[아이티데일리] ‘클롭(Clop)’ 랜섬웨어 조직으로 추정되는 공격자가 ‘오라클 E-비즈니스 스위트(Oracle E-Business Suite)’에서 데이터를 탈취했다고 주장하며 몸값을 요구하는 사례가 발생했다.

1일(현지 시각) ‘사이버스쿱(CyberScoop)’ 등 외신에 따르면 사이버 범죄자들이 오라클 고객에게 이메일을 보내 E-비즈니스 스위트에서 데이터를 훔쳤다며 금전적으로 협박하고 있다. 이들은 본인들이 클롭 랜섬웨어와 관련됐다고 주장했다.

오라클 E-비즈니스 스위트는 재무, 인사, 영업 등 업무 프로세스를 하나의 시스템으로 관리하고 자동화하는 오라클의 애플리케이션 제품군이다. 전사적 자원 관리(ERP), 고객 관계 관리(CRM), 공급망 관리(SCM) 등 여러 솔루션이 모듈로 제공된다.

이메일을 받은 조직들의 오라클 환경에 대해 조사가 진행되고 있다. 하지만 범죄자들이 주장하는 데이터 도용이 사실인지는 아직 확인되지 않았다.

맨디언트(Mandiant)와 구글 위협 인텔리전스 그룹(GTIG)은 이번 공격의 주체를 추적하고 있다. 이 과정에서 해킹된 수백 개의 계정을 이용한 대규모 이메일 공격이 진행 중인 상황을 포착했다. 초기 분석 결과 최소 한 개의 계정이 ‘FIN11’ 위협 조직과 연관된 것으로 나타다.

FIN11은 2016년부터 금전을 목적으로 장기간 공격을 감행하며 랜섬웨어 배포 및 갈취 활동으로 악명이 높은 조직이다. 2020년경부터 클롭 랜섬웨어를 배포해 피해자 네트워크에 침입해 데이터를 탈취하는 활동을 벌였다. 갈취한 데이터를 대가로 피해자에게 많게는 1천만 달러(한화 약 140억 원)를 요구하며, 지불하지 않을 시 공개하겠다고 협박하는 것으로 알려졌다.

구글 클라우드 맨디언트 컨설팅 찰스 카르마칼(Charles Carmakal) 최고기술책임자(CTO)는 “악성 이메일에는 두 공격자의 연락처가 포함됐는데, 이 정보가 클롭 데이터 유출 사이트(DLS)에도 게시돼 있음을 확인했다”며 “이는 FIN11이 최근 클롭 랜섬웨어 공격과 관련이 있다는 점을 암시하는 동시에, 클롭의 인지도를 악용하고 있음을 시사한다”고 설명했다.

그럼에도 GTIG 측은 이번 공격이 클롭 랜섬웨어와 연관됐다는 주장의 진위를 판단하기 어렵다고 밝혔다. 찰스 카르마칼 CTO는 “금전적 이익을 노리는 사이버 범죄 세계에서 공격자를 식별하는 과정은 복잡하다”며 “공격자는 피해자에 대한 영향력과 압박을 높이기 위해 클롭과 같은 조직을 모방하는 경우가 빈번하다”고 말했다.

맨디언트에서는 이번 공격과 관련해 피해 조직이 자체적으로 환경 조사를 진행해 공격 활동 증거를 확보할 것을 권고했다.