8

[소식] Ransomeware vs U.S.

바이든 대통령은 미국 사이버 보안 강화를 위한 행정명령에( 사이버보안강화 - 백악관 ) 5월 12일 서명했습니다. 이는 사이버 공격에 대한 대응을 현대화 하고 사법 당국이 수사에 필요한 정보를 필요한 시점에 접근 할 수 있도록 하는 내용이 포함되어 있습니다.

미국은 작년 12월에 발생한 SoloarWind이후 여러가지 사이버 공격의 대상이 되고 있습니다. ransomeware를 이용한 공격 또한 많이 발생하고 있으며 이러한 공격은 사회 기반망에도 영향을 미치고 있습니다. 최근에도 여러가지 ransomeware 사건이 발생하였으며 해당 사건들 중 일부를 소개하고자 합니다.

미국 최대의 연료 파이프라인 가동 중단

5월 7일 미국 최대의 연료 파이프라인인 Colonial Pipeline이 Ransomeware의 공격을 탐지하고, 이에 대응하기 위해 파이프라인의 운영을 중단했습니다. Colonial Pipeline은 걸프만에 위치한 정유공장에서 미국 남부 및 동부로 정유를 운송하기 위해 설치된 파이프라인입니다. 길이는 5500마일에 달하고 하루에 약 250만 배럴을 운송하여 동부해안에서 소모되는 연료의 45%를 담당하고 있습니다.

pipeline-map.jpg

FBI등 정부 기관은 수사에 착수했으며, 해당 공격을 DarkSide라는 랜섬웨어 범죄집단의 소행으로 추정하고 있습니다. 실제로 사건 발생 당일, Darkside는 다크넷에 사과문을 공개했으며 "Colonial Pipeline"를 직접적으로 언급하지는 않았지만 “오늘의 뉴스”라는 말을 사용하며 “우리의 목표는 돈을 버는 것이지 사회적 문제를 일으키려는 게 아니다” 라고 이야기했습니다.

송유관 운영중단의 영향으로 버지니아주, 조지아주, 노스캐롤라이나주, 사우스캐롤라이나주 등에서는 기름을 구입하기 위해서 많은 사용자가 몰리면서 상당 수의 주유소에서 연료가 고갈되었습니다.

운영중단 2일 뒤인 5월 9일부터 일부 파이프 측선들의 가동을 시작했으며, 12일 운영 재개를 하겠다는 성명을 발표했습니다. 하지만 완전히 정상화된 것은 아니며 간헐적인 운영중단이 발생할 수 있음을 이야기했습니다.

Tulsa시 온라인 서비스 마비

Tulsa시는 오클라호마주에서 두번째로 큰 도시로, 약 40만명의 인구가 살고 있습니다.

5월 8, 9일 주말동안 Tulsa시의 네트워크에 Ransomeware가 배포되었으며 이를 확인한 시는 확산을 막기 위해서 해당 시스템을 폐쇄시켰습니다. 이로 인해서 Tulsa의 여러 온라인 시스템은 이용불가 상태가 되었으며, Tulsa 시의회, 경찰, 311 웹사이트 또한 보수를 위해 폐쇄되었습니다.

Tulsa시 경찰은 페이스북에 관련 내용을 아래와 같이 공지하였으며, 시민 정보가 도난당하지는 않았다고 말했지만 일부 데이터가 유실된 것으로 생각되고 있습니다.

TulsaRansomeware.PNG

Tulsa시가 랜섬웨어 공격을 받아 시민에게 서비스를 제공하는 많은 프로그램이 현재 기술적 문제를 겪고 있습니다. 고객 정보는 해킹되지 않았으나, 시 웹사이트에 접근이 불가능할 수 있으며 네트워크 서비스에 지연이 발생할 수 있습니다.

워싱턴 경찰 vs Babuk Ransomeware 갱단

4월 26일 Babuk ransomeware 갱단은 메트로폴리탄 경찰청을 공격하여 250GB에 달하는 정보를 유출했다고 밝혔습니다. 해당 집단은 자신의 웹사이트에 유출된 정보와 관련된 스크린샷을 공개하며 메트로폴리탄 경찰청을 협박했습니다. 해당 스크린샷의 폴더 이름에는 여러 중요한 정보가 있으며, Babuk 갱단은 1월 6일 미국 국회의사당 습격과 관련된 자료를 언급하기도 했습니다. 또한 Babuk은 “당신들 보다 0day를 먼저 찾을 수 있다” 라고 말하며 기관을 조롱하는 말도 하였습니다.

stolen-folders.jpg

파일 이름이 삭제된 상태의 유출된 스크린샷

메트로폴리탄 경찰청은 FBI에 연락해 해당 사건의 조사를 진행했습니다.

5월 11일 Babuk은 자신이 요구하는 몸값을 경찰청이 맞추어 주지 못했다고 말하며, 150MB에 달하는 정보를 다크웹에 공개했습니다. 해당 자료에는 메트로폴리탄 경찰들의 개인정보가 포함되어 있었습니다. 또한 Babuk에서 유출한 스크린샷을 보면, 요구한 몸값이 400만 달러임을 유추할 수 있습니다.

babukmoney2.png

미국 재무부가 일부 랜섬웨어 조직들과의 협상을 불법 행위라고 명시하였기 때문에 메트로폴리탄 경찰청이 협상에 응하기는 어려워 보이지만 Babuk에서 유출하려고 하는 정보에는 비밀리에 경찰을 돕는 요원들의 정보가 있어 난감한 상황에 놓여있습니다.

결론

중요한 정보들을 디지털 데이터로 대부분 저장하고 있는 현대에서, 해당 정보를 인질로 삼아 대가를 요구하는 ransomeware는 새로운 방식의 위협입니다. 또한 파일의 데이터가 손상됨에 따라 운영 시스템에 문제를 야기하고 기반망 마비등의 큰 위협까지 발생할 수 있습니다.

이러한 ransomeware의 위협을 막기 위해서 항상 보안상태를 최신으로 유지하고, 자료를 주기적으로 백업하며 파일에 대한 접근을 확실히 구분하는 것이 필요합니다. 또한 가장 중요한 부분은 출처가 확실하지 않거나 의심되는 파일은 열어보지 않도록 하여야 합니다.

참고 자료

https://www.bbc.com/korean/international-57073544
https://www.bleepingcomputer.com/news/security/largest-us-pipeline-shuts-down-operations-after-ransomware-attack/

https://www.bleepingcomputer.com/news/security/city-of-tulsas-online-services-disrupted-in-ransomware-incident/
https://www.facebook.com/tulsapolice/posts/10158140013203663

https://www.bleepingcomputer.com/news/security/dc-police-confirms-cyberattack-after-ransomware-gang-leaks-data/
https://www.bleepingcomputer.com/news/security/ransomware-gang-leaks-data-from-metropolitan-police-department/