[아이뉴스24 김혜경 기자] 국내 식품기업 오리온이 '블랙캣(BlackCat)' 랜섬웨어 공격을 받은 것으로 나타났다.
18일 보안업계에 따르면 지난 16일 오후 1시 58분께 랜섬웨어 그룹 블랙캣이 운영하는 다크웹 페이지의 피해기업 명단에 오리온의 이름이 게재됐다. 오리온이 공격을 당해 상당한 정보 탈취가 이뤄졌다는 의미다.
이들 조직이 탈취했다고 주장하는 데이터는 1테라바이트(TB) 규모다. 데이터 종류는 대리점 계약서와 사업자등록증, 대리점 관련 증빙 등이다. 현재까지 샘플 데이터가 공개되지는 않았으며, 문서 폴더 캡처 이미지만 게재된 상태다. 이들은 "탈취한 데이터에는 한국과 중국 직원 관련 문서를 비롯해 다량의 기밀유지협약 내용도 포함됐다"고 주장했다.
한국인터넷진흥원(KISA) 관계자는 "해당 내용을 인지하고 있다"며 "기업에 통보했고 사실 여부를 확인하고 있는 중"이라고 말했다.
오리온 관계자는 "지난달 26일 랜섬웨어 공격을 받았다"며 "신속한 대응을 통해 24시간 내 정상 복구를 완료했고 절차에 따라 KISA에 접수했다"고 말했다. 이어 "1TB 가량의 내부 데이터 일부로 중요한 자료는 아니다"고 덧붙였다.
블랙캣은 '락빗(LockBit)', '콘티(Conti)' 등과 함께 대표적인 서비스형 랜섬웨어(RaaS)다. RaaS는 일종의 랜섬웨어 주문 제작 대행 서비스로. 특정 집단이나 개인이 랜섬웨어를 제작해 범죄조직에 공급하고 수익을 공유하는 형태다. 팔로알토 네트웍스에 따르면 지난해 말까지 데이터 탈취 유형은 전체 사이버 공격의 70%를 차지했으며 락빗, 블랙캣 등이 전체 유출의 57%로 집계됐다.
일각에서는 '다크사이드(Darkside)'와 블랙캣이 동일한 조직이라고 추정하고 있다. 다크사이드는 2021년 5월 미국 콜로니얼 파이프라인 랜섬웨어 사건의 배후로 지목된 해킹조직이다. 블랙캣이 신생 조직인지 기존 랜섬웨어 집단의 점조직인지 의견은 분분하지만 아직까지는 명확한 근거가 없는 것으로 알려졌다.
지난해 국내 한 보안기업은 블랙캣 활동 징후를 포착하고 조기 차단한 바 있다. 실제 공격 사례는 이번이 처음인 것으로 보인다. 보안업계 관계자는 "피해자 목록에 총 431개의 기업이 있는데 한국기업은 오리온이 유일하다"며 "공격 시점으로부터 한 달이 지난 후 공개한 이유는 협상이 잘 진행되지 않아 기업을 압박하는 의도"라고 말했다.
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기