2021년 09월 랜섬웨어 동향 보고서

1. 랜섬웨어 통계

랜섬웨어 데이터 유출 통계

랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된, 데이터 유출 사이트 23곳의 정보를 취합한 결과이다.

 

2021년 9월(9월 1일 ~ 9월 30일)에 발생한 데이터 유출 현황을 랜섬웨어 진단명 별로 비교하였을 때 "LockBit" 랜섬웨어가 69건으로 가장 많은 데이터 유출이 있었고, "Conti" 랜섬웨어가 38건으로 두번째로 많이 발생했다.

 

[그림 1] 2021년 9월 진단명별 데이터 유출 현황

 

2021년 9월(9월 1일 ~ 9월 30일)에 발생한 데이터 유출 건을 국가별로 비교하였을 때 미국이 51%로 가장 높은 비중을 차지했고, 영국과 이탈리아가 각각 7%와 6%, 캐나다와 프랑스가 4%로 그 뒤를 따랐다.

 

[그림 2] 2021년 9월 국가별 데이터 유출 비율

 

2021년 9월(9월 1일 ~ 9월 30일)에 발생한 데이터 유출 건을 산업별로 비교하였을 때 제조/공급 분야가 가장 많은 공격을 받았고, 기술/통신 분야 및 건설/부동산 분야가 그 뒤를 따랐다.

 

[그림 3] 2021년 9월 산업별 데이터 유출 현황

 

2. 랜섬웨어 동향

국내/외 랜섬웨어 피해 사례

2021년 9월(9월 1일 ~ 9월 30일) 한 달간 랜섬웨어 동향을 조사한 결과, 태국의 방콕 항공사와 에티오피아 항공사가 "LockBit" 랜섬웨어의 공격을 당했고, "Vice Society" 랜섬웨어가 미국의 의료 업체 United Health Center를 공격했다. 또한, 일본 광학 및 복사 제품 업체 Olympus와 국내 유명 식품 업체가 "BlackMatter" 랜섬웨어의 공격을 받은 사건이 있었다.

 

[그림 4] 국내/외 랜섬웨어 피해 타임라인

 

태국 방콕 항공사, LockBit 랜섬웨어 피해 사례

지난 9월 초, 태국의 방콕 항공사가 사이버 공격을 받았다. "LockBit" 랜섬웨어 조직은 자신들이 운영하는 데이터 유출 사이트에 항공사의 데이터를 게시했으며 이를 빌미로 랜섬머니를 요구했다. 피해 업체는 조사 결과 이번 공격으로 인해 자격 증명이 유출됐다고 알렸다. 외신은 Accenture 소프트웨어를 통해 랜섬웨어가 유입돼 시스템이 암호화 됐다고 밝혔지만 Accenture 소프트웨어와 피해 기업 측에서는 해당 주장에 대해 근거가 없다고 반박했다.

 

에티오피아 항공사, LockBit 랜섬웨어 피해 사례

에티오피아 항공사가 사이버 공격을 받았다. "LockBit" 랜섬웨어 조직은 자신들이 방콕 항공사와 더불어 에티오피아 항공사의 데이터를 탈취했다고 주장했지만 현재 "LockBit" 측이 운영하는 데이터 유출 사이트에 피해 업체의 데이터는 게시되지 않은 것으로 확인됐다.

 

일본 광학 및 복사 제품 업체 Olympus, BlackMatter 랜섬웨어 피해 사례

일본 광학 및 복사 제품 업체 올림푸스(Olympus)가 사이버 공격을 받았다. 피해 기업측은 이번 공격으로 인해 올림푸스의 유럽, 중동 및 아프리카 지사의 네트워크에 영향이 있었으며 현재 사건에 대해 조사 중이라고 알렸다. 또한, 파트너 사 및 고객들에게 고객 서비스에는 영향을 받지 않았다고 공지했다. 외신은 랜섬노트에 "BlackMatter" 랜섬웨어의 데이터 유출 사이트가 포함돼 있기에 해당 랜섬웨어 조직의 소행으로 추정했다.

 

국내 유명 식품 업체, BlackMatter 랜섬웨어 피해 사례

국내 유명 식품 업체가 사이버 공격을 받아 데이터가 유출됐다. "BlackMatter" 랜섬웨어 측은 자신들이 운영하는 데이터 유출 사이트에 피해 기업에서 탈취한 데이터 약 150GB를 게시했으며 해당 데이터에는 기업의 중요 문서, 개인 정보 및 공인인증서 등이 포함돼 있었다. 피해 기업 측은 8월경, 사이버 공격에 의해 해당 기업 미국 지사의 데이터가 유출됐다고 공지했지만 이번 "BlackMatter" 랜섬웨어의 공격에 대해선 언급하지 않았다.

 

미국 캘리포니아 주 의료 업체 United Health Centers, Vice Society 랜섬웨어 피해 사례

지난 9월경, 미국 캘리포니아 주 의료 업체 United Health Centers가 사이버 공격을 받았다. 피해 기업측은 이번 공격으로 인해 기업의 전체 네트워크를 차단해 운영에 큰 차질이 생겼으며 백업 본을 통해 데이터를 복구하고 있다고 밝혔다. 랜섬웨어 측은 United Health Centers의 탈취한 데이터를 자신들이 운영하는 데이터 유출 사이트에 게시했고, 해당 데이터에는 환자들의 민감한 정보들이 포함돼 있었다. 또한, "Vice Society" 측은 미국 정부의 네트워크 보호 정책에 대해 반감을 보이는 글과 함께 본인들은 병원, 대학 가리지 않고 공격을 수행할 것이라는 메시지를 외신에게 공개했다.