[지디넷코리아]
인공지능(AI) 음성 기록 솔루션 ‘다글로’를 운영하는 비즈니스 워크플로우 특화 AI 기업 ‘액션파워’가 랜섬웨어 공격을 당했다. 공격자는 총 450GB(기가바이트)에 달하는 민감 데이터를 탈취했다고 주장했다. 대기업 위주로 공격적인 행보를 보이던 랜섬웨어 조직이 국내 스타트업까지 타깃 삼아 공격을 시도한 것이다. 액션파워은 “랜섬웨어 공격을 당한 것은 맞지만, 사용자들의 개인정보나 회사에 치명적인 데이터는 유출이 없고, 이는 KISA와 함께 확인한 결과”라고 밝혔다.
8일 본지 취재를 종합하면 랜섬웨어 조직 ‘크립토24(Crypto24)’는 지난달 27일 자신들의 다크웹 유출 전용 사이트(DLS)에 액션파워를 피해 기업으로 등록했다. 이후 액션파워가 협상에 응하지 않자 최근 데이터를 공개한 것으로 확인됐다.
크립토24는 “액션파워의 AI 소스코드와 전체 인프라에 접근할 수 있는 액세스 자격 증명을 포함해 450GB의 민감 데이터를 유출했다”며 “유출한 데이터에는 전략 로드맵부터 직원 및 고객의 개인정보, 음성 녹음 등에 이르기까지 모든 기밀 기업 기록이 포함돼 있다”고 주장했다.
크립토24는 탈취한 데이터 파일명을 리스트로 정리한 txt(메모장) 파일과 실제 액션파워 내부 데이터 중 일부를 샘플 데이터로 공개했다.
탈취 데이터 리스트 보면 액션파워가 추진한 프로젝트들의 소스코드부터 직원 계약서, 연봉 협상 및 면접 메모 내용, 가족관계증명서, 신분증, 이력서 등 임직원 개인정보가 담긴 파일들이 포함돼 있다. 차량등록증, 의료기록, 경영현황, AWS 키, 투자 계획, 업무협약서 등 회사의 민감 정보들도 탈취했다고 크립토24는 주장하고 있다. 또 퇴사자 신분증까지 포함됐다. 직원의 퇴사 후에는 개인정보를 파기하고, 관련 데이터 및 권한을 말소하는 것이 현행법상 의무다.
하지만, 이같은 데이터들은 크립토24가 단순히 탈취했다고 주장하는 파일명만 정리해 나열한 것이기 때문에 실제 데이터를 탈취했는지 여부는 확인할 수 없다. 하지만 해커가 공개한 샘플 파일의 경우에는 실제 확인이 가능한 상태였다. 공격자가 해킹 성공을 주장하기 위해 확인 가능한 형태로 파일을 업로드한 것이다. 이 샘플데이터 중에는 올해 2월23일 날짜의 액세스 파일과 패스워드가 함께 포함돼 있는 폴더, 연봉협상 중 메모한 것으로 보이는 txt 파일 등이 포함돼 있었다.
액션파워 설명에 따르면 접근이 가능한 샘플 파일 중 인증키 파일의 경우 내부 서버 도메인 인증·개발용으로 사용되는 키인 것으로 확인됐다. 다만 회사는 프로덕션에서 사용하는 인증키는 클라우드에서 별도 관리되며 유출되지 않았다고 밝혔다. 또 유출 여부와 관계 없이 랜섬웨어 공격 이후 모든 인증키를 최초 해킹 탐지 시점에 즉시 폐기했고, 새로운 키를 발급했다고 설명했다.
액션파워 측은 “지난달 22일 오후 12시12분 내부 모니터링 과정에서 시스템 내 보안 이상 징후를 선제적으로 감지, 즉시 전문 인력을 투입해 1시간 내로 해당 침투 계정을 즉각 차단했다”며 “이후 혹시 모를 추가 영향을 원천 봉쇄하고자 앱과 웹 서버 운영을 즉시 중단하도록 결정했으며, 전체 시스템 정밀 전수 점검을 실시해 지난달 23일 오전 7시경 주요 기능을 재개, 오전 8시에는 모든 기능을 최종 정상화했다”고 밝혔다.
이어 “첫 공격 이후 지난 주에 (공격자가) 탈취한 데이터를 공개했는데, 유출된 데이터는 과거 소스코드나 현재 사용하지 않는 폐기 자료 등이다”라며 “확인 가능한 현재 유출된 데이터는 임직원 개인 드라이브 자료로, 회사 대외비 자료 등은 별도로 관리하기 때문에 유출은 없다. 그럼에도 개인 자료이기에 발생 당일 즉시 한국인터넷진흥원(KISA) 신고와 함게 개인정보보호위원회에 신고 조치를 완료했다”고 설명했다.
회사는 “액션파워 팀은 동일한 현상이 재발하지 않도록 즉시 재발 방지 대책 전담 팀을 꾸렸다. 해당 팀을 중심으로 전사 차원의 보안과 모니터링 시스템을 강화했다”며 “일시적인 조치가 아니라, 월간·분기 단위 내부 정기 점검 시스템을 구축했으며, 외부 보안 전문가 컨설팅도 실시해 미세한 보완 사항까지 점검했다”고 강조했다.
아울러 “랜섬웨어 공격을 당한 것은 맞지만, 사용자들의 개인정보나 회사에 치명적인 데이터는 유출이 없는 상황”이라며 “혹시 모르는 상황을 대비해 서비스 이용 고객 전체 대상으로는 개인정보 보호 및 도용 방지를 위해 비밀번호 변경 등을 협조 요청드렸으며, 데이터 점검을 위한 서비스 장애가 있었던 만큼 이 부분에 대한 고객 보상안을 제공할 예정”이라고 밝혔다.
한편 크립토24는 지난 2024년 처음 식별된 랜섬웨어 조직이다. 이달 2일까지 총 45곳의 기업을 공격했으며, 한국 기업을 대상으로 공격한 사례는 액션파워의 경우가 처음이다.
클라우드 및 엔터프라이즈 사이버 보안 기업 트렌드AI(전 트렌드마이크로)가 지난해 8월 발표한 크립토24 분석 보고서에 따르면 크립토24는 고도의 조직력을 바탕으로 공격을 수행하는 것으로 알려졌다. 특히 탐지를 우회하고 피해를 극대화하기 위해 활동이 뜸한 시간대를 노려 공격하는 것으로 나타났다. 아시아, 유럽, 미국 지역의 대기업 및 엔터프라이즈급의 조직을 타깃으로 공격해 단시간에 위협을 확대하고 있다.
트렌드AI는 “크립토24는 최신 방어체계를 교묘하게 회피할 수 있는 능력을 보여줬다”며 “암호화를 시작하기 전에 공격 지속성을 유지하는 능력은 일반적인 랜섬웨어 조직에서는 보기 드문 인내심과 전략, 계획을 갖고 있는 것으로 보인다. 심지어 크립토24는 단순한 랜섬웨어 공격을 넘어 위협 행위자들이 보안 시스템을 면밀히 분석하고 체계적인 취약점을 파악해 이를 악용하기 위한 특수 설계된 도구를 개발하기도 한다”고 설명했다.