Breaking
사이버 보안(Cybersecurity)
애리조나 비버리지, 랜섬웨어 공격에 당하다
2019-05-28 17:26:18
조현
▲음료 회사인 애리조나 비버리지가 랜섬웨어 공격을 당했다(사진=ⓒ위키미디어 커먼즈)

[라이헨바흐=조현 기자] 최근 비즈니스를 겨냥한 또 다른 랜섬웨어 공격이 보고됐다. 기술 전문 매체인 테크크런치의 보도에 따르면 이번에 공격당한 회사는 음료 공급 업체인 애리조나 비버리지(Arizona Beverages)다.

이 사건은 지난 달 발생했다. 대중적인 음료 브랜드인 애리조나 비버리지는 이번 랜섬웨어 공격으로 일상적인 업무에 영향을 미치는 엄청난 양의 데이터를 잃었다. 결국 영업 활동이 중단됐고, 벌써 수백만 달러의 이익이 사라졌다. 이 상황은 애리조나 비버리지 측이 사고 대응 담당자에게 연락해 상황을 처리할 때까지 며칠 동안 지속됐다.

심각한 랜섬웨어 공격

이번 랜섬웨어 공격으로 애리조나 비버리지 내의 200개 이상의 서버와 윈도우 컴퓨터가 악성 코드에 감염됐다. 컴퓨터 화면에는 '네트워크가 해킹 및 암호화되었습니다'라는 메시지가 표시됐다. 이 메시지에 따르면 해당 공격은 애리조나 비버리지를 직접적인 타깃으로 삼아 발생한 것이다.

심각한 랜섬웨어 공격 발생 후 이 회사의 임원들은 사무실 전체에 공지를 발송해 직원들에게 경고하고 불필요하게 컴퓨터 장치를 사용하지 말라고 권고했다. 노트북이나 데스크탑 등이 손상됐을 수 있으니 전원을 켜거나 파일을 복사하거나 네트워크에 연결하지 말라는 것이다.

▲이 회사의 200개 이상 서버와 윈도우 컴퓨터가 아이인크립트라고 알려진 랜섬웨어의 공격을 받았다(사진=ⓒ픽사베이)

소식통에 따르면 해당 문제는 사건 발생 5일 만에 해결됐다.

테크크런치의 조사 결과에 따르면 애리조나 비버리지의 시스템과 네트워크를 마비시킨 랜섬웨어는 아이인크립트(iEncrypt)라는 악성 코드였다. 애리조나 비버리지는 FBI에 연락해 멀웨어 감염 경로 등을 조사했다. 연방 당국은 성명서 제출을 거부했으나, 소식통에 따르면 애리조나 비버리지는 공격이 발생하기 전 2개월 동안 어떤 시스템 에러 등도 경험하지 않았다고 주장했다.

아이인크립트 랜섬웨어는 윈도우 운영 체제에서 실행되는 장치를 대상으로 하는 RDP 손상을 통해 배포되는 랜섬웨어 유형인 비트페이머(BitPaymer) 랜섬웨어와 연관이 있다. 장치가 아이인크립트에 감염되면 화면에 메시지가 표시되고, 피해자는 공격자의 지시를 따라야 하는 경우가 있다.테크크런치에 따르면 아이인크립트 랜섬웨어에서 벗어나는 암호 해독 도구는 없다.

한편 봇넷 멀웨어인 드라이덱스(Dridex)는 첨부파일을 통해 전달될 수 있다. 만약 회사 직원이 전자 메일에 첨부된 악의적인 파일을 열면 이 멀웨어가 설치된다. 장치 하나가 감염되면 순식간에 전체 네트워크로 멀웨어가 확산된다.

2015년 FBI는 드라이덱스 감염을 근절하기 위해 다른 국제 기구에 도움을 요청해야 했다. 그 이후로도 이 멀웨어는 여전히 수많은 단체 및 개인에 위협을 가하고 있다.

애리조나 비버리지에 대한 최근 공격은 이전에 발생한 드라이덱스 사건의 파문일 가능성이 있다. 처음에 공격자들은 드라이덱스를 이용해 유선 사기를 가능케 하는 자격 증명을 훔쳤지만, 2017년부터는 타깃을 분명하게 설정하고 더 많은 돈을 벌 수 있는 공격 작업을 수행했다.

구 시스템

애리조나 비버리지는 백업 파일을 위해 백엔드 서버를 할당하고 있긴 했으나, 문제는 이 회사의 백업 시스템이 이미 시대에 뒤떨어진 것이라는 점이다.

회사 관계자들은 자사의 서버가 랜섬웨어에 감염된 것에 놀란 것이 아니라 회사의 윈도우 운영 체제가 오래된 것을 생각하면 오히려 이번 사건이 늦게 발생했다는 사실에 놀라기도 했다. 이 회사의 윈도우 표준 및 대부분의 서버는 오랜 시간 업데이트되지 않았다.

회사 직원 중 한 명은 백업 시스템이 제대로 구성되지 않았다는 사실을 알고 있었기 때문에 랜섬웨어 공격 발생 이후 파일을 복구할 수 없었다. 회사는 많은 비용을 지불하고 전문가들에게 문제 해결을 맡겨야 했다.

돈이 많이 드는 복구 작업

사이버 보안 업체인 시스코(Cisco) 담당자들은 아직 세부 정보를 제공하지는 않았지만 밝혀진 바에 의하면 애리조나 비버리지는 공격에서 복구하기 위해 막대한 돈을 지불했다고 한다. 시스코에 대한 수수료, 새로운 하드웨어 및 소프트웨어 구매, 복구 비용에만 수십 만 달러가 사용된 것으로 알려졌다.

테크크런치는 이에 대해 "일단 백업이 작동하지 않으면 엄청난 돈을 지불해야 한다"고 전했다. 

애리조나 비버리지는 아직 회복 단계에 있지만 안전하고 운영 가능한 시스템을 보유하고 있다.

▲애리조나 비버리지는 문제 해결을 위해 시스코를 고용했다(사진=ⓒ=위키미디어 커먼즈)
[라이헨바흐=조현 기자]