랜섬웨어 조직 '록빗', 한화 사이버 공격…자료 공개 협박

록빗의 다크웹 블로그 캡처.

세계적으로 악명이 높은 랜섬웨어 그룹 록빗(LockBit)이 한화 데이터를 탈취했다고 주장하며 협상에 응할 것을 요구하고 있다. 만약 데드라인까지 협상에 응하지 않을 경우 800기가바이트(GB) 이상 데이터를 공개하겠다고 협박한 상태다.

12일 보안업계와 재계 등에 따르면, 록빗은 다크웹 블로그를 통해 세계협정시(UTC) 기준 오는 18일 오전 11시35분54초까지 한화가 협상에 응하지 않으면 800GB 이상 데이터를 공개하겠다고 밝혔다.

록빗은 도면과 영문 또는 한자로 쓰인 폴더 목록, 화물 수송 보험 관련 서류, 엑셀파일 캡처 등 8개 샘플 파일을 첨부했다. 이 중엔 포스코와 기밀유지 협약(Confidentiality Agreement)도 포함했다.

한화 측은 자료 유출 사고를 미리 파악하고 사태 파악에 나섰다는 입장이다.

한화솔루션 관계자는 “한화큐셀 중국 치동공장의 개인용 컴퓨터(PC)에서 발생한 자료 유출 사고를 사전에 인지했고 한국인터넷진흥원(KISA)에 신고해 현황을 파악하고 있다”면서 “랜섬웨어 조직이 탈취했다고 주장하는 데이터가 실제로 탈취된 데이터가 맞는지 아직 확인되지 않았고, 현재 확인 중”이라고 말했다.

KISA는 원칙적으로 피해 신고 기업에 대한 정보를 제공할 수 없다는 입장이다. 다만 이번 한화 건의 경우 해외 법인에서 일어난 사고이기 때문에 '정보통신망 이용촉진 및 정보보호 등에 관한 법' 상 KISA가 별도로 대응하긴 어려운 상황이다.

KISA 관계자는 “침해 사고를 인지하고 한화 측에 사실 확인을 요청한 상태”라면서 “중국 법인은 침해 사고 신고 대상은 아니고, 국내 시장과 이용자에게 피해나 영향을 줄 경우 신고해달라고 안내했다”고 말했다.

조재학 기자 2jh@etnews.com, 최호 기자 snoop@etnews.com