지할 수 있는지 확인 중에 있습니다. 또한 이번 사건에 영향을 받은 것으로 보이는 모든 고객들에게 따로 연락을 취한 상황입니다.”

하지만 신용카드 정보는 해킹 당하지 않은 것으로 보인다고 리츠 런던 측은 보고 있다. 하지만 BBC의 보도에 의하면 해킹 이후 일부 고객들이 전화 사기 공격 시도를 경험했다고 한다. 예약을 건 고객들에게 호텔 직원인 척 전화를 걸고, 예약 정보를 가지고 대화를 진행해 고객들이 믿도록 만든 것이다. 그런 후 공격자들은 지불카드 정보를 확인해달라는 질문을 통해 카드 정보를 요구했다고 한다. 그리고 실제 사용자들이 하지도 않은 카드 거래가 있었다. 이중인증이 걸려 있던 경우라면, 은행 직원인 것처럼 전화를 하기도 했다고 한다.

리츠 런던은 세계적인 ‘럭셔리 호텔’로, 대부분의 고객들이 손꼽히는 부자들이다. 따라서 이번 사건으로 적잖은 손해가 야기될 것으로 예상되고 있다.

3줄 요약
1. 잭 다니엘스 만드는 양주 회사, 레빌 랜섬웨어에 걸려 데이터 유출된 것으로 보임.
2. 리츠 런던 호텔의 고객 정보 유출되는 바람에 지불카드 사기 범죄 발생 중.
3. 조사가 시작되고는 있지만 아직까지 별다른 수확은 없는 듯.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>