미국판 다이소 달러트리, 랜섬웨어에 당했나

미국판 다이소인 달러트리(Dollar Tree)가 랜섬웨어 공격에 당했다. INC라는 랜섬웨어 공격 집단이 자신들의 소행임을 주장하는 중이다. INC는 자신들이 운영하고 있는 정보 유출 및 협박용 다크웹 사이트에 달러트리의 이름을 올리며 “1.2TB의 민감 데이터를 보유하고 있다”고 밝혔다. 공개된 일부 샘플 내에는 민감할 수 있는 문서들이 다량 포함돼 있었다고 보안 외신들이 보도하고 있다.

현재까지 확인된 민감 문건들은 다음과 같다.

1) 여권 사본

2) 다양한 형태의 급여 관련 양식

3) 입사 관련 서류

4) 계약서

5) 사측과 직원 간 교환하는 법적 문서

6) 성희롱 및 차별 사례와 처벌 기록

INC?

INC의 정확한 이름은 INC랜섬(INC Ransom)이다. 골드아이오닉(Gold Ionic)이라고도 불린다. 2023년 7월부터 활동하고 있으며, 여러 악성코드를 활용하는 것으로 알려져 있다. 특별히 집중해서 노리는 산업군이나 지역은 따로 없지만 미국과 유럽에서 주로 피해자가 나타나고 있다. 러시아에 근거지를 마련하고 있을 것으로 의심되나 아직 확실시 된 것은 아니다.

최근의 랜섬웨어 조직들과 마찬가지로 ‘이중 협박’ 전술을 구사한다. 피해자의 데이터를 가져간 후에 암호화 하는 전략으로, 피해자들이 데이터 복구를 위해 공격자에게 돈을 지불하지 않는다면, 따로 가져간 데이터를 공개하겠다고 협박해 결국 돈을 지불하게 만드는 것. 이 전략은 랜섬웨어 산업에서 혁신적인 성공을 거두었고, 랜섬웨어의 중흥을 이끌고 있다.

참고로 INC는 최근 링스(Lynx)라고 스스로를 부르기 시작했다. 왜 이름을 바꾸기로 했는지는 명확히 알려지지 않고 있으나, 보통 사이버 공격자들은 사법 기관에 꼬리를 밟히기 시작하면 갑자기 리브랜딩 작업에 돌입한다. INC가 그간 영국 NHS 등 굵직한 기관들을 세계적으로 노려왔기 때문에 사법 기관들의 관심을 받고 있는 것 역시 사실이다.

달러트리

하지만 달러트리 측은 이번 사건과 자신들은 무관하다고 반박했다. “INC가 달러트리로부터 데이터를 훔쳤다고 주장하는데, 저희는 그렇게 판단하고 있지 않습니다. 저희와 비슷한 브랜드인 ‘99센트온리스토어(99 Cent Only Store)’에서 사건이 벌어진 것으로 봅니다. 샘플에 포함된 일부 부동산 임대 관련 문건이 이를 뒷받침합니다. 저희와는 무관한 사업이거든요.” 이러한 주장에 대해 INC는 아직까지 별 다른 반박문을 게시하지 않고 있다. 

랜섬웨어 그룹들이 자신들의 공격 대상을 착각하는 건 흔히 있는 일이다. 아예 다른 대상을 공격하고서는 모르기도 하고, 공격 대상자가 낼 수 있는 돈의 규모를 잘못 계산하기도 하며, 그리 치명적이지 않은 데이터를 가져간 것으로 협박을 하기도 한다. 예를 들어 2021년, 당시 악명 높았던 랜섬웨어 그룹 콘티(Conti)는 아일랜드의 의료보험공단을 공격해 국가 의료 시스템 자체에 장애를 일으킨 바 있다. 이에 대중들의 비판이 쏟아지자 허겁지겁 복호화 키를 내놓았다. 자신들이 의료 시스템을 공략했다는 것을 뒤늦게서야 깨달은 눈치였다.

Related Materials

• Dollar Tree data breach exposes company data – hackers - CyberNews, 2025년
• Check Point Research reports 30% surge in global cyber attacks, retail sector impact - Check Point Research, 2024년
• Dollar Tree hit by third-party data breach impacting 2 million people - BleepingComputer, 2023년
• Dollar Tree Third-Party Data Breach Exposes Sensitive Data of Nearly 2 Million Employees - CPO Magazine, 2023년