아키라, 아파치의 무료 오피스 데이터 유출 예고
- 아파치재단의 무료 오피스 침해했다고 주장
- 직원 개인정보와 회사 기밀 가지고 있다고 주장
- 곧 공개하겠다는 걸로 보아 협상 진행에 차질 있는 듯
아키라(Akira) 랜섬웨어 조직이 새로운 데이터를 공개했다. 아파치오픈오피스(Apache OpenOffice)에서 탈취한 것으로 총 용량이 23GB다. 아직 아파치 측에서는 사실 확인에 관한 발표가 없는 상황이지만, 아키라의 전적을 고려했을 때 해당 주장이 허위일 가능성은 낮아 보인다.
어떤 데이터 가져갔나
아파치오픈오피스는 무료 오피스 솔루션이다. 우리가 잘 아는 MS 오피스와 비슷한 기능을 제공하는데, 아파치소프트웨어재단(Apache Software Foundation)이 만들었으며, 무료로 제공된다. 윈도, 리눅스, 맥OS 모두와 호환되며, 따라서 어떤 환경을 선호하든 상관없이 사용이 가능하다. 이 때문에 오피스의 무료 대체재로서 널리 사용되는 편이다.
아파치오픈오피스를 침해한 아키라의 주장에 따르면 현재 자기들 수중에 아파치재단 직원들의 개인정보가 있다고 주장하는 중이다. 거주지 주소, 전화번호, 운전면허증, 사회보장번호, 신용카드 정보 등이 포함돼 있다고 하는데, 이 역시 아직까지 정확한 사실 확인이 되지 않은 상황이다. 개인정보 외 재무기록, 내부 기밀을 일부 가지고 있다고도 밝혔다.
아키라가 실제 자신들의 다크웹 사이트에 게시한 글의 내용은 다음과 같다.
“곧 23GB의 내부 문서를 업로드 할 예정이다. 직원들의 개인정보와 회사 재무 정보, 내부 기밀, 애플리케이션 관련 오류 보고서 등이 포함돼 있는 데이터다.”
‘랜섬웨어 공격자들이 일방적으로 주장하고 있는 상황’이란 어떤 것일까? 피해자 측에서 확인하지 않고 있다는 것을 의미하며, 공격자들의 주장이 허위일 가능성이 남아 있다는 뜻이 된다. 공격자들이 늘 새로운 공격으로 새로운 데이터를 확보해 으름장을 놓는 건 아니다. 과거에 일어난 사건을 통해 확보한 데이터, 누군가로부터 우연히 얻어내거나 구매한 데이터를 가지고 협박하는 사례도 무척 많다. 허위 매물을 가지고 돈을 요구하는 것으로, 피해자는 공격자의 협상 시도에 응하기 전에 이러한 사실 관계부터 확인해야 한다.
오피스 소스코드까지 가져간 것일까? 만약 그렇다면 아파치의 오픈오피스를 사용하는 사람들로서는 큰일이 될 수 있다. 공격자들이 소스코드로부터 오픈오피스의 취약점을 보다 쉽게 발견해 공략할 가능성이 더 넓게 열리기 때문이다. 상황이 악화될 경우 사용자들은 오픈오피스를 버리고 다른 대체 솔루션을 찾아야 할 수도 있다.오픈오피스의 다운로드 인프라가 개발 서버와 분리돼 있는 것으로 알려져 있긴 하지만, 공격자가 어느 쪽으로 침투했는지는 알 수 없으므로 안심할 수 없다.
아키라, 어떻게 움직이고 있나?
아키라가 아파치재단과 어떤 식으로 대화를 진행하고 있는지는 알 수가 없다. 그들이 아파치 측에 뭘 요구했는지도 지금으로서는 공개되지 않은 상태다. 이전 사건들에서 아키라는 최소 20만 달러에서 수백만 달러까지 요구한 바 있다. 아파치에도 그 사이 금액을 요구했을 거라고 추측되고 있다.
하지만 아키라의 협박 문구에는 “곧 23GB의 데이터를 공개하겠다”는 내용이 포함돼 있다. 협상이 잘 진행되고 있다면 이런 식의 공개 압박을 할 이유가 없다. 즉 아파치 측이 아키라의 요구에 응하지 않고 있거나, 원하는 답을 주지 않는 것으로 추정이 가능하다. 실제 많은 랜섬웨어 조직들이 이런 식으로 최후 통첩을 날리곤 했는데, 그 때마다 결과는 좋지 않았다. 즉 공격자들이 결국 돈을 받아내지 못하고 데이터를 공개하는 것으로 사건이 결론났다는 것이다.
이러한 사례가 점점 늘어나고 있다. 피해자 측에서 랜섬웨어 공격자들의 협박에 응하지 않는 경우가 빈번해진다는 뜻이다. 얼마 전 에베레스트(Everest)라는 랜섬웨어 그룹도 AT&T가 원하는 걸 들어주지 않자 자신들이 가지고 있는 데이터를 공개했다. 그러면서 더블린공항과 에어아라비아를 추가 협박하는 움직임을 보이기도 했다. 전부 협상이 잘 흘러가지 않는다는 신호다.
기업들 사이에서 랜섬웨어 공격자들의 요구를 들어주지 않는다거나, 오히려 기업 쪽에서 요구하는 바를 명확히 전달해야 한다는 분위기가 형성되고 있다. 그렇게 했을 때 정부의 지원을 받을 확률이 높아지고, 그에 따라 실질적인 피해액이 평균 100만 달러 줄어든다는 연구 결과도 존재한다.
사용자들은 아파치오픈오피스를 새로 설치할 때 반드시 공식 웹사이트를 통해서만 파일을 다운로드 받아야 안전하다. 공격자들이 소스코드를 연구할 가능성도 있기 때문에 오픈오피스 관련 업데이트 소식을 주기적으로 접하고, 필요한 조치를 취하는 것도 권장된다. 아니라면 다른 오피스 솔루션을 알아보는 것도 안전을 위해서는 좋은 방법일 수 있다.
by 문가용 기자(anotherphase@thetechedge.ai)
Related Materials
- Akira Ransomware Claims It Stole 23GB from Apache OpenOffice, HackRead, 2024년
- Ransomware Spotlight: Akira, Trend Micro Security News, 2024년
- The SOC Case Files: XDR Catches Akira Ransomware, Barracuda Blog, 2024년
- Akira Ransomware: Published Over 30 New Victims on Their DLS, CyberInt, 2024년
문가용 기자
문가용 기자
![[TE머묾] 헝가리 통해 보는 보안 배척 레퍼토리](https://images.unsplash.com/photo-1590520477800-3907c51f094b?crop=entropy&cs=tinysrgb&fit=max&fm=jpg&ixid=M3wxMTc3M3wwfDF8c2VhcmNofDR8fCVFRCU5NSU5OCVFRCU5MiU4OHxlbnwwfHx8fDE3Nzg1NjYxMjR8MA&ixlib=rb-4.1.0&q=80&w=600)