에베레스트 랜섬웨어, 협상 실패 후 AT&T 정보 공개

악명 높은 랜섬웨어 조직인 에베레스트(Everest)가 미국 대형 통신사 AT&T의 정보를 다크웹에서 공개했다. 특히 AT&T의 채용과 관련된 데이터베이스가 이번에 유출된 것으로 알려져 있는데, 그것이 사실이라면 지원자들과 인사 담당 직원들의 개인정보와 민감 정보가 다수 포함돼 있을 것으로 보인다. AT&T 측에서는 아직 공식 발표가 없는 상황이다.

에베레스트가 AT&T로부터 데이터를 훔쳐낸 것이 세상에 처음 알려진 건 지난 21일의 일이다. 에베레스트 측에서 자신들이 운영하는 다크웹 사이트를 통해 그러한 내용의 주장을 게시하면서였다. 당시에도 에베레스트는 고객 정보가 아니라 직원과 지원자 정보를 보유하고 있다고 했었다. 그러면서 “6일 내 연락하지 않으면 데이터를 공개할 것”이라고 협박했다. AT&T를 향한 경고였다. 

당시 샘플로서 공개된 건 43만 명의 개인정보가 포함된 파일 하나, 14만 명의 개인정보가 저장된 파일 하나였다. 이 두 개만 합해도 거의 60만 명에 육박하는 사람들의 개인정보인 것으로, 피해가 적다고 할 수 없다. 다만 AT&T에서는 이 때도 입장문을 발표하지 않았다. 여러 외신들을 통해 봤을 때, 인터뷰도 죄다 거절하고 있는 것으로 보였다.

그리고 29일인 오늘, 에베레스트가 해킹을 주장하고서 8일이 지난 시점, 에베레스트는 자신들이 보유한 정보를 공개하기에 이르렀다. 대중들에게 침묵을 지키던 AT&T가, 에베레스트에게도 별다른 반응을 하지 않았던 것으로 추정된다. 혹은 서로의 의견이 조율되지 않았을 수도 있다. 

에베레스트의 다른 피해자들은?

AT&T 사건 직후 에베레스트는 곧바로 더블링공항과 에어아라비아를 협박했다. 이 두 곳에서도 적잖은 데이터를 훔쳐낸 뒤 6일의 응답 기한을 제시했다. 이와 관련된 내용은 본지에서 상세히 보도한 바 있다. 이 때가 25일이었으니, 더블린공항과 에어아라비아는 31일까지 협상을 이어갈 수 있을 거라고 사람들은 예상했다.

하지만 AT&T와의 협상 실패로 정보를 공개한 에베레스트는, 그와 함께 더블린공항의 데이터도 같이 공개했다. 즉 자신들이 제시한 협상 기한을 이틀이나 어기면서 사건을 악화시킨 것이다. 다만 더블린공항 데이터의 경우 전체 공개가 아니라, ‘판매용’으로 게시돼 있다. 누구나 100만 달러만 내면 해당 데이터를 가져갈 수 있다고 한다. 해당 데이터란, 150만 명의 승객 데이터를 말한다. 구매자나 이력에 대한 내용은 아직 공개되지 않았다.

에어아라비아에서 에베레스트는 직원 정보를 훔친 것으로 알려져 있다. 이 정보 역시 현재 200만 달러에 판매되고 있다. 더블린공항과 마찬가지로 에어아라비아도 에베레스트의 요구를 곧이 곧대로 들어주지 않았을 가능성이 높아 보인다. 다만 이들이 판매하고 있는 정보는 비공개이기 때문에 진위여부를 판단하기가 어렵다. 

협상, 잘 되지 않는 것일까

약속한 31일이 되지도 않았는데 에베레스트는 왜 미리 데이터를 판매용으로 전환한 것일까? 공격자와 피해자 모두 공식 입장을 밝히지 않고 있어 정확히 알 수 없지만, 피해자를 압박하기 위한 것으로 보인다. 더블린과 아라비아 측에서 연락을 취하지 않았기 때문에 추가 압박이 필요했을 수도 있지만, 협상이 에베레스트가 원하는 방향으로 진행되지 않아 강수를 둔 것일 수도 있다. 

