2023년 12월 랜섬웨어 동향 보고서

1. 랜섬웨어 통계

랜섬웨어 데이터 유출 통계

랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된, 데이터 유출 사이트 30곳의 정보를 취합한 결과이다.

2023년 12월(12월 1일 ~ 12월 31일)에 발생한 데이터 유출 현황을 랜섬웨어 진단명 별로 비교하였을 때 “LockBit” 랜섬웨어가 85건으로 가장 많은 데이터 유출이 있었고, “Play” 랜섬웨어와 “8Base” 랜섬웨어가 각각 26건과 24건의 유출 사례를 기록했다.

 

[그림 1] 2023 년 12 월 진단명별 데이터 유출 현황

 

2023년 12월(12월 1일 ~ 12월 31일)에 발생한 데이터 유출 건을 국가별로 비교하였을 때 미국이 48%로 가장 높은 비중을 차지했고, 영국이 8%로 그 뒤를 따랐다.

 

[그림 2] 2023 년 12 월 국가별 데이터 유출 비율

 

2023년 12월(12월 1일 ~ 12월 31일)에 발생한 데이터 유출 건을 산업별로 비교하였을 때 제조/공급 분야가 가장 많은 공격을 받았고, 의료/제약 분야가 그 뒤를 따랐다.

 

[그림 3] 2023 년 12 월 산업별 데이터 유출 현황

 

2. 랜섬웨어 동향

국내/외 랜섬웨어 피해 사례

2023년 12월(12월 1일 ~ 12월 31일) 한 달간 랜섬웨어 동향을 조사한 결과, 미국의 의료 업체 Delta Dental이 "Clop" 랜섬웨어 공격을 받은 사건의 조사 결과를 공개했다. 또한, 국내 골프 업체와 일본의 자동차 금융 서비스 제공 업체 Toyota Financial Services가 각각 "BlackSuit"와 "Medusa" 랜섬웨어 공격으로 데이터가 유출된 정황이 발견됐다. 한편, 미국의 오하이오주 복권 업체와 미국의 프린터 공급 업체 Xerox가 사이버 공격을 받은 사실을 공개했으며 각각 "DragonForce"와 "INC Ransom" 랜섬웨어에서 자신들의 소행이라고 주장했다.

 

[그림 4] 국내 / 외 랜섬웨어 피해 타임라인

 

국내 골프 업체, BlackSuit 랜섬웨어 피해 사례

국내 골프 업체가 사이버 공격을 받아 데이터가 유출된 정황이 발견됐다. 피해 업체는 지난 11월 중순에 랜섬웨어 공격을 받은 이후 피해 업체로 사칭한 문자가 고객들에게 전송되는 2차 피해가 발생해 서비스 이용자들이 불편을 겪은 일이 있었다. 사건 당시 피해 업체에서는 서버 디스크가 파손돼 복구 중이며 회원들의 개인정보 유출은 없다고 주장한 것으로 알려졌다. 한편, "BlackSuit" 측이 운영하는 데이터 유출 사이트에서 피해 업체의 데이터 약 500GB를 발견했다. 이에 대해 내신은 유출된 데이터 중 피해 업체의 내부 데이터가 있으면 스피어 피싱 등의 추가 공격이 가능하다고 우려했다.

 

일본 자동차 금융 서비스 제공 업체 Toyota Financial Services, Medusa 랜섬웨어 피해 사례

일본의 Toyota 자동차 금융 서비스를 제공하는 Toyota Financial Services가 사이버 공격으로 데이터가 유출된 정황을 밝혔다. 지난달, 피해 업체는 유럽과 아프리카의 일부 시스템에서 무단으로 접근한 이력을 확인했다고 전했다. 이후 피해 업체가 고객에게 전송한 통지서에는 고객의 성명, 계약 정보 및 국제 은행 계좌 번호 등의 데이터가 유출됐다고 언급했다. 한편, "Medusa" 측은 자신들이 공격했다고 주장하며 탈취한 데이터를 삭제하는 대가로 피해 업체에 800만 달러를 요구하며 10일의 시간을 준 것으로 알려졌다. 10일이 지난 현재 "Medusa" 측의 데이터 유출 사이트에는 피해 업체에서 탈취한 모든 데이터가 공개됐다. 외신은 유출된 데이터로 금융사기 및 신원 도용 시도에 사용될 수 있다며 주의를 권고했다.

 

미국 의료 업체 Delta Dental, Clop 랜섬웨어 피해 사례

미국의 의료 업체 Delta Dental이 사이버 공격을 받아 개인정보가 유출된 정황을 공개했다. 피해 업체는 7월에 진행했던 내부 조사에서 기존에 사용하던 MOVEit Transfer가 5월에 공격받았음을 알게 됐다고 전했다. 또한 공격받는 당시에 시스템에는 피해 업체의 데이터가 저장된 상태였으며, 이로 인해 약 700만 명의 개인정보가 유출됐다고 언급했다. 이후 11월에 외부의 사건 조사가 완료되면서 12월에 보안 사고 위반 사항을 공개했다. 한편, 외신은 "Clop" 측에서 피해 업체를 공격했다고 주장하며 탈취한 데이터 전체를 토렌트로 다운로드할 수 있게 공개했다고 전했다. 이에 대해 유출된 개인정보에 주소, 사회보장번호 및 건강 관련 정보 등이 포함된다고 덧붙였다.

 

미국 오하이오주 복권 업체, DragonForce 랜섬웨어 피해 사례

미국 오하이오주의 복권 업체에서 사이버 공격으로 운영이 중단된 사건이 발생했다. 외신은 지난 24일에 발생한 이번 사건의 배후자로 "DragonForce" 랜섬웨어 조직을 언급했다. 해당 조직은 피해 업체를 공격해 고객과 직원 개인정보를 포함한 약 600GB의 데이터를 탈취한 것으로 알려졌다. 하지만 현재는 "DragonForce" 측이 운영하는 데이터 유출 사이트에서 이번 사건 관련 게시글이 확인되지 않고 있다. 또한, 피해 업체는 사건 당시에 홈페이지 사용이 가능한 것으로 전해졌으나 현재는 접속이 불가능한 상태로 확인된다.

 

미국 프린터 공급 업체 Xerox, INC Ransom 랜섬웨어 피해 사례

12월 말, 미국의 프린터 공급 업체 Xerox에서 사이버 보안 사고가 발생한 정황을 공지했다. Xerox 측은 자회사인 XBS (Xerox Business Solutions)가 공격받았으나 두 업체 모두 시스템 운영은 영향을 받지 않았다고 전했다. 하지만 사전 조사에서 XBS 측이 관리하던 개인정보의 유출 가능성이 발견돼 개인에게 통보할 예정이라고 언급했다. 이번 사건에 대해 외신은 "INC Ransom" 측에서 자신들의 소행이라고 주장하는 게시글을 보도했으나 현재는 해당 게시글이 확인되지 않는다.