피트니보우즈 마비시켰던 랜섬웨어, 류크였다 2019.10.18

포춘 500대 기업 대다수를 고객으로 두고 있는 피트니보우즈, 월요일부터 마비
수사 진행한 결과 류크 랜섬웨어가 활용됐음...시스템과 서비스 복구는 이미 완료


[보안뉴스 문가용 기자] 랜섬웨어에 감염돼 일부 서비스가 중단됐던 글로벌 기업인 피트니보우즈(Pitney Bowes)가 문제의 랜섬웨어가 무엇인지 밝혀내 공개했다. 다름 아니라 여러 유수의 기업들을 괴롭혀 온 류크(Ryuk)라고 한다.

[이미지 = iclickart]


피트니보우즈는 지난 월요일 고객들에게 “랜섬웨어가 시스템 내 파일 일부를 암호화시키는 바람에 일부 서비스를 제공할 수 없게 되었다”고 알렸다. 하지만 정확한 피해 규모와 랜섬웨어의 종류 등에 대한 내용은 포함되어 있지 않았다. 그러다가 최근 류크라는 이름이 공유된 것이다.

또한 이번 사건으로 영향을 받은 ‘일부 서비스’에 대해서도 보다 구체적인 정보가 나왔다.
1) 메일링 서비스
2) 고객 계정 접근
3) 웹 스토어
4) 소프트웨어 및 데이터 마켓플레이스(Software and Data Marketplace) 다운로드
5) 일부 상거래 관련 서비스

피트니보우즈 측은 “마비된 시스템들에 대한 복구 작업에서 꽤나 큰 진척이 있었고, 현재 거의 모든 서비스들이 정상적으로 운영되고 있다”고 발표했다. 아직 어떤 식으로 시스템 복구에 성공했는지는 알려지지 않았다.

류크 랜섬웨어는 2018년 여름에 처음 등장했다. 당시 보안 전문가들은 류크를 분석하며 여러 가지 증거와 자료들을 찾아내 “북한의 해커들이 개발한 것”이라고 주장했었다. 하지만 지금은 북한이 아니라는 증거도 꽤 많이 수집된 상태다. 현재 류크 개발자의 정체는 알려지지 않고 있다.

류크는 현재까지 여러 종류의 조직들을 공격해왔다. 대표적인 것은 미국의 트리뷴 퍼블리싱(Tribune Publishing)이라는 기업을 친 사례다. 이 때문에 LA 타임즈와 뉴욕타임즈, 월스트리트저널과 같은 유명 매체가 늦게 배송되는 일이 발생했다.

그 외에도 류크는 수많은 조직과 정부 기관들을 공격해왔다. 올해에는 미국의 주 정부 기관 및 시립 기관들이 류크 앞에 힘없이 나가떨어지기도 했다. 일부 공공 기관들은 파일과 시스템을 복구시키기 위해 공격자들에게 수만 달러를 지급하면서 여론의 비판을 받기도 했다.

피트니보우즈도 복구가 너무 빨리, 쉽게 이뤄졌기 때문에 일각에서는 범인과의 협상을 의심하고 있기도 하다. 실제로 랜섬웨어 복구를 전문으로 하는 서드파티 보안 업체들 중 범인과의 협상을 전문으로 하는 곳들도 존재한다. 순수 기술적 복구 비용이 범인들이 요구하는 돈보다 통상 더 비싸다는 점을 이용한 사업 모델이다. 하지만 아직까지 피트니보우즈가 이런 서비스를 이용했다는 정황이나 내부 고발은 없는 상태다.

3줄 요약
1. 이번 주 초 랜섬웨어에 당한 피트니보우즈.
2. 알고 보니 류크 랜섬웨어에 당한 것.
3. 복구는 이미 완료. 너무 빨라서 일각에서는 의심하기도 함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>


사물인터넷과 이메일 안전을 잡아라! 디지서트, 투자자 늘어나

시스코의 에어로넷 AP 장비에서 치명적인 취약점 발견




사단법인 한국정보보호최고책임자협의회
서울시 마포구 마포대로 25 신한디엠빌딩 1302호 ㅣ TEL : 02-701-7037 ㅣ FAX : 715-8245 ㅣ Email : ciso@cisokorea.org
COPYRIGHTⓒCISOKOREA.ORG. ALL RIGHTS RESERVED.
개인정보취급방침