Home > 전체기사
또 록커고가 랜섬웨어! 이번엔 미국의 화학 업체 2곳
  |  입력 : 2019-03-26 11:19
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
얼마 전 노르스크 하이드로 감염시켰던 그 랜섬웨어, 미국으로 옮겨와
헥시온과 모멘티브라는 회사가 최근 희생양...세부적인 내용 공개하지 않아


[보안뉴스 문가용 기자] 미국의 화학 기업 두 개가 운영을 일시적으로 중단해야만 했다. 랜섬웨어 공격 때문이다. 얼마 전 알루미늄 기업 노르스크 하이드로(Norsk Hydro)를 덮쳤던 록커고가(LockerGoga)가 주범인 것으로 보이며, 여기에 당한 업체는 헥시온(Hexion)과 모멘티브(Momentive)라고 한다.

[이미지 = iclickart]


헥시온과 모멘티브는 “네트워크 보안 사고가 발생했고, 이 때문에 IT 시스템과 데이터 일부에 접근이 불가능했다”며 “네트워크를 복구 중에 있으며 사업 운영을 정상 궤도로 올리기 위해 노력하는 중”이라고 발표했다. 하지만 두 회사 모두 “생산 시스템은 별도의 네트워크에 분리되어 있었고, 따라서 이번 사태로 인한 차질이 그리 크지 않았다”고 주장했다.

외신인 머더보드(Motherboard)의 보도에 의하면 “두 회사가 공격을 받은 건 3월 12일”이며, “얼마 전 노르스크 하이드로를 공격했던 록커고가라는 랜섬웨어가 주범”이라고 한다. 하지만 헥시온과 모멘티브가 록커코가의 존재를 공식적으로 언급한 적은 없다. 다만 일부 직원들이 올린 랜섬 화면을 바탕으로 머더보드가 그렇게 추정한 것이다.

헥시온과 모멘티브 모두 같은 투자 그룹에 소속되어 있는 회사다. 동시에 공격을 받았고, 소속이 같다는 건, 이 두 회사의 시스템이 연결되어 있을 가능성을 암시한다. 하지만 두 회사 모두 이러한 부분에 대해서는 아무런 정보를 제공하지 않고 있다.

머더보드는 모멘티브의 CEO가 직원들에게 발송한 메모를 입수했다고 주장하며, “이 공격 때문에 글로벌 IT 네트워크가 마비됐고, 수백 대의 컴퓨터를 새로 사야 했다”고 보도했다. 일부 직원들은 기존 이메일로의 접근이 불가능한 상태가 되어 새로운 주소를 받아야만 했다고도 한다.

록커고가는 파일을 암호화하는 기능을 가지고 있으나, 네트워크 내에서 자동으로 번식하는 웜 기능을 탑재하고 있지는 않다. 그래서 노르스크 하이드로에서의 사건을 조사했던 전문가들은 “록커고가가 노르스크 하이드로의 액티브 디렉토리(Active Directory)를 통해 퍼졌다”고 보고 있다.

아직 헥시온과 모멘티브에서의 피해 규모는 정확하게 집계되지 않고 있다. 사업 운영에 치명적인 데이터가 암호화 된 것인지, 백업이 충분히 있어 복구에 별 문제가 없는 것인지, 혹은 범인들과 협상을 진행 중에 있는지, 아무 것도 알 수가 없다. 노르스크 하이드로의 경우, 범인들에게 돈을 주지 않을 것이라고 발표했었다. 백업이 있었기 때문에 가능한 선택지였다.

록커고가에 가장 먼저 당했다고 알려진 건 프랑스의 엔지니어링 기업인 알트랑 테크놀로지스(Altran Technologies)다. 지난 1월 록커고가에 당했다. 보안 전문가들은 “알려지지 않은 록커고가 피해자들이 꽤나 많을 것”이라고 보고 있다. 또한 “록커고가 공격자들이 헥시온과 모멘티브를 노르스크 하이드로보다 먼저 공격했을 가능성이 높다”고 분석한다.

보안 전문가인 케빈 뷰몬트(Kevin Beaumont)는 계속해서 록커고가 공격을 모니터링한 인물로, “현재까지 적어도 8개의 조직들이 록커고가에 당했다”고 말한다. “그러나 대대적으로 알려진 건 네 개 조직에 불과합니다.”

보안 팀인 멀웨어헌터팀(MalwareHunterTeam)에 의하면 3월 12일에 바이러스토탈(VirusTotal)에 업로드 된 샘플들 중 록커고가를 발견했다고 한다. “시기를 보아 이 샘플이 헥시온과 모멘티브를 공격한 것일 가능성이 높다”고 멀웨어헌터팀은 주장했다.

3줄 요약
1. 미국의 대형 화학 회사 두 곳, 록커고가에 감염돼 일부 운영 중단됨.
2. 록커고가는 얼마 전 노르스크 하이드로라는 알루미늄 회사를 덮친 것.
3. 아직 피해 규모와 후속 조치 등에 대한 세부적이 내용은 밝혀지지 않음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)