어느 쪽이든 최근 랜섬웨어 조직들과의 협상을 진행하는 피해자들의 태도에 변화가 있음을 엿볼 수 있다. IBM은 ‘2025년 데이터 유출 비용 보고서’를 통해 “글로벌 기업 63%가 랜섬웨어 공격에 당해도 협상에 응하지 않는다”며 “이런 선택을 하는 기업들이 매년 늘어나고 있다”고 알렸다. 그 이유는 “돈을 지불한다 해도 데이터를 돌려 받을 거라는 확신이 100% 없기 때문”이라고 한다. 아직 범죄 조직에 대한 신뢰가 충분치 않다는 의미다.

보안 기술이 충분히 강력해졌다는 것 역시 ‘협상 거부’의 근거가 되고 있다. 특히 ‘에어갭 백업’이라는 기술이 점차 널리 도입되면서 랜섬웨어에 공격에 버텨내는 힘이 강해졌다고 업계는 분석하고 있다. 물론 데이터를 훔쳐서 공개하는 유형의 공격에 백업 기술은 무용지물이 되긴 하지만, 기업 입장에서는 데이터가 공개되는 것보다 데이터가 암호화 되면서 서비스가 중단되는 것이 더 무섭기 때문에 백업 기술의 발전은 방어에 유효하다. 

랜섬웨어 사건을 신고하는 사례가 증가한다는 것 역시 협성 거부 증가를 야기한다. 대부분 나라에서 정부 기관들의 기본적인 입장은 ‘랜섬웨어 조직과의 협상을 권하지 않는다’이기 때문이다. 신고를 통해 정부 기관과 협업하려면 정부 기관의 권고 사항을 들어주는 게 유리하다. 또 IBM은 상기 보고서를 통해 “신고한 조직이 그렇게 하지 않은 조직보다 평균 100만 달러를 절감했다”는 결과를 발표하기도 했다. 이런 사실이 알음알음 퍼지면서 조직들은 협상하지 않는 쪽을 점점 더 많이 택하고 있다.

by 문가용 기자(anotherphase@thetechedge.ai)

Related Materials

• Everest Ransomware Claims AT&T Careers Breach with Over Half a Million Records, HackRead, 2024년
• Everest Ransomware Claims AT&T Careers Breach With 576,000 Records, Malware News, 2024년
• Everest Ransomware Claims AT&T Careers Breach with 576,000 Records, Threat Radar, 2024년
• Everest Ransomware Attack on AT&T Careers, DeXpose, 2024년

랜섬웨어 그룹 메두사, 대형 통신사 컴캐스트 침해

💡Editor’s Pick - 랜섬웨어 메두사, 컴캐스트 침해 주장 - 컴캐스트는 아직 묵묵부답에 침묵 - 각종 금융 및 보험 관련 내부 정보 유출된 듯 악명 높은 랜섬웨어 그룹 메두사(Medusa)가 대형 통신 및 엔터테인먼트 기업인 컴캐스트(Comcast)를 공략하는 데 성공한 것으로 보인다. 메두사가 다크웹에 마련된 자신들의 사이트를 통해 주장한

The Tech Edge문가용 기자

항공 산업 흔들리나? 더블린과 아라비아에서 울린 경보

💡Editor’s Pick - 더블린공항서 150만 개인정보 유출된 듯 - 에어아라비아 직원 1만 8천명 정보 유출된 듯 - 배후의 에베레스트 랜섬웨어, 항공 산업 공급망 노리고 있는 듯 항공 산업이 다시 한 번 랜섬웨어에 당했다. 이번에는 더블린공항(Dublin Airport)과 에어아라비아(Air Arabia)다. 에베레스트(Everest)라고 알려진 랜섬웨어 그룹이 자신들의 정보

The Tech Edge문가용 기자