미 여행사 CWT 랜섬웨어뚫려 53억원송금,가민도 털려,해커 7월에만 100억수입

미국 여행 관리 회사인 CWT가 랜섬웨어 공격을 받아 랜섬웨어 감염된 3만여대 PC 록을 푸는 조건으로 450 만 달러, 53억원의 돈을 지불했다고 로이터가 31일 보도했다. 회사는 비트코인으로 해커들에게 송금했다.

협상기록에 따르면 CWT사는 해커들의 랜섬웨어공격으로 오프라인으로 3 만 대의 컴퓨터가 감염됐다고 로이터는 밝혔다. 대형여행사의 상징인 CWT가 랜섬웨어 감염으로 해커들에게 거액의 복구비를 지불하는 협상을 한 것으로 밝혀짐에 따라 랜섬웨어 공격을 통한 사이버범죄는 더욱 기승을 부릴 것으로 우려된다.

보도에 따르면 해커는 컴퓨터 파일을 암호화해 피해자가 복원 비용을 지불할 때까지 사용할 수 없는 ‘라그나 로커(Ragnar Locker)’라는 랜섬웨어를 사용한 것으로 밝혀졌다. 이들 해커는 협상 초기에는 랜섬웨어에 감염된 CWT의 파일을 복원하고 도난당한 모든 데이터를 삭제하기 위해 7월 27일께 최초로 1000만달러,118억원 가량을 요구했던 것으로 드러났다.

[ 랜섬웨어 복구키 비용을 놓고 해커들과 CWT재무팀이 협상하며 주고받은 메시지 ]

비트코인으로 53억원 송금후 블록 체인기반 해커소유 디지털 화폐 지급원장 확인결과 해커 온라인 지갑이 7 월 28 일에 414 비트코인을 지급받은 걸 확인했다고 로이터는 보도했다. 로이터 보도에 따르면 해커들은 감염된 CWT 컴퓨터를 스크린샷으로 온라인에 게시 후, 재무보고서, 보안 문서 및 이메일 주소, 급여 정보와 같은 직원의 개인 데이터를 포함하여 2TB의 파일이 도난당했다고 주장했다.

94년 설립된 CWT사는 대형 기업의 국내외 출장업무는 물론 회의,전시회 등을 관리해주는 B2B전문 여행관리회사로,연매출은 15억달러, 1조8000억원대에 이르는 대형 여행관리전문회사다. 전세계 145국을 커버하고 직원수는 1만8000여명에 이르는 회사다.

로이터는 CWT가 지난해 15 억달러의 매출을 올린 것은 물론 S & P 500 지수기업 3 분의 1 이상의 기업이 해당 서비스를 이용할 정도로 대형여행사의 대표주자라고 소개하고, 이번 공격에 대해선 확인했지만, 세부적인 조사과정상의 내용에 대해서는 코멘트를 거부했다고 보도했다.

CWT는 해커와의 협상 직후 “예방 조치로 시스템을 일시적으로 종료한 후 시스템이 다시 온라인 상태가 돼 사건이 중단됐음을 확인했다”면서 “조사 초기 단계지만 개인식별 정보, 고객 및 여행자 정보가 유출되거나 손상된 흔적은 발견하지 못했다”고 공식 밝혔다.

CWT는 미국 사법기관과 유럽 데이터 보호 당국에 즉시 통보했다고 밝혔다. 로이터는 조사에 관여한 사람이 “감염된 컴퓨터의 수가 해커가 주장한 3만대보다 훨씬 적다고 생각한다”고 말했다고 인용 보도했다. 해커와 회사 협상팀의 협상과정에서 해커들은 랜덤으로 몇 개의 파일을 무료로 풀어준 후 자신들이 감염 PC를 복구할 암호키를 확보하고 있다는 사실을 보여준 것으로 확인됐다.

양측은 암호키 가격을 놓고 협상을 벌였고, 해커들은 800만달러를 2차로 제안했다. CWT협상팀은 800만달러는 회사 매출을 두 배로 늘리지 않는 한 불가능하고, 금일 당장 송금할 수 있는 자금은 370만달러 밖에 없다는 카드를 제시한 끝에 450만달러,53억원 합의안을 이끌어낸 것으로 확인됐다.

보안커뮤니티에 따르면 해커들은 협상완료 후 랜섬웨어 추가감염에 대비한 세부적인 단계별 보안대책을 제시해준 것으로 알려져 주목된다.

해커들은 5단계 암호 스테이지를 제시, ▶로컬암호는 꺼놓을 것 ▶관리자 세션은 강제 종료시켜놓을 것 ▶그룹 정책에서 WDigest 값을 0으로 설정 ▶매달 암호변경 ▶꼭 필요한 애플리케이션만 실행하도록 승인 ▶EDR(Endpoint Detection and Response Security)설치하고 IT 관리자들한테 사용을 의무화할 것 등 6단계 솔루션을 제시하고 적어도 3명의 시스템 관리자가 24시간 일할 것을 추천하고, 4명의 관리자가 하루에 8시간씩 3교대 하는 게 적정하다는 컨설팅 솔루션까지 제시한 것으로 알려졌다.

로이터는 서방 보안 당국자들은 랜섬웨어 공격은 국가 지원 해커의 대대적인 활동에도 불구하고 기업과 개인기업에 일관되고 심각한 공격을 하고 있다고 보도했다. 이러한 공격으로 매년 수십억 달러의 비용이 소요된다고 분석했다.

사이버 보안 전문가들은 랜섬웨어 공격에 대비하기 위한 최선의 방어책으로 안전한 데이터 백업을 유지하는 것이며, (암호키 댓가로)비용을 지불하면 암호화된 파일이 복원될 것이란 보장없이 추가적인 범죄 공격을 장려하는 꼴이라고 지적했다고 로이터는 덧붙였다.

스마트워치, 속도계 등 아웃도어용품업체인 가민(GARMIN)역시 랜섬웨어 공격을 받고 수백만달러를 지급하고 지난 7월 23일 데이터 복구에 성공했다. 가민은 랜섬웨어 공격을 받은 지 4일 만에 복구했는데, 랜섬웨어 공격 해커들은 가민에 대해서도 최초에 1000만달러,118억원을 요구했던 것으로 밝혀졌다.

국내의 경우 LG전자가 2017년에 이어 최근 또다시 랜섬웨어 공격을 받은 것으로 확인된바 있다.

관련기사 = 보안뚫린 LG전자 2017년 이어 또 랜섬웨어 해킹,수백억원대 요구들어줄까?

관련기사 = 랜섬웨어 피해 웹호스팅업체 인터넷나야나,해커에 복호화키 값13억원 지급합의,자금은 회사매각대금

관련기사 =  랜섬웨어 대란에 국내 안티랜섬웨어 솔루션 스타트업 ㈜체크멀,글로벌 주문폭주 화제

관련기사 =  PC데이터 통째로 날리는 최악의 바이러스 랜섬(몸값)웨어기승,산업계 초비상