보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

랜섬웨어 단체 록빗, 영국 국방 관련 업체의 내부 정보 유출시켜

입력 : 2023-09-07 01:51
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
물리 보안 전문 회사가 록빗의 사이버 공격에 당했다. 그러면서 군 시설들의 민감한 내용들이 노출됐다. 업체는 큰 일이 벌어진 게 아니라는 입장이다.

[보안뉴스 문정후 기자] 지난 달 영국에서 첫손에 꼽히는 물리 보안 업체 하나가 록빗(LockBit)이라는 랜섬웨어 그룹의 침해 공격에 당했다. 록빗은 해당 업체의 네트워크 내부로 침입해 일부 데이터에 접근하는 데 성공했으나, 그 양이 많지는 않았다. 그럼에도 그 중에 민감한 정보가 섞여 있었다. 영국 국방부 내 여러 부서들의 물리적 안전까지 위협할 수 있는 정보들도 있었다고 한다.

[이미지 = gettyimagesbank]


물리 보안 업체에서의 사이버 보안 사고
사건이 발생한 건 8월 초. 현재 기준 세계에서 가장 악랄한 랜섬웨어 조직인 록빗(LockBit)이 영국의 물리 보안 업체인 자운(Zaun Ltd.)에 침투하는 데 성공했다. 자운은 외곽 울타리와 보안 게이트, 차량 진입 통제 장치 등 각종 물리 보안 장비를 만들고 설치하는 업체였다. 자운은 9월 1일, 8월 초에 있었던 사건을 공개하며 “공격자들이 생산 장비를 제어하는 PC 한 대에 침투하는 데 성공했다”고 밝혔다.

하지만 자운은 공격자들이 해당 PC에 어떻게 침투했는지는 상세히 밝히지 않았다. 다만 그 컴퓨터에는 윈도 7이 설치되어 있었다고만 알렸다. 윈도 7은 2009년에 처음 공개된 OS로, MS의 지원은 이미 2020년에 종료된 물건이다. 다만 보안 업데이트만 2023년 1월까지 진행된 바 있다. 생산 공장들에 오래된 OS가 아직까지 설치되어 사용되는 건 흔한 일이기에 자운의 이러한 고백이 경악스러운 건 아니다.

많은 산업 현장에서 지원이 종료된 OS들이 사용되고 있다. 이유는 여러 가지다.
1) 너무 예전에 만들어진 장비들이라 최신 OS와 호환이 되지 않아서.
2) 최신 OS로 업데이트 하려면 장비를 끄고 서비스를 중단해야 하는데, 이런 절차가 가능하지 않아서.
3) 생산과 서비스 유지가 너무 중요한 나머지 보안에 대해 아무도 신경 쓰지 않아서.

그나마 다행인 건 자운에는 보안 솔루션들이 설치되어 있었고, 그래서 록빗은 파일 암호화까지는 진행하지 못했다. 따라서 자운의 사업 행위가 중단된다거나 하는 일은 발생하지 않았다. 하지만 록빗은 10GB의 데이터를 훔쳐가는 데 성공했다. 10GB는 자운이 보유하고 있는 데이터의 0.74%에 해당한다고 하며, 따라서 양 자체로서는 많다고 할 수 없다.

공격자들이 가져간 데이터에는 다음과 같은 것들이 포함되어 있는 것으로 추정된다.
1) 과거 이메일
2) 과거 주문 내역
3) 제품의 설계 및 스케치
4) 프로젝트 관련 문건
하지만 이 중에 기밀은 없었다고 자운은 주장했다.

피해는 얼마나 컸나?
민감한 정보는 포함되어 있지 않다는 자운의 주장은 영국 현지 매체들이 보도하는 내용과 사뭇 다르다. 여러 매체들이 “록빗이 자운의 민감한 정보를 다크웹에서 유출시키고 있다”고 고발하고 있기 때문이다. 게다가 유출된 정보에는 영국 국방부와 관련된 것들도 있었다고 한다.

한 보도에 의하면 이번에 록빗이 가져간 데이터에는 다음이 포함되어 있었다고 한다.
1) 영국 공군 기지에 설치된 보안 장비 정보
2) 영국 남부의 한 군 연구 기지와 관련된 정보
3) 웨일즈 서부의 영국 군 막사와 관련된 정보
4) 영국의 여러 교도소들과 관련된 정보
5) 군과 첩보 기관의 장비 주문 내역

이런 보도들이 나오자 자운은 보도자료를 통해 “현재 공격자들이 유출시키고 있는 정보는 사실상 자운의 홈페이지에 공개된 장비 소개 정보나 고객 정보와 다를 바가 없다”고 반박했다. 즉 민감한 정보가 아니라 이미 공개된 정보가 취합된 것 뿐이라는 것이다. “공격자들이 이 정보들을 가지고 갔다고 해서 후속 공격을 더 정교하게 진행할 수 있을 거라고 보이지 않습니다.”

3줄 요약
1. 영국의 주요 군 기지에 물리 보안 장비 제공하던 서드파티 업체, 록빗에 당함.
2. 일부 기지에 설치된 보안 장비들이 무엇인지 공개됨.
3. 업체 측은 “이미 공개된 제품 정보가 공개된 것일 뿐”이라는 입장.

[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
<보안뉴스>의 보안전문 기자들이 선정한 2024년 주요 보안 키워드 가운데 가장 파급력이 클 것으로 보는 이슈는?
점점 더 지능화되는 AI 보안 위협
선거의 해 맞은 핵티비즘 공격
더욱 강력해진 랜섬웨어 생태계
점점 더 다양해지는 신종 피싱 공격
사회기반시설 공격과 OT 보안 위협
더욱 심해지는 보안인력 부족 문제
제로트러스트와 공급망 보안
가속화되는 클라우드로의 전환과 이에 따른 보안위협
모바일 활용한 보인인증 활성화와 인증보안 이슈
AI CCTV의 역할 확대