2021년 4분기 랜섬웨어 동향 보고서

1. 랜섬웨어 피해 사례

2021년 4분기(10월 1일 ~ 12월 31일) 동안 랜섬웨어 동향을 조사한 결과, 국내/외에서 "콘티(Conti)", "아보스락커(AvosLocker)" 등의 랜섬웨어로 인한 피해가 다수 발견되었다. 10월에는 대만의 유명 하드웨어 제조 업체 Gigabyte가 "콘티(Conti)" 랜섬웨어 공격을 받았고, 11월과 12월에는 글로벌 소매 업체 MediaMarkt와 미국 제조 업체 McMenamins가 각각 "아보스락커(AvosLocker)"와 "콘티(Conti)" 랜섬웨어 공격을 받아 피해가 발생했다.

 

[그림 1] 2021년 4분기 랜섬웨어 동향

 

콘티(Conti) 랜섬웨어 피해 사례

콘티(Conti) 랜섬웨어는 위자드 스파이더(Wizard Spider)라고 불리는 러시아 사이버 범죄 조직에 의해 운영되는 것으로 알려졌다. 해당 조직은 다수의 업체를 공격해 파일을 암호화한 후 탈취한 정보의 유출을 빌미로 랜섬머니를 요구했으며, 최근에는 Apache의 Log4j 제로데이 취약점인 CVE-2021-44228을 악용해 악성코드를 유포했다.

 

[그림 2] 2021년 4분기 Conti 랜섬웨어 피해 사례

 

일본 제조업체 JVCKenwood 피해

지난 10월 초, 일본 제조업체 JVCKenwood의 유럽 지사가 사이버 공격을 받아 운영에 차질을 빚었다. 피해 업체는 이번 공격으로 인해 정보 유출의 가능성이 있으며, 자세한 내용은 확인 후 공지할 예정이라고 언급했다. 콘티 랜섬웨어 측은 피해 업체를 공격했다고 주장하며 탈취한 데이터 약 1.5TB 중 일부를 직접 운영하는 데이터 유출 사이트에 게시했다.

 

미국 출판 업체 Sandhills Global 피해

미국의 출판 업체 Sandhills Global이 랜섬웨어 공격을 받았다. 이 공격으로 인해 피해 업체는 시스템 중 일부가 영향을 받아 웹사이트가 접속되지 않는 등의 문제가 발생했다. 외신은 피해 업체가 사건 직후 고객들에게 이 사건과 관련한 공지문을 보냈다고 알렸으며, 콘티 랜섬웨어 공격을 받은 것이라고 추정했다. 하지만 현재 콘티 측이 운영하는 데이터 유출 사이트에 피해 업체의 데이터는 게시되지 않았다.

 

미국 제조 업체 McMenamins 피해

지난 12월 중순, 미국의 제조 업체 McMenamins가 사이버 공격을 받았다. 피해 업체는 이번 공격으로 인해 보유하고 있는 서버 중 일부가 암호화 됐고, 랜섬웨어 공격의 추가 확산을 방지하기 위해 사용중인 시스템을 종료했다고 밝혔다. 또한, 관련 사건에 대해 수사 기관 및 보안 업체와 협력해 조사 중이라고 언급했다. 콘티 랜섬웨어 측은 피해 업체를 공격했다고 주장하며 탈취한 데이터를 자신들이 운영하는 데이터 유출 사이트에 스크린샷으로 게시했다.

 

아보스락커(AvosLocker) 랜섬웨어 피해 사례

지난 3분기 경 등장한 아보스락커(AvosLocker) 랜섬웨어는 4분기에도 꾸준한 활동량을 보이고 있다. 해당 랜섬웨어는 엔드포인트 보안 솔루션을 무력화하기 위해 공격 대상 시스템을 윈도우 안전 모드로 재부팅한 후 파일 암호화를 진행한다. 또한, 공격 과정 중 원격 관리 도구인 AnyDesk를 설치해 공격자가 지속해서 시스템에 접근하고 조작할 수 있다.

 

[그림 3] 2021년 4분기 AvosLocker 랜섬웨어 피해 사례

 

미국 금융 기관 Pacific City Bank 피해

지난 10월 초, 미국 금융 기관 Pacific City Bank가 랜섬웨어 공격을 받은 사실을 인정하고 관련 정보를 공개했다. 피해 기관은 지난 공격으로 인해 대출 신청서, 고객사 및 클라이언트 관련 정보 등이 유출된 것을 확인했다고 알렸다. 현재, 아보스락커 측은 피해 기관이 랜섬머니 지불을 거부했다고 주장하며 자신들이 운영하는 데이터 유출 사이트에 탈취한 정보 전부를 게시했다.

 

대만 하드웨어 제조업체 Gigabyte 피해

10월 말, 대만의 하드웨어 제조업체 Gigabyte가 사이버 공격을 받아 데이터가 유출된 정황이 발견됐다. 외신에 따르면 유출된 정보에는 급여, 개인 정보 등 금융 관련 자료 등이 있는 것으로 알려졌다. 현재, 아보스락커 측은 피해 업체를 공격했다고 주장하며 자신들이 운영하는 데이터 유출 사이트에 탈취한 정보 전부를 게시했다.

 

기타 랜섬웨어 피해 사례

2021년 4분기에는 다수의 배후가 밝혀지지 않은 랜섬웨어에 의한 피해 사례가 존재하며. 10월부터 12월까지 의료 기관 및 정부 기관에 대한 랜섬웨어 공격이 다량 발생했다.

