2021년 12월 랜섬웨어 동향 보고서

1. 랜섬웨어 통계

랜섬웨어 데이터 유출 통계

랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된, 데이터 유출 사이트 49곳의 정보를 취합한 결과이다.

 

2021년 12월(12월 1일 ~ 12월 31일)에 발생한 데이터 유출 현황을 랜섬웨어 진단명 별로 비교하였을 때 "LockBit" 랜섬웨어가 59건으로 가장 많은 데이터 유출이 있었고, "Conti” 랜섬웨어가 41건으로 두번째로 많이 발생했다.

[그림 1] 2021년 12월 진단명별 데이터 유출 현황

 

2021년 12월(12월 1일 ~ 12월 31일)에 발생한 데이터 유출 건을 국가별로 비교하였을 때 미국이 41%로 가장 높은 비중을 차지했고, 독일과 호주가 각각 8%와 7%, 프랑스와 캐나다가 6%로 그 뒤를 따랐다.

 

[그림 2] 2021년 12월 국가별 데이터 유출 비율

 

2021년 12월(12월 1일 ~ 12월 31일)에 발생한 데이터 유출 건을 산업별로 비교하였을 때 제조/공급 분야가 가장 많은 공격을 받았고, 기술/통신 분야 및 도소매업/전자상거래 분야가 그 뒤를 따랐다.

 

[그림 3] 2021년 12월 산업별 데이터 유출 현황

 

2. 랜섬웨어 동향

국내/외 랜섬웨어 피해 사례

2021년 12월(12월 1일 ~ 12월 31일) 한 달간 랜섬웨어 동향을 조사한 결과, 스웨덴 자동차 제조 업체 Volvo와 프랑스 IT 업체 Inetum Group에서 각각 "Snatch" 랜섬웨어와 "BlackCat" 랜섬웨어 공격을 받은 정황이 발견됐다. 또한, 미국 제조 업체 McMenamins와 노르웨어 숙박 업체 Nordic Choice Hotels 및 미국 전자상거래 업체 Shutterfly가 "Conti" 랜섬웨어의 공격을 받은 사건이 있었다.

 

[그림 4] 국내/외 랜섬웨어 피해 타임라인

 

스웨덴 자동차 제조 업체 Volvo, Snatch 랜섬웨어 피해 사례

지난 12월 중순, 스웨덴 자동차 제조 업체 Volvo가 사이버 공격을 받아 데이터가 유출된 정황이 발견됐다. 피해 업체는 공격 직후 관련 사실을 수사 당국에 알린 후, 사건을 조사하고 있다고 언급했다. 현재, "Snatch" 랜섬웨어 측은 피해 업체를 공격했다고 주장하며 탈취한 정보의 일부를 자신들이 운영하는 데이터 유출 사이트에 게시했다.

 

미국 제조 업체 McMenamins, Conti 랜섬웨어 피해 사례

미국의 제조 업체 McMenamins가 사이버 공격을 받았다. 피해 업체는 이번 공격으로 인해 보유하고 있는 서버 중 일부가 암호화 됐고, 랜섬웨어 공격의 추가 확산을 방지하기 위해 사용중인 시스템을 종료했다고 밝혔다. 또한, 관련 사건에 대해 수사 기관 및 보안 업체와 협력해 조사 중이라고 언급했다. "Conti" 랜섬웨어 측은 피해 업체를 공격했다고 주장하며 탈취한 데이터를 자신들이 운영하는 데이터 유출 사이트에 스크린샷으로 게시했다.

 

노르웨어 숙박 업체 Nordic Choice Hotels, Conti 랜섬웨어 피해 사례

12월 말, 노르웨이 숙박 업체 Nordic Choice Hotels이 "Conti" 랜섬웨어 공격을 받아 운영에 차질을 빚었다. 외신에 따르면 이번 공격으로 인해 피해 업체의 예약 시스템 및 객실 키 카드 사용 등에 문제가 발생한 것으로 알려졌다. 또한, 피해 업체는 랜섬웨어 측으로부터 랜섬머니 요구를 받은 적이 없으며, 추후 요구를 받더라도 협상하지 않겠다고 발표했다.

 

프랑스 IT 업체 Inetum Group, BlackCat 랜섬웨어 피해 사례

프랑스 IT 업체 Inetum Group이 사이버 공격을 받아 운영에 차질을 빚었다. 피해 업체는 공격의 확산을 방지하고 민감한 정보를 보호하기 위해 서버를 격리했다고 밝혔다. 또한, 관련 사건의 조사를 수사기관에 의뢰한 결과 최근 발견된 Apache의 Log4j 취약점과는 무관하다고 언급했다. 외신에서는 공격자가 "BlackCat" 랜섬웨어를 사용해 피해 업체를 공격한 것으로 추정하고 있다.

 

미국 전자상거래 업체 Shutterfly, Conti 랜섬웨어 피해 사례

최근 미국에서 사진을 주요 상품으로 하는 전자상거래 업체 Shutterfly가 랜섬웨어 공격을 받아 운영이 중단됐다. "Conti"랜섬웨어 측은 피해 업체를 공격했다고 주장하며 탈취한 데이터를 자신들이 운영하는 데이터 유출 사이트에 스크린샷으로 게시했다. 외신은 이들 조직이 게시한 정보에서 피해 업체의 계약서, 신용 카드 및 계정 등의 고객 정보를 확인했다고 언급했다. 피해 업체 측에서는 개인 및 금융 정보를 저장하지 않으므로 "Conti" 측이 주장하는 유출과는 관련이 없다고 발표했다.