2024년 03월 랜섬웨어 동향 보고서

1. 랜섬웨어 통계

랜섬웨어 데이터 유출 통계

랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된, 데이터 유출 사이트 35곳의 정보를 취합한 결과이다.

2024년 3월(3월 1일 ~ 3월 31일)에 발생한 데이터 유출 현황을 랜섬웨어 진단명 별로 비교하였을 때 “LockBit” 랜섬웨어가 43건으로 가장 많은 데이터 유출이 있었고, “Play” 랜섬웨어와 “BlackBasta” 랜섬웨어가 각각 34건과 29건의 유출 사례를 기록했다.

 

[그림 1] 2024년 3월 진단명별 데이터 유출 현황

 

2024년 3월(3월 1일 ~ 3월 31일)에 발생한 데이터 유출 건을 국가별로 비교하였을 때 미국이 54%로 가장 높은 비중을 차지했고, 캐나다가 9%로 그 뒤를 따랐다.

 

[그림 2] 2024년 3월 국가별 데이터 유출 비율

 

2024년 3월(3월 1일 ~ 3월 31일)에 발생한 데이터 유출 건을 산업별로 비교하였을 때 제조/공급 분야가 가장 많은 공격을 받았고, 의료/제약 분야와 건설/부동산 분야가 그 뒤를 따랐다.

 

[그림 3] 2024년 3월 산업별 데이터 유출 현황

 

2. 랜섬웨어 동향

국내/외 랜섬웨어 피해 사례

2024년 3월(3월 1일 ~ 3월 31일) 한 달간 랜섬웨어 동향을 조사한 결과, 스코틀랜드의 국립 보건 서비스가 "INC Ransom" 조직의 공격으로 데이터가 유출된 정황이 발견됐다. 또한, 스위스 정부와 일본의 자동차 제조 업체 Nissan에서 각각 "Play"와 "Akira" 랜섬웨어의 영향으로 유출된 데이터 정보를 공개했다. 한편, 미국의 콜로라도주 국선 변호인실과 온타리오주 해밀턴시 행정 기관은 지난 2월에 발생한 랜섬웨어 공격의 복구 작업을 진행 중인 소식이 전해졌다.

 

[그림 4] 국내 / 외 랜섬웨어 피해 타임라인

 

 

스위스 정부, Play 랜섬웨어 피해 사례

3월 초, 스위스 정부에서 "Play" 랜섬웨어 공격의 영향으로 유출된 데이터의 분석 결과를 발표했다. "Play" 측은 작년에 스위스 정보통신 업체를 공격해 탈취한 데이터를 유출 사이트에 공개했다. 당시 스위스 정부는 피해 업체가 여러 정부 기관에 서비스를 제공하고 있어 공격의 영향을 받을 우려가 있다고 언급했다. 이후 진행된 사건 조사에서 유출된 데이터 중 약 65,000개가 정부의 것임을 확인했다고 전했다. 여기에는 기술 정보와 기밀 정보 외에도 이름과 주소 등의 개인정보가 포함됐다고 덧붙였다. 피해 정부 측은 3월 말까지 행정 조사를 마무리할 예정이라고 공지했으며 이후 추가된 내용은 없는 것으로 확인된다.

 

일본 자동차 제조 업체 Nissan, Akira 랜섬웨어 피해 사례

일본의 자동차 제조 업체인 Nissan에서 랜섬웨어 조직이 유출한 데이터에 대해 공지했다. 피해 업체는 호주와 뉴질랜드에 위치한 센터가 공격받으면서 일부 데이터가 유출된 정황을 언급했다. 당시 "Akira" 측에서는 자신들이 센터를 공격해 100GB의 데이터를 탈취했다고 주장하는 글을 게시했다. 이후 피해 업체는 유출된 데이터를 조사해 고객과 직원의 개인정보가 포함된 사실을 확인했다고 전했다. 또한, 영향을 받은 약 10만 명에게 관련 내용을 전할 예정이며 개인이 수신하는 모든 통신의 발신자를 확인할 것을 권고했다.

 

스코틀랜드 국립 보건 서비스, INC Ransom 피해 사례

스코틀랜드의 국립 보건 서비스가 랜섬웨어 공격을 받아 데이터가 유출된 정황이 발견됐다. 피해 기관은 사건 조사 과정에서 환자 정보의 일부가 외부로 유출된 사실을 확인해 관련 당사자에게 연락할 예정이라고 공지했다. 또한, 유출된 정보의 규모를 파악하기 위한 조사를 진행 중이며 더 많은 정보가 유출될 가능성을 배제할 수 없다고 언급했다. 한편, "INC Ransom" 측은 자신들이 피해 기관을 공격해 3TB에 달하는 데이터를 탈취했다고 주장하는 글을 게시했다. 이에 대해 피해 기관은 랜섬웨어 조직의 주장을 인지하고 있으며 정보의 공유를 제한하기 위해 노력할 것이라고 전했다.

 

미국 콜로라도주 국선 변호인실, 랜섬웨어 피해 사례

미국의 콜로라도주 국선 변호인실이 랜섬웨어 공격으로 개인정보가 유출된 정황을 공지했다. 피해 기관은 2월 초에 내부 시스템이 공격받아 암호화돼 운영을 제한한다고 발표했다. 이후 사건 경위를 조사하면서 홈페이지를 통해 피해 복구 현황을 업데이트했다. 한편, 조사 과정에서 이름, 사회보장번호 및 의료 정보 등이 저장된 파일이 유출된 사실을 발견했다고 언급했다. 이에 따라 개인에게 신원 도용 및 사기 사건에 대한 경계심을 유지할 것을 권고했다.

 

미국 온타리오주 해밀턴시 행정 기관, 랜섬웨어 피해 사례

3월 말, 미국 온타리오주에 위치한 해밀턴시의 행정 기관에서 랜섬웨어 피해 복구 현황을 공지했다. 피해 기관은 지난 2월 말에 발생한 랜섬웨어 공격으로 일부 시스템의 운영이 중단되는 사태가 발생했음을 알렸다. 이에 대해 중단된 서비스는 직원이 수동으로 대응하며, 대중교통과 응급 서비스 등의 주요 서비스는 정상적으로 운영한다고 전했다. 이후, 피해 확산 방지를 위한 격리 조치가 완료돼 시스템 복구와 재건축에 중점을 두고 작업 중이라고 발표했다. 이번 사건에 대한 배후자는 알려진 바가 없으며, 피해 기관의 홈페이지에서 복구 현황을 확인할 수 있다.