브라질 육가공업체 JBS를 해킹해 1100만달러 몸값을 받아낸 러시아 해커그룹이 전세계 수백개 기관에 대한 광범위한 사이버 공격을 시작했다고 사이버 보안 전문가들이 경고했다.
3일(이하 현지시간) 월스트리트저널(WSJ), 파이낸셜타임스(FT) 등 외신에 따르면 리빌(REvil)이라고 부르는 해커그룹이 현재 전세계 대기업과 기술서비스 업체들이 활용하는 소프트웨어인 카세야 VSA에 대한 공격에 집중하고 있다.
사이버보안 전문가들과 VSA 제작사인 카세야의 경고다.
VSA는 컴퓨터 네트워크 시스템을 관리하고 소프트웨어 업데이트를 배포하는 소프트웨어이다.
소프트웨어 제작사, 서비스 공급업체 등 신뢰가 확보된 협력사들을 활용해 새로운 희생 대상을 물색하고 공격하는 이른바 공급망 공격은 랜섬웨어 공격에서는 흔하지 않은 경우로 알려져 있다. 랜섬웨어는 해커들이 공격대상 기업이나 기관에 침투해 시스템을 가동 중단시킨 뒤 몸값을 내면 다시 시스템에 대한 통제권을 돌려주겠다고 협박할 때 활용하는 소프트웨어다.
사이버보안업체 엠시소프트의 브렛 캘로 애널리스트는 이번 카세야 해킹 사건이 아마도 지금까지 '가장 거대하고, 심각한' 랜섬웨어 공격이 될 것이라고 우려했다.
카세야는 2일 사이버공격 사실을 인지하고 즉시 자체 서버를 폐쇄한 뒤 고객들에게 경고하기 시작했다. 카세야는 2일 밤 현재 카세야의 온라인 서비스가 아닌 자체 서버를 통해 VSA 소프트웨어를 구동하는 고객사들만이 랜섬웨어에 감염된 것으로 보인다고 밝혔다.
미 국토안보부도 카세야 사용자들에게 VSA 서버를 즉각 가동중단토록 권고했다.
국토안보부 산하 사이버보안·인프라보안청(CISA) 부청장 에릭 골드스틴은 "CISA가 현 상황을 긴밀히 감시하고 있다"면서 "연방수사국(FBI)와 함께 충격에 관한 정보를 취합하고 있다"고 밝혔다.
카세야는 자사의 3만6000여 고객사 가운데 랜섬웨어에 감염된 경우는 40개사가 안된다면서도 충격파가 클 수 있다고 우려했다. 카세야 고객사 대부분이 서비스 공급업체여서 이들 업체의 고객사들이 랜섬웨어에 감염됐을 수 있기 때문이다.
보안업체 헌터스 최고경영자(CEO) 카일 한슬로번은 최소 12개 서비스 공급업체가 이번 사이버공격에 제물이 됐다면서 이들 업체는 약 1000개 고객사의 정보기술(IT)과 보안을 관리한다고 말했다. 이들 1000개 고객사는 대부분 중소기업들이라고 그는 덧붙였다.
에미소프트의 캘로에 따르면 리빌을 비롯한 랜셈웨어 해커들은 미국 텍사스주의 22개 시정부를 혼란으로 몰아넣었던 2019년 사이버공격을 포함해 과거에도 서비스 공급업체들을 목표로 해 왔다.
그러나 이번엔 피해가 매우 광범위할 것으로 우려된다.
법무법인 슈크 하디앤드베이컨의 알 사이칼리 파트너는 "단 한 번에 이렇게 많은 기업들에 충격을 준 랜섬웨어 공격은 본 적이 없다"고 말했다.
랜섬웨어 해커들이 요구하는 몸값은 피해 업체 규모에 따라 다르다. IT서비스를 받는 중소기업들에는 2만5000~15만달러를 요구하기도 하고, 덩치가 더 큰 서비스 공급업체들에는 500만달러를 요구하기도 했다.
러시아에 기반을 둔 해커들의 사이버공격은 최근 급증하고 있다.
5월 미 최대 송유관업체 콜로니얼송유관을 해킹해 미 동남부에 심각한 기름난을 부른 바 있고, 한 달 전에는 미 육류공급의 20%를 책임지는 JBS를 해킹해 1100만달러 몸값을 뜯어냈다.
dympna@fnnews.com 송경재 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지