[아이뉴스24 최은정 기자] 미국의 대규모 보험사 CNA가 최근 신규 랜섬웨어인 '피닉스 크립토락커'의 공격으로 온라인 서비스가 중단되는 등 사업 운영에 차질을 빚은 것으로 나타났다.
28일(현지시간) 블리핑컴퓨터 등 외신에 따르면 CNA는 피닉스 크립토락커에 감염돼 약 1만5천개의 기기가 암호화된 것으로 파악됐다. 감염된 기기에는 가상사설망(VPN)으로 접속한 원격근무 직원들의 PC도 포함됐다.
CNA는 같은 날 홈페이지를 통해 "정교한 사이버 공격으로 사내 네트워크가 중단됐으며 회사 이메일 등 특정 시스템이 영향을 받았다"며 "지난 21일 사건 확인 즉시 외부 포렌식 전문가팀을 통해 전반적인 사고 조사를 진행하고 있다"고 밝혔다. 사법당국에도 이를 알렸고 추후 조사 시 협력할 것이라고도 했다.
그러면서 "현재 사내 시스템을 네트워크에서 분리한 상태"라며 "이를 직원들에게 알리고 최선을 다해 고객을 지원할 수 있도록 해결 방법을 제공했다"고 덧붙였다.
국내 한 보안 전문가는 "최근 해커들이 금융·보험업계를 주요 랜섬웨어 타깃으로 삼는 이유는 해당 업계가 다른 업계 대비 비교적 높은 몸값을 지불할 만한 능력이 된다고 인식하기 때문"이라며 "피해 기업이 금전 지불 협상에 임하지 않더라도 자신들이 탈취한 고객정보를 악용해 지속적으로 괴롭히기도 한다"고 설명했다.
블리핑컴퓨터에 따르면 이번 공격 배후에는 러시아 기반의 해커그룹인 '이블 코프(Evil Corp)'가 있을 것으로 추정된다. 이 그룹이 기존에 유포한 랜섬웨어와 이번에 발견된 피닉스 크립토락커의 구성이 유사하다는 이유에서다.
이블 코프는 지난해 7월 미국의 스마트워치 제조사인 '가민'에 신종 랜섬웨어 웨이스티드로커(WastedLocker) 공격을 가해 사내 시스템과 주요 서비스를 마비시킨 전력을 갖고 있다.
이 그룹은 가민을 상대로 데이터 복호화 비용 1천만 달러(한화 약 113억원)를 요구한 것으로 알려졌다. 일부 외신은 가민이 해당 공격으로 일부 데이터를 유실했을뿐 아니라 결국 해커에게 수백만 달러를 지불했다고 보도했다.
당시 국내 보안기업 안랩 측은 "웨이스티드로커는 프로그램에 전달되는 특정 매개 변수 조건에 따라 암호화 범위를 컨트롤 할 수 있는 명령 인터페이스가 존재한다는 것이 특징"이라며 "이를 통해 해커는 이미 확보한 리소스 내에서 특정 대상만 선정해 암호화할 수 있다"고 분석하기도 했다.
이번에 발견된 피닉스 크립토락커 랜섬웨어 역시 기존 웨이스티드로커의 또 다른 유형일 것이란 분석이 제기되고 있다.
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기