미국에 본사를 둔 노키아 자회사 SAC Wireless가 콘티(Conti) 랜섬웨어의 공격을 받아 데이터가 탈취되고 시스템이 암호화됐다고 밝혔다.

이 회사는 고객이 5G, 4G LTE, 소형 셀, FirstNet을 포함한 셀룰러 네트워크를 설계, 구축, 업그레이드하는 기업으로 알려져 있다.

회사측은, 지난 6월 16일 콘티 랜섬웨어가 페이로드를 배포하고 SAC의 무선 시스템을 암호화한 후에야 네트워크 해킹 사실을 인지하게 됐다고 밝혔다.

브리핑컴퓨터 보도에 따르면, 해당 사고로 8월 13일 전·현직원 및 의료보험 피부양자 또는 수혜자 개인정보도 유출된 것으로 조사됐다고 전했다.

SAC 측은 피해자 수는 공개하지 않았으며 "콘티 랜섬웨어는 SAC 시스템에 대한 액세스 권한을 획득하고 클라우드 저장소에 파일을 업로드한 후, 지난 6월16일 SAC 시스템의 파일을 암호화할 목적으로 랜섬웨어를 배포했다"고 설명했다.

그리고 도난당한 파일의 종류에 대해 “이름, 생년월일, 집 주소, 이메일, 전화번호, 주민등록번호, 운전면허증, 여권, 군인 신분증, SSN, 시민권 여부, 직장 정보(직위, 급여, 평가 등), 병력, 건강 보험 정보, 자동차 번호, 전자 서명, 결혼 또는 출생 증명서, 세금 신고 정보, 피부양, 수혜자 이름 등이 도난당했다”고 덧붙였다.

더불어 회사 측은 추가 피해 예방을 위해 △방화벽 규칙 변경 △VPN 연결 비활성화 △미국 이외 지역의 액세스를 제한하기 위한 조건부 지리적 위치 접근 정책 시행 △추가 직원 교육 △추가 네트워크 및 엔드포인트 모니터링 툴 배포 △다단계 인증 확장 △추가 위협 탐지 및 엔드포인트 대응 툴 배포 등을 약속했다.

한편 콘티 랜섬웨어 조직은 유출 사이트를 통해 회사의 데이터 250GB를 훔쳤다고 주장했다. 그리고 랜섬머니를 지불하지 않을 경우 데이터를 유출할 것이라고 협박하고 있다.

콘티 랜섬웨어는 러시아에서 활동하는 사이버 범죄 그룹이 운영하는 것으로 알려져 있으며 비공개 서비스형 랜섬웨어(RaaS) 형태로 운영된다.

콘티는 Ryuk 랜섬웨어와 유사한 코드를 사용하고 있으며, 최근 아일랜드 보건행정, 보건부를 공격해 암호화 후 랜섬머니 2천만 달러를 요구하기도 했다.

FBI는 또한 지난 5월에 콘티 운영자가 12개 이상의 미국 의료기관의 네트워크를 침해하려고 시도한 바 있다고 경고한 바 있다.

★정보보안 대표 미디어 데일리시큐!★