보안

랜섬웨어 집단 록빗, 의료 기관 공격에 사과…피해 병원에 암호 해독기 제공

Apurva Venkat | CSO 2023.01.04
서비스형 랜섬웨어(Ransomware-as-a-Service)를 운영하는 악명 높은 공격집단 록빗(LockBit)이 최근 공격을 받은 캐나다 토론토 소재의 어린이 병원 HSC(Hospital for Sick Children)에 사과하고 암호 해독기를 제공했다. 식키즈(SickKids)라고도 알려진 이 병원은 병원의 여러 네트워크 시스템에 영향을 미치고 있는 사이버 보안 사고에 대응하기 위해 지난 12월 19일 코드 그레이(Code Gray) 시스템 오류를 선언했다.
 
ⓒ Getty Images Bank

랜섬웨어 공격은 식키즈 내부의 임상 및 회사 시스템, 병원 전화선, 웹페이지에 영향을 미쳤다. 12월 29일, 식키즈 측은 진단 또는 치료 지연을 유발하는 시스템을 포함해 우선순위에 있는 시스템의 50%를 복원했다고 밝혔다.

그로부터 이틀 뒤 록빗은 성명을 통해 공격에 대해 사과하고 무료 해독기를 제공했다. 성명에서 록빗은 “식키즈를 공격한 파트너는 록빗의 규칙을 위반하였으며, 더 이상 제휴 프로그램을 사용할 수 없도록 차단됐다”라고 밝혔다. 블리핑 컴퓨터(Bleeping Computer)에 따르면, 록빗이 제공한 암호 해독기는 리눅스/VM웨어 ESXi 암호 해독기다. 

록빗은 계열사(affiliate)라고 불리는 서드파티 공격자 혹은 공격집단에 랜섬웨어와 암호화 프로그램 및 데이터 유출 웹사이트를 제어하는 소프트웨어를 빌려준다. 계열사는 록빗의 랜섬웨어를 사용해 네트워크를 침해하고 데이터를 암호화하거나 탈취하며, 피해자에게 몸값을 요구한다. 록빗의 구성원으로 추정되는 한 해커의 2021년 인터뷰에 따르면, 록빗은 의료, 교육, 자선 및 사회 서비스 부문에서 운영되는 조직을 표적으로 삼지 않는다는 정책을 가지고 있다. 

록빗의 성명서와 복호화 프로그램을 확인한 식키즈 측은 “해독기 사용을 검증하고 평가하기 위해 전문가를 고용했다”라고 1월 1일 밝혔다. 하지만 이미 우선순위 시스템의 60% 이상을 복원한 상태고 다른 복원도 잘 진행되고 있다고 덧붙였다. 식키즈 측은 랜섬웨어 몸값을 지불하지 않았으나 개인정보나 건강정보가 영향을 받은 증거는 발견되지 않았다.

병원을 공격하지 않는다는 정책을 록빗의 계열사들이 항상 준수했던 것은 아니다. 예를 들어, 2022년 8월에는 CHSF(Hospitalier Sud Francilien)를 상대로 한 공격에 록빗 랜섬웨어가 사용됐다. 당시에는 병원이 1,000만 달러의 몸값 지불을 거부하자 환자 데이터가 유출되는 사건이 발생했다.

한편 록빗은 버전 3.0이 2022년 3분기에 가장 활발히 사용되면서 가장 주목 받는 랜섬웨어 공격집단으로 부상했다. 지난 12월 25일에는 리스본 항구도 록빗의 공격을 받았는데, 록빗은 토르(Tor) 다크넷 내 공식 사이트에 150만 달러의 몸값을 1월 18일까지 지불하라는 글을 게시했다.
editor@itworld.co.kr
Sponsored

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.