2024년 12월 랜섬웨어 동향 보고서

1. 랜섬웨어 통계

랜섬웨어 데이터 유출 통계

랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된, 데이터 유출 사이트 45곳의 정보를 취합한 결과이다.

2024년 12월(12월 1일 ~ 12월 31일)에 발생한 데이터 유출 현황을 랜섬웨어 진단명 별로 비교하였을 때 “RansomHub” 랜섬웨어가 51건으로 가장 많은 데이터 유출이 있었고, “Akira” 랜섬웨어와 “Killsec” 랜섬웨어가 각각 45건과 29건의 유출 사례를 기록했다.

 

[그림 1] 2024년 12월 진단명별 데이터 유출 현황

 

2024년 12월(12월 1일 ~ 12월 31일)에 발생한 데이터 유출 건을 국가별로 비교하였을 때 미국이 56%로 가장 높은 비중을 차지했고, 캐나다와 영국이 각각 7%와 4%로 그 뒤를 따랐다.

 

[그림 2] 2024년 12월 국가별 데이터 유출 비율

 

2024년 12월(12월 1일 ~ 12월 31일)에 발생한 데이터 유출 건을 산업별로 비교하였을 때 제조/공급 분야가 가장 많은 공격을 받았고, 의료/제약 분야와 기술/통신 분야가 그 뒤를 따랐다.

 

[그림 3] 2024년 12월 산업별 데이터 유출 현황

 

 

2. 랜섬웨어 동향

국내/외 랜섬웨어 피해 사례

2024년 12월(12월 1일 ~ 12월 31일) 한 달간 랜섬웨어 동향을 조사한 결과, 국내 경강선재 제조 업체가 "RansomHub" 랜섬웨어의 공격을 받은 소식이 전해졌다. 또한, 미국의 병원 Anna Jaques Hospital과 미국의 파일 전송 플랫폼 업체 Cleo가 각각 "Money Message"와 "Clop" 랜섬웨어의 공격으로 데이터가 유출된 정황이 발견됐다. 한편, 미국의 도넛 체인점 Krispy Kreme은 "Play" 랜섬웨어의 공격으로 운영에 영향을 받았으며, 미국 피츠버그의 대중교통 기관 PRT는 랜섬웨어 공격으로 운영이 일시적으로 중단된 정황이 알려졌다.

 

[그림 4] 국내 / 외 랜섬웨어 피해 타임라인

 

국내 경강선재 제조 업체, RansomHub 랜섬웨어 피해

12월 초, "RansomHub" 조직의 데이터 유출 사이트에서 국내 경강선재 제조 업체 관련 글이 발견됐다. "RansomHub" 조직은 자신들의 소행이라고 주장하며 해당 업체의 재무와 회계 및 보험 관련 정보 등을 샘플 파일로 공개했다. 이에 대해 해당 업체의 미국 현지 공장에서 발생한 사이버 보안 사고의 영향이라는 의견이 전해졌다. 현재는 데이터 유출 사이트에서 게시글을 확인할 수 있으며, 58GB에 달하는 데이터 전체가 공개된 것으로 확인된다.

 

미국 병원 Anna Jaques Hospital, Money Message 랜섬웨어 피해

미국의 병원 Anna Jaques Hospital에서 2023년에 발생한 랜섬웨어 사고로 개인정보가 유출된 정황을 뒤늦게 공지했다. 사고 당시에 피해 병원 측은 공격을 인지한 즉시 시스템 운영을 중단해 피해를 막고 조사를 진행한 것으로 전해졌다. 이에 대해 "Money Message" 조직 측은 자신들의 소행이라고 주장하며 사고 발생 1개월 만에 데이터 유출 사이트에 글을 게시했다. 이후, 피해 병원에서 탈취한 데이터 전체를 공개했으며, 해당 데이터는 현재까지도 확인 가능하다. 한편, 피해 병원은 사고 발생 11개월 후에 의료 정보와 건강 보험 정보 및 개인정보 등의 유출 정황을 확인했다는 조사 결과를 전했다.

 

미국 파일 전송 플랫폼 업체 Cleo, Clop 랜섬웨어 피해

미국의 파일 전송 플랫폼 업체 Cleo가 "Clop" 랜섬웨어 조직의 공격으로 데이터가 유출된 소식을 전했다. 피해 업체는 해당 공격이 제로데이 취약점을 이용해 네트워크를 침해하고 손상된 장치에 원격으로 접근하는 방식이라고 밝혔다. 한편, "Clop" 측은 피해 업체의 플랫폼을 이용하는 타 업체들의 데이터도 탈취했다고 주장하면서 협상에 응하지 않은 일부 업체의 이름을 나열했다. 또한, 이전에 탈취한 데이터는 서버에서 삭제하고 Cleo 플랫폼을 사용한 업체들의 데이터만 남겨둘 것이라고 언급했다.

 

미국 도넛 체인점 Krispy Kreme, Play 랜섬웨어 피해

12월 중순, 미국의 도넛 체인점 Krispy Kreme에서 랜섬웨어 공격으로 운영에 영향을 받은 정황이 발견됐다. 피해 체인점은 지난 11월 말에 사이버 보안 사고가 발생해 온라인 주문 등의 일부 서비스 운영이 중단됐다고 언급했다. 이에 대해 "Play" 조직은 자신들이 피해 업체를 공격해 개인정보 외에도 고객 문서와 재무 정보 등의 데이터를 탈취했다고 주장했다. 현재는 "Play" 조직의 데이터 유출 사이트에서 피해 체인점의 데이터 전체가 공개된 것으로 확인된다.

 

미국 피츠버그 대중교통 기관 PRT, 랜섬웨어 피해

12월 말, 미국 피츠버그 지역의 대중교통 기관인 PRT에서 랜섬웨어 공격을 받은 소식을 전했다. 피해 기관은 12월 중순에 철도 서비스가 일시적으로 중단되는 사태가 발생했다고 보고했다. 이후에 대중 교통 서비스는 정상 운행 중이지만, 고객 서비스 센터 등의 일부 승객 서비스가 여전히 공격의 영향을 받고 있다고 덧붙였다. 한편, 피해 기관은 해당 사건이 랜섬웨어 공격이라고 언급했으나 데이터 유출에 대한 세부 정보는 제공하지 않은 것으로 알려졌다. 또한, 공격의 배후라고 주장하는 랜섬웨어 조직은 아직 나타나지 않은 것으로 전해졌다.