Home > 전체기사
랜섬웨어 걸려 마비됐던 트래블엑스, 사업 재개 선언했지만
  |  입력 : 2020-01-21 10:44
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
영국의 대형 환전소, 랜섬웨어에 걸려 서비스 마비됐다가 최근 복구 발표
하지만 사건 세부 내용도 공개되지 않고, 데이터 유출 여부도 확실치 않아


[보안뉴스 문가용 기자] 사이버 공격을 받아 마비되는 바람에 전 세계 보안 매체의 헤드라인을 차지했던 환전 업체 트래블엑스(Travelex)가 다시 서비스를 시작한다고 발표했다. 트래블엑스에서 발생한 사고의 세부 내용은 아직 공개되지 않았지만, VPN 제품의 버그를 통해 랜섬웨어가 침투한 것으로 알려져 있다.

[이미지 = iclicakrt]


런던에 본부가 있는 트래블엑스는 12월 31일 소디노키비(Sodinokibi) 혹은 레빌(REvil)로 알려진 랜섬웨어의 공격을 받았다고 외신들은 보도했으며, 이 때문에 트래블엑스는 모든 시스템과 서비스를 차단시켰다. 모든 시스템이 감염된 것은 아니지만 최대한의 안전을 도모하기 위해서라고 발표했다.

일부 고객들은 유료로 주문한 외환이 도착하지 않는 바람에 갑자기 잔고가 0이 되었다고 불만을 토로하기도 했다. 트래블엑스의 온라인 서비스만 마비된 게 아니라, 실제 영국 거리 곳곳과 유명 은행에서 제공되는 오프라인 서비스들까지 전부 중단됐기 때문에 그런 고객들이 상당 수 발생한 것으로 전해진다.

그런 상황에서 트래블엑스는 “1월 17일, 소비자가 직접 사용하는 시스템들 중 일부가 복구된 것을 처음으로 확인했다”며 “글로벌 서비스에 대한 단계별 복구 작업에 착수했음을 확인했다”고 발표했다. 가장 먼저는 영국 고객들을 위한 서비스가 복구될 예정이라고 한다. 트래블엑스에 있어 가장 큰 시장이기 때문이다.

아직 정확하게 확인된 건 아니지만, 보안 전문가들은 펄스 시큐어(Pulse Secure)의 VPN 제품에서 발견된 치명적 취약점인 CVE-2019-11510이 이번 사건에 연루되어 있는 것으로 보고 있다. 이를 통해 공격자들이 원격에서 악성 코드를 심는 데 성공했다는 것이다.

보안 업체 배드 패키츠(Bad Packets)의 트로이 머시(Troy Mursch)는 “해당 소프트웨어의 취약점에 대해 알리기 위해 지난 9월부터 트래블엑스에 연락을 취했었다”고 주장했다. “그 취약점은 CVSS 기준 10.0점을 받았을 정도로 위험한 것이었습니다. 하지만 트래블엑스 측에서는 아무런 답장을 보내지 않았습니다.”

머시는 “아직 취약한 펄스 시큐어 VPN 서버가 3000개 이상 발견되고 있다”며 “현재 공격자들이 이 취약점을 대단위로 익스플로잇 하기 시작한 지금 시점에서 매우 좋지 않은 소식”이라고 설명한다. “패치 자체는 2019년 4월부터 존재해왔다고 하는데, 패치를 사용자들 편에서 적용하지 않는다는 뜻밖에 되지 않습니다.”

미국 국토안보부 내 사이버 보안 담당 팀인 CISA는 CVE-2019-11510에 대해 “원격의 공격자가 인증 과정을 거치지 않고 취약한 VPN 서버를 침해할 수 있게 해준다”고 설명한다. “이를 통해 공격자는 평문으로 된 크리덴셜 정보에도 접근할 수 있게 된다”고 덧붙이기도 했다. “또한 공격자가 각 VPN 클라이언트로 침투해 임의의 명령을 실행하는 것도 이론상 가능합니다.”

트래블엑스는 “그 어떤 데이터도 밖으로 유출됐다는 증거는 없다”고 주장했지만, 6백만 달러를 요구한 범인들은 “5GB의 민감한 고객 정보를 빼돌렸다”고 반박하기도 했다. 아직 사건과 관련된 의문과 논란이 하나도 정리가 안 된 상태에서 사업을 재개한다는 트래블엑스에 고객들은 곱지 않은 시선을 보내고 있다.

3줄 요약
1. 12월 31일, 랜섬웨어에 걸려 마비됐던 환전 서비스 트래블엑스.
2. 고객들이 환전 주문을 했다가 돈을 돌려받지 못해 빈털털이 되기도 함.
3. 1월 17일자로 서비스 일부 다시 시작한다는 글 올렸지만 환영받지 못하고 있음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)