랜섬웨어 공격을 받은 트럭운전조합이 자력으로 해커를 격퇴

미국에서 가장 규모가 큰 노동조합 중 하나인 팀스타노동조합(전미트럭운전사조합)을 대상으로 한 랜섬웨어 공격이 2019년에 발생했던 사실이 관계자를 취재하면서 밝혀졌습니다. 노조관계자는 FBI가 노조에게 "FBI는 바빠 대응할 수 없으므로 몸값을 지불할 것"을 안내했다고 증언합니다만, 노조는 최종적으로 몸값 요구를 거부했다고 합니다.

Ransomware attack hit Teamsters in 2019 — but they refused to pay
https://www.nbcnews.com/tech/security/ransomware-attack-hit-teamsters-2019-they-refused-pay-n1270461

Ransomware attack hit Teamsters in 2019 — but they refused to pay

미국의 뉴스미디어 NBC News에 따르면, 트럭운전사조합을 대상으로 이루어진 랜섬웨어 공격은 2019년 9월의 노동절 날이 포함된 주의 주말에 발생했다고 합니다. 이 공격에서 해커는 트럭운전사조합이 보유하는 메일시스템과 데이터를 암호화하여 사용하지 못하도록 했습니다.

익명을 조건으로 NBC News의 취재에 응한 노조관계자는 "해커들은 시스템 전체를 봉쇄한 후 돈을 지불하면 잠금을 해제하기 위해 암호코드를 전달하겠다고 제시해왔다"고 전합니다.

다크웹을 통해 트럭운전사조합에 접촉해 온 해커는 조합이 보유한 전자파일에 대한 액세스 권한을 복구하는 대가로 250만 달러(약 27억 5000만 원)를 요구했다는 것.

트럭운전사조합은 랜섬웨어 공격을 FBI에 통보하여 공격자의 특정을 의뢰했지만, 당시 같은 피해가 다수 발생하고 있던 상황이어서 FBI는 트럭운전사조합에 대해 "범인 추적에 협력할 수 없다"고 답변했다고 합니다. 몸값 요구에 대해서는 "응하면 좋다"고 조언했다는 것.

랜섬웨어 공격에 대한 조합간부의 협의는 몸값을 절반 수준인 110만 달러까지 낮추어 그 금액을 지불하는 쪽으로 기울었지만, 최종적으로는 몸값을 지불하지 않기로 결정했습니다.

몸값 요구의 거부를 결정한 트럭운전사조합은 시스템을 자력으로 재구축한 후 데이터의 99%를 아카이브된 파일로 복구시켰습니다. 복구에는 하드카피로 보관되어 있던 자료도 사용되었다고 합니다.

최근의 랜섬웨어 공격은 피해자가 요구에 응하지 않을 경우 볼모로 잡은 기밀정보나 개인정보를 유출시키겠다고 협박하는 경향이 있지만, 당시에는 '피해자가 요구에 응하거나 자력으로 어떻게든 복구한다'는 양자택일의 케이스가 대부분이었다고 합니다. 따라서 트럭운전사조합이 몸값을 지불하지 않는다고 대응하자 순순히 해커는 물러났습니다.

사이버보안 기업 Recorded Future의 애널리스트인 앨런리스 카 씨에 따르면, 2019년 당시는 랜섬웨어 피해의 정도나 규모가 최근에 비해 작은 경향이었고, 피해자가 공격을 받아 피해를 입은 사실을 숨기기가 비교적 쉬웠다는 것. 따라서 트럭운전사조합의 경우처럼 공개되지 않은 랜섬웨어 피해는 많이 있었을 것으로 추정된다고 합니다.