[단독]기업 기밀 ‘인질’로 “몸값내라”…안내면 디도스 공격 협박까지

랜섬웨어 공격에, 한국 대기업도 1년새 10여차례 뚫렸다
해커들, 해외법인 자료 빼낸 뒤, 내용 공개 협박하며 ‘몸값’ 요구

국내 주요 기업들의 해외 법인이 글로벌 해커단체의 랜섬웨어 공격을 받아 내부 기밀 자료가 대량으로 유출된 사실이 31일 확인됐다. 해커단체는 빼낸 파일 일부를 공개하며 금전을 요구하거나 제3의 구매자를 찾고 있어 추가 피해가 우려되는 상황이다.

31일 보안업계에 따르면 4월 CJ셀렉타(브라질 법인) LG생활건강(베트남 법인), 5월 LG전자(미국 앨라배마 법인) SL코퍼레이션(한국 자동차 부품 회사) 등 주요 기업들이 랜섬웨어 공격을 받아 기밀문서가 대량 유출됐다. 국내 주요 기업 피해 사례만 1년 새 10여 차례에 달한다. 일부는 직원 여권 및 신용카드 등 개인정보를 비롯해 물품 계약서 같은 공식 문서까지 통째로 유출된 것으로 확인됐다.

해킹단체들은 기업 내부망에 침입해 데이터 탈취 및 암호화 작업을 벌인 뒤 금전을 요구하고 있다. 일부 해킹단체는 각 기업 웹사이트 접속을 막아버리는 디도스(DDoS) 공격을 추가로 벌이겠다고 경고하기도 했다.

보안 전문가들은 최근 전 세계적으로 랜섬웨어 공격이 급증하면서 한국 기업의 피해가 더욱 커질 수 있다고 경고하고 있다. 지난달 미국 최대 송유관 운영사인 콜로니얼 파이프라인이 랜섬웨어 공격으로 운영이 전면 중단되는 등 미국 인프라에 대한 최악의 사이버 공격이 벌어졌다. 이 회사는 결국 해킹단체에 440만 달러(약 50억 원)에 달하는 몸값을 비트코인으로 지불했다.

기업 기밀자료 ‘인질’로 “몸값내라”… 안내면 디도스 공격 협박까지

주요 기업 랜섬웨어 피해

‘우리는 계약서와 고객정보, 직원 개인정보 등 많은 양의 데이터를 확보했다. 이 (암호화된) 문서는 일반적인 암호해독기로 풀 수 없다는 점을 기억해야 한다. 당신의 사이트는 곧 디도스(DDoS) 공격을 받을 것이다.’

4, 5월 CJ셀렉타, LG생활건강, SL코퍼레이션 랜섬웨어 공격에 잇달아 성공한 해킹단체 ‘아바돈(Avaddon)’은 자신이 개설한 웹사이트에 이 같은 글을 남겼다.

이들은 해킹에 성공했다는 것을 알리기 위해 민감한 기업 내부 정보를 빼내 누구라도 볼 수 있도록 공개한 상태다. 이 사이트는 불법적인 정보 교환 및 거래 등에 쓰이는 다크웹(특수 브라우저를 통해 접속할 수 있는 인터넷)을 통해 접속할 수 있다. 아바돈 측은 다크웹에 해킹 피해를 입은 기업뿐 아니라 몸값을 지불할 용의가 있는 추가 구매자를 찾고 있다는 글도 함께 남겨 놓은 상태다.

보안업계에 따르면 CJ셀렉타, LG생활건강은 몸값을 지불하지 않았고 SL코퍼레이션은 몸값 지불 기한을 31일 현재 약 하루 남겨 놓은 상태다. 아바돈 측은 SL코퍼레이션 관계자의 여권 사본과 개인카드 사진을 비롯해 사내 문서를 공개하며 금전 요구를 지속적으로 벌이는 중이다.

최근 전 세계 랜섬웨어 공격은 증가하고 수법도 교묘해지고 있다. 지금까지는 기업 내부망에 침입해 시스템을 잠그고 데이터를 사용하지 못하도록 암호화한 뒤 몸값을 요구하는 경우가 일반적이었다. 하지만 아바돈의 경우처럼 디도스 공격을 통한 추가 협박을 하는 식으로 진화하고 있다.

랜섬웨어 해킹집단은 동유럽, 러시아 지역에 집중돼 있는 것으로 알려졌다. 주로 북미 및 유럽 시장의 자금력 높은 글로벌 기업을 대상으로 공격을 벌인다. 한국 기업 중에는 지난해 LG전자, SK하이닉스, 한온시스템, 올해 들어 기아자동차, LG생활건강, CJ셀렉타 등 최근 1년 사이 피해 사례만 10여 건에 달한다.

지난해 8월 SK하이닉스 북미법인도 공격을 당했다. ‘메이즈(maze)’라는 해커단체는 SK하이닉스와 협상을 시도했다가 SK하이닉스가 이에 응하지 않자 최고경영자(CEO) 미팅, 본사회의, 업무보고 등으로 구성된 총 58개의 폴더 및 파일 목록을 고스란히 공개했다.

재계 관계자는 “랜섬웨어 피해를 당할 경우 고객사와 신뢰도에 악영향을 미칠 것을 우려해 협박에 응하기도 한다”라며 “언택트(비대면) 시대를 맞아 개인, 기업을 대상으로 한 랜섬웨어 공격이 늘고 있어 추가 피해가 우려되는 상황”이라고 말했다.

보안업계에서는 랜섬웨어 공격 사례가 가파르게 증가할 것이라고 전망하고 있다. 지난달 미국 송유관 운영사 콜로니얼 파이프라인은 해킹단체에 50억 원에 달하는 ‘몸값’을 지불했다. 지금까지 추가 해킹을 우려해 몸값을 지불하지 않는 게 기본 원칙이었지만 이를 깬 큰 예외 사례가 나온 것이다.

앞서 ‘다크사이드’로 알려진 러시아 해커집단은 지난달 콜로니얼 파이프라인에 랜섬웨어 공격을 성공해 서버를 마비시키고 100GB(기가바이트) 분량의 데이터를 빼돌리는 데 성공했다. 이 회사는 텍사스에서 뉴저지까지 길이 8851km의 송유관을 운영하며 동부지역 휘발유 등 유류 공급량의 45%를 차지한다. 랜섬웨어 공격으로 송유관 가동이 중단되면서 미국 일부 지역의 휘발유 가격이 최근 6년간 최고가로 뛰어오르는 등 혼란이 일었고, 이 회사는 결국 몸값을 지불하는 방법을 택했다.

이상진 고려대 정보보호대학원장은 “랜섬웨어 공격은 한 번 뚫리면 몸값을 지불하거나 유출된 기밀문서를 포기하는 것 외에 방법이 없어 사전 피해 예방이 무엇보다 중요하다”라며 “피해 예방을 위해 출처가 불명확한 이메일과 URL 링크 클릭을 주의하고 주요 자료는 정기적으로 백업해야 한다”고 말했다.

서동일 dong@donga.com·곽도영 기자