랜섬웨어 공격 우려 '기아차'…계열사 데이터 유출 논란 '곤혹'


내부 자료로 추정되는 파일 공개돼…고스트섹 등 해커조직 악성활동도 '활개'

[아이뉴스24 최은정 기자] 지난달 해커조직 '도플페이머'로부터 랜섬웨어 공격을 당한 것으로 추정되는 현대·기아자동차가 또 다시 곤혹을 겪고 있다.

도플페이머가 자신들이 탈취했다고 주장하는 기업 내부 자료를 다크웹에 대거 공개하고 나섰기 때문이다. 현대기아차뿐 아니라 현대글로비스 등 현대 계열사들의 데이터들도 포함된 것으로 알려지면서 논란이 적지 않을 것으로 보인다.

17일 도플페이머가 운영하는 다크웹 사이트의 현대기아차 페이지에는 총 9.35기가바이트(GB) 분량의 자료 파일 98개가 게시돼 있는 것으로 확인됐다.

해커 조직 도플페이머가 현대기아차 자료라고 주장하며 다크웹 사이트에 올린 파일들. [사진=다크웹 사이트 캡처]

한 보안 전문가는 "현대기아차 그룹 관련 문서와 현대글로비스 미국 내부 직원의 이메일 아웃룩 아카이브 파일이 포함돼 있다"며 "또 현대오토에버가 작성한 것으로 보이는 IT 관련 자료들도 발견됐다"고 설명했다.

현대차 관계자는 "(랜섬웨어 공격과 정보 유출) 관련해서는 현재 확인이 되지 않고 있다"고 말했다.

앞서 기아차 미국법인은 지난달 13일(현지시간)부터 지속적인 IT 서비스 장애를 겪고 있다고 발표했다. IT서버와 자가결제 시스템이 마비되고 딜러 플랫폼, 전화 지원 서비스 등 이용이 불가했던 것. 그러나 당시 법인은 랜섬웨어 공격을 받았다는 증거는 없다고 선을 그었다.

블리핑컴퓨터 등 외신은 해당 사고 배후에는 도플페이머 그룹이 있을 것으로 봤다. 이 그룹은 현대기아차 미국법인을 상대로 약 2천만 달러(한화 약 226억원)에 달하는 암호화폐를 내놓으라고 협박한 것으로 알려졌다.

또 해당 금액을 특정 시점까지 지불하지 않으면 3천만 달러(약 339억원) 규모로 액수가 올라가게 되며, 자신들과 협상하지 않으면 그 대가로 자신들이 확보한 대규모 내부 정보를 다크웹에 유출하겠다고 했다. 결국 도플페이머는 지난달 22일부터 다크웹 사이트에 현대기아차로 추정되는 자료들을 지속적으로 업로드하기 시작했다.

고스트섹이 현대기아차 UAE에서 탈취한 데이터를 유출하겠다는 내용의 게시글. [사진=SNS 게시글 캡처]

◆UAE 법인까지 공격해 자료 유출?…"NO, 과거 공개된 것과 흡사"

게다가 지난 13일, 또 다른 해커조직인 '고스트섹(GhostSec)'이 현대기아차 아랍에미리트(UAE) 지사를 공격해 얻은 자료라면서 관리자 정보 등이 포함된 데이터베이스(DB) 파일을 각종 사회관계망서비스(SNS) 채널에 유출했다.

다행스러운 점은 이 파일이 기존에 유출된 이력이 있다고 보여진다는 것이다. 공격자가 새로운 해킹 공격을 통해 이 파일을 확보했을 가능성이 적다는 얘기다.

국내 다크웹 분석 기업 에스투더블유랩(S2W LAB)에 따르면, 이 정보는 이미 작년 9월 이미 러시안 해킹 포럼에서 공개된 바 있다.

서현민 에스투더블유랩 수석 연구원은 "앞서 지난해 공개된 내용과 거의 동일한 내용의 정보로 분석된다"며 "최근 현대기아차 이슈가 불거지면서 해커가 그 흐름에 맞춰 관심을 끌고, 금전 이득을 노리기 위한 수법으로 추측된다"고 말했다.

물론 현대기아차 미국법인이 실제로 랜섬웨어 공격을 당했는지 여부는 조사 결과가 나오기 전까지 확실히 알 수 없다.

그러나 업계에서는 한 기업이 공격을 당하면 계열사나 관계사 등도 함께 피해를 입을 수 있다는 점에서 기업들이 사이버 보안을 필수로 인식하고 관련 투자를 높여야 할 때라는 지적이다.

/최은정 기자(ejc@inews24.com)







포토뉴스