2022년 02월 랜섬웨어 동향 보고서

1. 랜섬웨어 통계

랜섬웨어 데이터 유출 통계

랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된, 데이터 유출 사이트 49곳의 정보를 취합한 결과이다.

2022년 2월(2월 1일 ~ 2월 28일)에 발생한 데이터 유출 현황을 랜섬웨어 진단명 별로 비교하였을 때 “LockBit” 랜섬웨어가 52건으로 가장 많은 데이터 유출이 있었고, “Conti” 랜섬웨어가 31건으로 두번째로 많이 발생했다.

 

[그림 1] 2022년 2월 진단명별 데이터 유출 현황

 

2022년 2월(2월 1일 ~ 2월 28일)에 발생한 데이터 유출 건을 국가별로 비교하였을 때 미국이 32%로 가장 높은 비중을 차지했고, 영국이 9%, 이탈리아와 독일이 각각 7%로 그 뒤를 따랐다.

 

[그림 2] 2022년 2월 국가별 데이터 유출 비율

 

2022년 2월(2월 1일 ~ 2월 28일)에 발생한 데이터 유출 건을 산업별로 비교하였을 때 제조/공급 분야가 가장 많은 공격을 받았고, 기술/통신 분야가 그 뒤를 따랐다.

 

[그림 3] 2022년 2월 산업별 데이터 유출 현황

 

2. 랜섬웨어 동향

국내/외 랜섬웨어 피해 사례

2022년 2월(2월 1일 ~ 2월 28일) 한 달간 랜섬웨어 동향을 조사한 결과, 영국 생산 업체 KP Snacks가 “Conti” 랜섬웨어 공격을 받은 정황이 발견됐으며, 스위스 항공 서비스 업체 Swissport International과 미국 미식 축구팀인 49ers이 “BlackByte” 랜섬웨어 공격을 받은 사건이 있었다. 또한, 일본 전자상거래 업체 Mizuno와 슬로베니아 미디어 업체 PRO Plus가 랜섬웨어 공격을 받았다.

 

[그림 4] 국내/외 랜섬웨어 피해 타임라인

 

영국 생산 업체 KP Snacks, Conti 랜섬웨어 피해 사례

지난 2월 초, 영국의 생산 업체인 KP Snacks가 랜섬웨어 공격을 받아 유통에 영향을 미쳤다. 사건 직후 피해 업체는 주문 처리 및 상품 발송 문제를 해결하고 있으며, 관련 사건을 조사 중이라고 언급했다. 현재, “Conti” 랜섬웨어 측은 피해 업체를 공격했다고 주장하며 탈취한 데이터를 자신들이 운영하는 데이터 유출 사이트에 게시했다.

 

스위스 항공 서비스 업체 Swissport International, BlackByte 랜섬웨어 피해 사례

스위스의 항공 서비스 업체 Swissport International이 사이버 공격을 받아 운영에 차질을 빚었다. 외신은 이번 공격으로 인해 피해 업체의 웹사이트가 접속되지 않았고 일부 항공편이 지연됐다고 알렸다. 이에 대해 피해 업체는 피해를 본 서비스의 복구 및 사후 조치를 진행 중이라고 트위터에 게시했다. 또한, “BlackByte” 랜섬웨어 측은 자신들이 피해 업체를 공격했다고 주장하며 데이터 유출 사이트에 약 1.6TB에 달하는 탈취한 정보를 게시했다.

 

미국 미식 축구팀인 49ers, BlackByte 랜섬웨어 피해 사례

지난 2월 중순, 미국의 미식 축구팀인 49ers가 사이버 공격을 받아 운영에 영향을 미쳤다. 외신은 이번 공격으로 피해를 본 49ers가 보안 업체 및 국가 수사 기관과 협력해 관련 사건을 조사 중이라고 알렸다. 현재, “BlackByte” 랜섬웨어 측은 피해 업체에서 재무 관련 자료 등을 탈취했다고 주장하며 자신들이 운영하는 데이터 유출 사이트에 게시했다.

 

일본 전자상거래 업체 Mizuno, 랜섬웨어 피해 사례

일본의 전자상거래 업체 Mizuno가 사이버 공격을 받았다. 외신은 피해 업체가 사이버 공격을 받은 후, 웹 사이트에 시스템 문제가 발생했다는 내용의 공지를 띄웠다고 알렸다. 또한, 피해 업체를 통한 주문 등도 정상적으로 진행되지 않았다고 전했다. 현재, 외신은 이번 사건의 주체가 미국의 49ers를 공격한 “BlackByte” 랜섬웨어 측과 관련됐을 거로 추정하고 있지만, 피해 업체는 관련 사건에 대한 정보를 제공하지 않고 있다.

 

슬로베니아 미디어 업체 PRO Plus, 랜섬웨어 피해 사례

슬로베니아 미디어 업체 PRO Plus가 사이버 공격을 받아 운영에 영향을 미쳤다. 피해 업체는 이번 공격으로 인해 데일리 뉴스 쇼인 24UR을 취소했으며, 스트리밍 플랫폼 VOYO에서 콘텐츠 업로드나 라이브 방송 등의 사용이 제한됐다고 발표했다. 현재, 슬로베니아의 국가 사이버보안 대책 본부인 SI-CERT는 이번 사건에 대해 조사 중이며, 자세한 사항은 현시점에서 공개할 수 없다고 알렸다.