동향 리포트/월간 동향 리포트

2023년 01월 랜섬웨어 동향 보고서

TACHYON & ISARC 2023. 2. 6. 17:45

1. 랜섬웨어 통계

랜섬웨어 데이터 유출 통계

랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된, 데이터 유출 사이트 38곳의 정보를 취합한 결과이다. 

2023년 1월(1월 1일 ~ 1월 31일)에 발생한 데이터 유출 현황을 랜섬웨어 진단명 별로 비교하였을 때 "LockBit" 랜섬웨어가 50건으로 가장 많은 데이터 유출이 있었고, "Snatch" 랜섬웨어가 29건으로 두번째로 많이 발생했다. 

 

[그림 1] 2023년 1월 진단명별 데이터 유출 현황

 

2023년 1월(1월 1일 ~ 1월 31일)에 발생한 데이터 유출 건을 국가별로 비교하였을 때 미국이 38%로 가장 높은 비중을 차지했고, 영국이 11%, 호주 및 캐나다가 6%로 그 뒤를 따랐다. 

 

[그림 2] 2023년 1월 국가별 데이터 유출 비율

 

2023년 1월(1월 1일 ~ 1월 31일)에 발생한 데이터 유출 건을 산업별로 비교하였을 때 제조/공급 분야가 가장 많은 공격을 받았고, 교육 서비스 및 정부/공공기관 분야가 그 뒤를 따랐다. 

 

[그림 3] 2023년 1월 산업별 데이터 유출 현황

 

2. 랜섬웨어 동향

국내/외 랜섬웨어 피해 사례

2023년 1월(1월 1일 ~ 1월 31일) 한 달간 랜섬웨어 동향을 조사한 결과, 호주 퀸즐랜드 공과대학 QUT가 "Royal" 랜섬웨어 공격을 받은 정황이 발견됐으며, 영국 우편 업체 Royal Mail과 호주 빅토리아 주 소방 구조대 FRV가 각각 "LockBit" 랜섬웨어와 "Vice Society" 랜섬웨어 공격을 받았다. 또한, 노르웨이 선급 협회 DNV가 랜섬웨어 공격을 받았으며, 인도 방위산업체 Solar Industries India가 "BlackCat" 랜섬웨어 공격을 받아 운영에 영향을 미친 사건이 있었다. 

 

[그림 4] 국내/외 랜섬웨어 피해 타임라인

 

호주 퀸즐랜드 공과대학 QUT(Queensland University of Technology), Royal 랜섬웨어 피해 사례 

1월 초, 호주의 퀸즐랜드 공과대학 QUT가 사이버 공격을 받아 운영에 영향을 미쳤다. 피해 기관은 내부 서버에 대한 무단 접근을 감지하고 추가적인 피해를 막기 위해 모든 IT 시스템을 종료하는 조치를 취했다고 알렸다. 또한, 이번 공격 으로 인해 직원과 재학생을 포함한 만 명 이상의 개인정보가 영향을 받았으며, 해당 정보에는 은행 계좌 번호 및 세금 파일 번호 등이 포함됐다고 밝혔다. 이후, 피해 기관은 보안 전문가와 협력을 통해 공격에 영향을 받은 시스템 중 대부 분을 복원했으며, 학교 운영 일정과 시험 일정을 2월 초까지 조정하겠다고 공지했다. “Royal” 랜섬웨어는 피해 기관에서 탈취한 것으로 주장하는 데이터 중 인사 및 재무 문서 등의 일부 정보를 자신들의 유출 사이트에 공개했다.

 

영국 우편 업체 Royal Mail, LockBit 랜섬웨어 피해 사례 

지난 1월 영국의 우편 및 택배 업체 Royal Mail이 랜섬웨어 공격을 받아 운영에 영향을 미쳤다. 피해 업체는 공식 발표를 통해 이번 공격으로 국제 배송 시스템이 영향을 받아 국제 배송 서비스를 사용할 수 없다고 발표했다. 외신은 공격 이후 피해 업체의 라벨 인쇄기에서 “LockBit” 랜섬노트가 출력됐다고 언급하며, 이번 공격이 “LockBit” 랜섬웨어 조직의 소행일 것이라고 예상했다. 현재, “LockBit” 측은 데이터 유출 사이트에 피해 업체에 대한 공격을 주장하는 글을 게시했고, 데이터 유출을 빌미로 피해 업체에게 랜섬머니를 요구했다.

 

호주 빅토리아 주 소방 구조대 FRV(Fire Rescue Victoria), Vice Society 랜섬웨어 피해 사례  

호주 빅토리아 주의 소방 구조대 FRV가 사이버 공격을 받아 데이터가 유출된 정황이 발견됐다. 피해 기관은 공식 발표를 통해 이번 공격으로 이메일 시스템을 포함한 다수의 서버가 중단됐지만, 비상 대응 서비스는 영향을 받지 않았다고 알렸다. 또한, 내부 직원 및 입사 지원자의 운전면허증과 여권 정보 등의 개인정보가 탈취된 정황을 발견했으며, 관련 피해자에게 신원 보호 서비스를 제공한다고 알렸다. “Vice Society”는 직접 운영하는 데이터 유출 사이트에 피해 업체에 대한 공격을 주장하며 관련 데이터를 게시했다.

 

노르웨이 선급 협회 DNV(Det Norske Veritas), 랜섬웨어 피해 사례 

1월 중순, 노르웨이의 선박 및 해양 설비 인증 기관인 선급 협회 DNV가 랜섬웨어 공격을 받아 운영에 영향을 받았다. 피해 협회에 따르면, 자사에서 서비스 중인 선박 관리 프로그램 ShipManager의 시스템이 랜섬웨어 공격을 받아 서버 를 종료하는 조치를 취했다고 알려졌다. 또한, ShipManager의 오프라인 기능은 계속 사용이 가능하며, 선박에 탑재된 다른 시스템 및 선박의 운항은 영향을 받지 않았다고 밝혔다. 현재, 피해 협회는 수사기관과 조사를 진행하고 있음을 밝 혔지만, 데이터 유출 여부와 랜섬머니 지불 등의 자세한 정보는 공개하지 않았다.

 

인도 방위산업체 Solar Industries India, BlackCat 랜섬웨어 피해 사례 

최근, 인도의 방위산업체 Solar Industries India가 사이버 공격을 받아 데이터가 유출된 사실이 밝혀졌다. “BlackCat” 측 은 피해 업체에 대한 공격을 주장하며, 자신들의 데이터 유출 사이트에 피해 업체의 CCTV 화면과 직원의 개인 정보 등 을 공개했다. 또한, 피해 업체가 소유하고 있는 여러 군사 무기의 결함 및 설계도와 같은 국가 군사 기밀 데이터를 포함 한 2TB의 정보를 탈취했다고 밝혔다. 현재, 피해 업체는 이번 공격에 대한 공식적인 입장을 밝히지 않고 있다.