[단독] 오리온 공격한 '블랙캣' 랜섬웨어…1TB 데이터 탈취 '주장'

김혜경 2023. 5. 18. 22:15
자동요약 기사 제목과 주요 문장을 기반으로 자동요약한 결과입니다.
전체 맥락을 이해하기 위해서는 본문 보기를 권장합니다.

국내 식품기업 오리온이 '블랙캣(BlackCat)' 랜섬웨어 공격을 받은 것으로 나타났다.

18일 보안업계에 따르면 지난 16일 오후 1시 58분께 랜섬웨어 그룹 블랙캣이 운영하는 다크웹 페이지의 피해기업 명단에 오리온의 이름이 게재됐다.

팔로알토 네트웍스에 따르면 지난해 말까지 데이터 탈취 유형은 전체 사이버 공격의 70%를 차지했으며 락빗, 블랙캣 등이 전체 유출의 57%로 집계됐다.

음성재생 설정
번역beta Translated by kaka i
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

지난해 국내서 활동 징후 포착됐지만…"韓 기업 피해 사례는 처음"

[아이뉴스24 김혜경 기자] 국내 식품기업 오리온이 '블랙캣(BlackCat)' 랜섬웨어 공격을 받은 것으로 나타났다.

'토르(Tor)' 브라우저로 접속한 블랙캣의 다크웹 블로그. 지난 16일 오후 1시 58분께 오리온의 이름이 피해기업 명단에 게재됐다. [사진=블랙캣 다크웹 사이트 화면 캡처]

18일 보안업계에 따르면 지난 16일 오후 1시 58분께 랜섬웨어 그룹 블랙캣이 운영하는 다크웹 페이지의 피해기업 명단에 오리온의 이름이 게재됐다. 오리온이 공격을 당해 상당한 정보 탈취가 이뤄졌다는 의미다.

이들 조직이 탈취했다고 주장하는 데이터는 1테라바이트(TB) 규모다. 데이터 종류는 대리점 계약서와 사업자등록증, 대리점 관련 증빙 등이다. 현재까지 샘플 데이터가 공개되지는 않았으며, 문서 폴더 캡처 이미지만 게재된 상태다. 이들은 "탈취한 데이터에는 한국과 중국 직원 관련 문서를 비롯해 다량의 기밀유지협약 내용도 포함됐다"고 주장했다.

한국인터넷진흥원(KISA) 관계자는 "해당 내용을 인지하고 있다"며 "기업에 통보했고 사실 여부를 확인하고 있는 중"이라고 말했다.

오리온 관계자는 "지난달 26일 랜섬웨어 공격을 받았다"며 "신속한 대응을 통해 24시간 내 정상 복구를 완료했고 절차에 따라 KISA에 접수했다"고 말했다. 이어 "1TB 가량의 내부 데이터 일부로 중요한 자료는 아니다"고 덧붙였다.

블랙캣이 탈취했다고 주장하는 오리온 데이터 중 일부. [사진=블랙캣 다크웹 사이트 화면 캡처]

블랙캣은 '락빗(LockBit)', '콘티(Conti)' 등과 함께 대표적인 서비스형 랜섬웨어(RaaS)다. RaaS는 일종의 랜섬웨어 주문 제작 대행 서비스로. 특정 집단이나 개인이 랜섬웨어를 제작해 범죄조직에 공급하고 수익을 공유하는 형태다. 팔로알토 네트웍스에 따르면 지난해 말까지 데이터 탈취 유형은 전체 사이버 공격의 70%를 차지했으며 락빗, 블랙캣 등이 전체 유출의 57%로 집계됐다.

일각에서는 '다크사이드(Darkside)'와 블랙캣이 동일한 조직이라고 추정하고 있다. 다크사이드는 2021년 5월 미국 콜로니얼 파이프라인 랜섬웨어 사건의 배후로 지목된 해킹조직이다. 블랙캣이 신생 조직인지 기존 랜섬웨어 집단의 점조직인지 의견은 분분하지만 아직까지는 명확한 근거가 없는 것으로 알려졌다.

지난해 국내 한 보안기업은 블랙캣 활동 징후를 포착하고 조기 차단한 바 있다. 실제 공격 사례는 이번이 처음인 것으로 보인다. 보안업계 관계자는 "피해자 목록에 총 431개의 기업이 있는데 한국기업은 오리온이 유일하다"며 "공격 시점으로부터 한 달이 지난 후 공개한 이유는 협상이 잘 진행되지 않아 기업을 압박하는 의도"라고 말했다.

/김혜경 기자(hkmind9000@inews24.com)

Copyright © 아이뉴스24. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?