Security

신생 사르코마 랜섬웨어, 스위스 라딕스 공략 성공

JustAnotherEditor

02 Jul 2025 — 6 min read

💡

Editor Pick
- 스위츠 라딕스, 신종 랜섬웨어 그룹 사르코마에 의한 공격
- 공격 확인 즉시 데이터 접근 차단 했으나 이미 유출
- 라딕스 고객 중, 연방 정부도 정보 유출 등의 가능성 존재

스위스의 비영리 헬스케어 조직인 라딕스(Radix)가 랜섬웨어 공격에 당했다. 실제 공격이 있었던 건 6월 초인 것으로 보이고, 사건이 확인된 것은 스위스 현지 기준 6월 29일이었다. 라딕스 측에서 해당 사건을 인정하며 직접 발표한 건 6월 30일이다. 사건의 배후에는 비교적 신생 그룹인 사르코마(Sarcoma)가 있었다.

요 몇 년 간 랜섬웨어 조직들 사이에서는 데이터 암호화와 데이터 탈취를 동시에 실시하는 게 유행했는데, 사르코마 역시 그 패턴을 답습하고 있다. 라딕스로부터 각종 데이터를 탈취했고, 그 데이터를 자신들의 사이트에 29일 공개했다. 라딕스도 게시물이 올라온 후에서야 피해 사실을 인지했다고 한다.

라딕스는 독일어로 된 성명서(https://www.radix.ch/media/4vhnnese/informationen-zum-cyberangriff-auf-radix-20250630.pdf)를 통해 “랜섬웨어 공격에 당한 것이 확인됐다”며 “피해 가능성이 있는 당사자들에게 개별적으로 연락을 드리고 있다”고 밝혔다. 그러면서 “파트너사나 기관의 민감 데이터에 악영향이 있다는 신호를 발견하지 못했다”고 덧붙이기도 했다. 현재는 유관 기관들과 함께 사건을 조사하는 중이라고 한다.

“랜섬웨어 공격이 확인되자마자 저희 쪽에서는 해당 데이터에 대한 접근을 차단했습니다. 하지만 이미 데이터는 유출된 후였습니다. 또한 데이터 암호화도 이뤄졌음을 확인할 수 있었습니다. 다행히 저희 라딕스는 모든 데이터를 백업 형태로 보유하고 있습니다. 따라서 데이터 암호화에 대한 피해는 크지 않을 것으로 예상합니다. 공격의 기술적 내용은 아직 다 조사하지 못했습니다.”

더 큰 문제는 스위스 연방 정부 기관에도 영향이 있다는 것이다. 스위스 정부 역시 성명(https://www.news.admin.ch/en/newnsb/T5AZeWNEPFGe)을 통해 “라딕스의 고객 중 여러 연방청들이 있었다”며 “해당 기관들의 정보가 다크웹에 공개됐고, 현재 상세 분석을 진행 중에 있다”고 발표했다. 조만간 정확히 어떤 기관의 어떤 정보가 새나갔는지 알려질 것이라고 한다. “다만 라딕스가 행정부 시스템에 직접 접근할 권한을 가지고 있지는 않았습니다. 따라서 공격자들도 라딕스를 통해 행정부에 침입하지는 못했습니다.”

라딕스나 스위스 연방 정부나 정확히 어떤 데이터가 암호화 및 유출됐는지 공개하지 않고 있다. 새나간 데이터 규모가 어느 정도인지도 아직 공식화 되지 않았다. 다만 사르코마는 스스로 라딕스의 데이터 2 테라바이트를 보유하고 있다고 주장하는 중이다. 이들에 의하면 라딕스에 1주일의 협상 기간을 허락했다고 하는데, 라딕스가 정부와 깊이 얽혀 있는 조직이라 그런지 응하지 않은 것으로 보인다. 세계의 여러 정부들은 랜섬웨어 공격자들과의 협상을 금기시 하고 있다. 라딕스는 협상 여부에 대해서는 아무런 정보도 공개하지 않고 있다.

라딕스는 “향후 몇 달간 피싱 공격 가능성에 대비하여 경계심을 특별히 높여야 한다”고 자신들의 고객들에게 권고했다. “정확히 확인되지 않은 곳에 개인정보를 절대로 제출하지 말아야 합니다. 공격자들은 각종 유명 브랜드나 공공 기관, 심지어 피해자의 친한 지인까지도 사칭할 수 있습니다. 그러니 잘 아는 것(사람)이나 친숙한 것(사람)이라고 해서 무조건 믿어서도 안 됩니다. 섣부른 안심이 보안에 있어서 가장 큰 적입니다."