2022년 05월 랜섬웨어 동향 보고서

1. 랜섬웨어 통계

랜섬웨어 데이터 유출 통계

랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된, 데이터 유출 사이트 49곳의 정보를 취합한 결과이다.

2022년 5월(5월 1일 ~ 5월 31일)에 발생한 데이터 유출 현황을 랜섬웨어 진단명 별로 비교하였을 때 “LockBit” 랜섬웨어가 57건으로 가장 많은 데이터 유출이 있었고, “Conti” 랜섬웨어가 27건으로 두번째로 많이 발생했다.

 

[그림 1] 2022년 5월 진단명별 데이터 유출 현황

 

2022년 5월(5월 1일 ~ 5월 31일)에 발생한 데이터 유출 건을 국가별로 비교하였을 때 미국이 36%로 가장 높은 비중을 차지했고, 이탈리아, 영국 및 독일이 각각 6%, 호주 및 멕시코가 3%로 그 뒤를 따랐다.

 

[그림 2] 2022년 5월 국가별 데이터 유출 비율

2022년 5월(5월 1일 ~ 5월 31일)에 발생한 데이터 유출 건을 산업별로 비교하였을 때 제조/공급 분야가 가장 많은 공격을 받았고, 유통/무역/운송 분야가 그 뒤를 따랐다.

 

[그림 3] 2022년 5월 산업별 데이터 유출 현황

 

2. 랜섬웨어 동향

국내/외 랜섬웨어 피해 사례

2022년 5월(5월 1일 ~ 5월 31일) 한 달간 랜섬웨어 동향을 조사한 결과, 유럽의 전자도서관 앱 Onleihe의 제공 업체 EKZ가 “LockBit” 랜섬웨어 공격을 받은 정황이 발견됐으며, 페루 국가 정보국(DIGIMIN) 및 미국 항공 우주 소제 제조 업체 Parker-Hannifin이 “Conti” 랜섬웨어 공격을 받은 사건이 있었다. 또한, 잠비아 중앙은행과 대만 전자기기 제조 업체가 각각 “Hive” 랜섬웨어와 “LockBit” 랜섬웨어 공격을 받았다.

 

[그림 4] 국내/외 랜섬웨어 피해 타임라인

 

유럽 전자도서관 앱 제공 업체 EKZ, LockBit 랜섬웨어 피해 사례

5월경, 유럽의 전자도서관 앱 Onleihe의 제공 업체 EKZ가 “LockBit” 랜섬웨어 공격을 받아 운영에 차질을 빚고 있다고 발표했다. 피해 업체는 사이버 공격으로 인해 전자책 대출과 같은 앱 사용에 불편함을 초래했으며 업체에서 운영중인 사용자 포럼 등의 웹사이트 일부가 사용할 수 없었다고 알렸다. 또한, 피해 업체 측은 대부분의 시스템이 복원됐으나, 송장 발행 및 주문 처리는 여전히 영향을 받고 있다고 언급했다. 한편, “LockBit” 랜섬웨어 측은 자신들이 공격했다고 주장하며 직접 운영하는 데이터 유출 사이트에 피해 업체의 정보를 게시했다.

 

페루 국가 정보국(DIGIMIN), Conti 랜섬웨어 피해 사례

지난 5월 초, 페루의 국가 정보국(DIGIMIN)이 랜섬웨어 공격을 받아 정보가 유출된 정황이 발견됐다. 이번 공격으로 인해 공격 당시, 페루 국가 정보국의 웹 사이트는 접속되지 않았지만 현재는 복구된 것으로 확인됐다. 또한, 외신은 정보 기관에서의 정보 유출은 국가 안보에 위험을 초래할 수 있다고 경고했다. "Conti" 랜섬웨어 측은 피해 기관을 공격했다고 주장하며 자신들이 운영하는 데이터 유출 사이트에 탈취한 데이터 9.41GB를 게시했다. 

 

미국 항공 우주 소제 제조 업체 Parker-Hannifin, Conti 랜섬웨어 피해 사례

미국의 항공 우주 소제 제조 업체 Parker-Hannifin이 "Conti" 랜섬웨어 공격을 받아 정보가 유출됐다고 발표했다. 피해 업체는 지난 3월에 보안 사고가 발생했으며, 이 시기에 무단으로 접근한 흔적을 발견했다고 언급했다. 또한, 공격 당시 피해 업체의 IT 팀은 이번 공격과 관련된 시스템을 종료했으며 보안 전문가와 함께 사건 조사를 진행했다고 알렸다. 현재, "Conti" 랜섬웨어 측은 자신들의 데이터 유출 사이트에 피해 업체에서 탈취한 데이터 419GB를 전부 공개한 것으로 알려졌다.

 

잠비아 중앙은행, Hive 랜섬웨어 피해 사례

지난 5월경, 잠비아 중앙은행이 "Hive" 랜섬웨어 공격을 받아 운영에 영향을 미쳤다고 밝혔다. 피해 업체는 공격 당시 모니터링 시스템 및 웹사이트 등이 손상됐지만 현재는 시스템을 완전히 복구했다고 언급했다. 또한, 핵심 시스템을 보호했다고 언급했으나 이번 공격과 관련해서 공격 조직 등의 세부 정보는 발표하지 않고 있다. 외신은 피해 업체를 공격한 것으로 알려진 “Hive” 랜섬웨어 측이 랜섬머니를 요구했지만, 업체의 관계자들이 해커 조직에 랜섬머니를 지불하는 대신 공격한 해커들을 조롱했다고 알렸다.

 

대만 전자기기 제조 업체 Foxconn, LockBit 랜섬웨어 피해 사례

지난 5월 말, 대만의 전자기기 제조 업체 Foxconn이 운영 중인 멕시코 생산 공장에서 사이버 공격을 받아 운영에 영향을 미쳤다. 외신은 피해 업체 측에서 사이버 공격을 받아 관련 사항에 대해 조치하고 있으며 그룹 운영에는 영향을 미치지 않는다고 발표한 내용을 전달했다. 현재, "LockBit" 랜섬웨어 측은 6월 중순까지 랜섬머니를 지불하지 않으면 탈취한 데이터를 유출하겠다고 피해 업체를 협박 중인 것으로 알려졌다.