 

[그림 4] 2021년 4분기 기타 랜섬웨어 피해 사례

 

이스라엘 의료 기업 Hillel Yaffe Medical Center 피해

10월경, 이스라엘 하데라의 의료 기업 Hillel Yaffe Medical Center가 병원 시스템에 영향을 미치는 랜섬웨어 공격을 받았다. 이 공격으로, 병원에서는 대체 시스템을 이용해 환자를 치료하고 있으며, 긴급한 수술을 제외하고는 정상 운영되고 있다고 밝혔다. 또한, 이스라엘 사이버 보안국은 이번 사건을 중대한 사건으로 분류하고, 이스라엘의 병원 시스템이 무력화된 것은 이례적인 일이라고 발표했다. 현재는 피해 병원의 CT 및 MRI 스캐너를 포함한 중요 장비가 정상 작동해 운영을 재개했다고 알렸다.

 

캐나다 뉴펀들랜드 및 래브라도 시 피해

지난 10월 말, 캐나다 뉴펀들랜드 및 래브라도 지방이 사이버 공격을 받아 심각한 혼란을 빚었다. 피해 지역은 이번 공격으로 인해 대규모 정전이 일어났으며 주민들은 의료 센터나 911 긴급 구조 서비스를 이용할 수 없었다고 보고했다. 피해 의료 기관은 간단한 의료 서비스 예약을 취소하거나 일정을 변경했으며 응급 처치 및 예방 접종과 같이 중요한 사안에 대해서는 운영을 중단할 수 없어 수기로 기록 하는 방법을 선택해 정상적으로 운영했다.

 

미국 방송사 Sinclair Broadcast Group 피해

미국의 방송사 Sinclair Broadcast Group이 랜섬웨어 공격을 받아 데이터가 탈취됐다고 알렸다. 사고 당시 방송사는 피해를 줄이기 위한 조치를 취하고 조사에 착수했으며 정부 기관에 알렸다고 밝혔다. 또한, 이번 사고로 인해 정규 뉴스 방송 대신 라이브 스트림을 통한 방송을 해야했다. 현재는 다시 방송 운영을 재개했지만 그래픽 표시 문제와 같은 문제점이 발견되며 이전과 같은 정상 운영은 힘들다고 발표했다.

 

영국 노동당 피해

지난 11월경, 영국의 노동당은 랜섬웨어 공격으로 인해 데이터 일부가 유출되었다고 당원들에게 알렸다. 공격 당시 보안 전문가들 및 관계 당국에 즉시 신고하여 사건에 대해 조사했으며 데이터 유출의 범위와 영향은 알려지지 않았다고 발표했다. 또한, 노동당은 이번 사건의 영향을 받을 수 있는 구성원들에게 의심스러운 피싱에 대해 주의의 메시지를 남겼으며 온라인 계정을 보호하기 위해 이중 인증을 활성화할 것을 권고했다.

 

미국 인력 관리 솔루션 제공업체 Kronos 피해

12월경, 미국의 인력 관리 솔루션 제공업체 Kronos가 랜섬웨어 공격을 받았다. 이번 공격으로 "Kronos Private Cloud"를 활용한 UKG 솔루션을 사용할 수 없으며 해당 클라우드 서버를 사용하지 않는 UKG 솔루션에는 영향을 받지 않았다고 밝혔다. 현재 해당 공격에 대해 조사중에 있지만 서비스 이용이 중단됨에 따라 고객에게 시스템을 다시 사용할 수 있게 하기까지 몇 주가 소요될 것이라고 알렸다.

 

2. 랜섬웨어 통계

2021년 4분기(10월 1일 ~ 12월 31일)에 활동이 많았던 랜섬웨어 TOP3의 구글 트렌드 검색어 조사 결과 그리프(Grief) 랜섬웨어가 가장 많이 검색됐다. 특히 그리프 랜섬웨어는 4분기 동안 다양한 국가의 제조/공급 또는 기술/통신 분야의 업체를 공격했다. 이 중, 검색량이 가장 높은 시기인 11월 3주 차에는 미국의 전미총기협회(National Rifle Association)의 피해사례가 있었다. 콘티 랜섬웨어의 검색량이 가장 높은 시기인 10월 1주차에는 일본 제조업체 JVCKenwood와 미국 출판 업체 Sandhills Global을 대상으로한 공격이 있었다. 마지막으로 락빗(LockBit) 랜섬웨어는 11월 1주차에 검색량이 일부 증가했는데 이 시기에는 블랙메터(BlackMatter) 랜섬웨어가 운영을 중단한 후 데이터 유출 관련 정보를 락빗 측이 운영하는 데이터 유출 사이트로 옮긴 이슈가 있었다.

 

[그림 5] 구글 트렌드 - 분기별 랜섬웨어 관심도 비교

 

다음은 랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된 데이터 유출 사이트 49곳의 정보를 취합한 결과이다.

 

2021년 4분기(10월 1일 ~ 12월 31일)에 발생한 데이터 유출 현황을 월별로 비교하였을 때 11월에 데이터 유출이 가장 많이 발생했다.

 

[그림 6] 2021년 4분기 월별 데이터 유출 현황

 

2021년 4분기(10월 1일 ~ 12월 31일)에 발생한 데이터 유출 건을 국가별로 비교하였을 때 미국이 45%로 가장 높은 비중을 차지했고, 독일이 6%, 프랑스와 캐나다가 각각 5%로 그 뒤를 따랐다.

 

[그림 7] 2021년 4분기 국가별 데이터 유출 비율

 

2021년 4분기(10월 1일 ~ 12월 31일)에 발생한 데이터 유출 건을 산업별로 비교하였을 때 제조/공급 분야가 가장 많은 공격을 받았고, 기술/통신 분야 및 도소매업/전자상거래 분야가 그 뒤를 따랐다.

 

[그림 8] 2021년 4분기 산업별 데이터 유출 현황