호주의 선박 업체 톨, 올해 두 번째 랜섬웨어에 정보 유출까지

지난 주 두 번째 랜섬웨어 걸렸다는 발표...이번 주에는 정보가 유출되었다는 소식
방대한 규모라 보안 구멍 많은 듯...지금은 범인들에게 돈을 주지 않겠다는 의지 표명

[보안뉴스 문가용 기자] 호주의 대형 선박 업체인 톨(Toll)이 랜섬웨어 공격을 받은 뒤 데이터가 유출되었다는 증거는 어디에서도 찾을 수 없었다고 발표했다가, 이번 주 “일부 데이터가 탈취되었다”고 발표 내용을 번복했다.

[이미지 = iclickart]

지난 주 톨은 고객들에게 “IT 시스템 일부에서 랜섬웨어가 발견돼 일부 서비스 운영을 중단했다”고 발표했다. 올해 들어 두 번째로 겪는 랜섬웨어 사건이었다. 그런데 여기에 더해 “해커들이 랜섬웨어로 시스템을 감염시키기 전에 서버에 침투해 일부 정보를 다운로드 하는 데 성공했다”는 소식이 더해진 것이다.

문제의 서버에는 이전 근무자와 현재 근무자들의 개인정보는 물론 기업 고객들과의 계약 내용까지 저장되어 있었다고 한다. 하지만 톨은 “기업 고객들의 운영 관련 기밀들은 노출되거나 영향을 받지 않았다”고 발표했다.

이번 사건과 연루된 랜섬웨어는 네필림(Nefilim)인 것으로 알려져 있다. 네필림 운영자들은 랜섬웨어 공격을 하기 전에 데이터를 훔쳐간 뒤, 피해자가 돈을 내지 않을 경우 이 정보를 공개하겠다는 협박을 하는 것으로 알려져 있다. 하지만 톨은 “범인들이 요구한 돈을 내지 않겠다”는 입장이며, “아직까지도 범인들은 정보를 공개하지 못하고 있는 상황”이라고 주장했다.

톨 측은 공식 발표를 통해 “현재 공격자들이 서버에 저장된 정보를 일부 빼간 것을 확인한 상태이며, 정확히 어떤 정보가 새나갔는지를 확인 중에 있다”고 밝혔다. 그러면서 “네필림 공격자들은 피해자가 거래에 응하지 않을 경우 ‘다크웹’에 데이터를 유출시키는 것으로 알려져 있다”며, “우리가 흔히 사용하는 인터넷 공간에 유출될 일은 없어 보인다”고 설명했다.

현재 톨이 내부에서 진행하고 있는 조사는, 공격 사후 분석에 필요한 기술적 난이도 등을 생각했을 때 앞으로 최소 수주 동안 진행되어야 더 많은 정보가 나올 수 있을 것으로 예상된다. 톨은 외부 전문가들을 초대해 이 과정을 서두르고 있다고 하며, 이번 사건으로 영향을 받은 것으로 보이는 모든 사람들에게 연락을 취하는 중이라고 한다.

톨은 4만 명이 넘는 직원과, 전 세계를 아우르는 유통망을 보유한 거대 기업으로, 현재 50개국 1200개 지역에서 운영되고 있다. 따라서 공격 표면이 드넓고, 민감한 정보가 풍부하다. 올해만 랜섬웨어에 두 번 감염된 것도 방대한 영역에서 보안 강화를 미처 다 적용하지 못하고 있어서이기도 하다.

참고로 올해 1월 톨에서 발생한 랜섬웨어 공격과 연루된 것은 메일토(Mailto)라는 이름의 랜섬웨어였다. 이 두 가지 공격은 현재까지 서로와 무관하게 벌어진 것으로 보인다.

3줄 요약
1. 1월 메일토 랜섬웨어에 걸렸던 호주 대형 선박 회사 톨, 이번에는 네필림 랜섬웨어에 걸림.
2. 원래는 일부 시스템에만 공격이 있었고 정보 유출은 없었다고 발표했음.
3. 하지만 이번 주 정보 유출이 있었다고 새롭게 발표함. 네필림은 원래 데이터 유출로도 유명.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)