랜섬웨어그룹, 전 세계 'IT공급망' 공격 시작

한 달 전, 정육회사 JBS로부터 1100만 달러의 몸값을 받아냈던 랜섬웨어 조직 레빌(Revil)이 전 세계 수백 개의 조직과 수만 대의 컴퓨터에 대한 광범위한 공격을 시작했다고 월스트리트저널이 3일(현지시간) 보도했다.

보안 연구원들과 VSA 소프트웨어 공급업체 카세야(Kaseya)에 따르면, 레빌은 대기업과 기술서비스 공급업체들이 컴퓨터 네트워크 시스템에서 소프트웨어 업데이트를 관리하고 배포하는 용도로 널리 사용하는 카세야 VSA 대상 랜섬웨어 공격을 시작했다.
레빌은 컴퓨터에 침투해 악성 코드인 랜섬웨어로 시스템을 마비시키고 해제하는 몸값으로 비트코인을 받아내는 해킹 집단이다. 사이버 보안 전문가들에 따르면 이번 공격은 역대 최대 규모로 보이며 전 세계적으로 4만대의 컴퓨터를 감염시켰을 수도 있다고 한다. 이는 공급망에 대한 공격으로, 공격 대상이 공공 인프라로까지 확대되고 있음을 보여준다. 사이버 보안 회사인 엠시소프트의 위협 분석가인 브렛 칼로우는 이번 카세야 사건은 지금까지 발생한 사건 중 가장 크고 가장 심각한 것으로 보인다고 말했다. 스웨덴의 한 슈퍼마켓 체인점의 경우 이번 공격으로 일부 점포에서 현금 등록기가 마비되고 많은 점포가 일시적으로 문을 닫았다.

카세야는 지난주 말 공격을 눈치채고 즉시 서버를 폐쇄하는 한편, 소프트웨어를 사용하는 고객들에게 공지하기 시작했다. 현재까지는 카세야의 온라인 서비스 사용자가 아닌, 자체 서버로 소프트웨어를 실행하는 고객들만이 영향을 받은 것으로 보인다.
휴일 아침 업데이트에서 회사는 소프트웨어 사용자에게 추후 통지가 있을 때까지 VSA를 오프라인 상태로 유지할 것을 권고했다. 또한 자사의 클라우드 기반 서비스를 안전하게 시작할 때까지 오프라인 상태로 유지하도록 조치했다.

국토안보부의 사이버보안국은 카세야 사용자들에게 VSA 서버를 즉시 종료할 것을 권고했다. 보안국의 에릭 골드스타인 사이버 보안담당은 "보안국은 현 상황을 면밀히 모니터링하고 있으며 FBI와 협력해 정보를 수집하고 있다"고 말했다.

카세야는 3만 6000개가 넘는 고객 중 현재는 40곳 미만이 피해를 입었다고 말한다. 그러나 문제는 이들 고객 중 30곳 이상이 서비스 공급업체였다는 점이다. 공급업체는 잠재적으로 타격을 입을 수 있는 더 많은 고객을 보유하고 있다. 고객들은 대부분 중소기업으로 구성돼 있다.

VSA 해킹과 관련, 법무법인 셰이크하디베이컨은 "한 번에 이렇게 많은 회사들에 랜섬웨어 공격을 당한 것은 처음"이라고 말했다. 로펌은 6건의 랜섬웨어 피해자를 대변하고 있으며 6건의 공격으로 요구하고 있는 몸값은 건당 2만 5000달러에서 15만 달러에 달했다고 한다.

랜섬웨어는 해커들은 기업, 병원, 학교 및 다른 기관들을 대상으로 공격 범위를 넓혀 최근 몇 년 동안 국가의 가장 심각한 보안 문제로 부상했다. 수백만의 사람들이 코로나19 대유행 차단 기간 동안 보안이 덜 된 가정 인터넷 연결을 사용하기 시작하면서 공격자들은 점점 대담해졌다.

미시간 주를 방문 중인 바이든 대통령은 기자들에게 이번 공격에 대해 보고받았다며 현재 러시아를 포함한 여러 침투 가능성을 조사하고 있다고 말했다.


조민성 글로벌이코노믹 기자 mscho@g-enews.com