美 스타벅스 마비 사이버 공격 배후는?…신생 '터마이트' 추정
by최연두 기자
2024.12.10 17:11:16
지난달 공급망SW 기업 '블루욘더' 랜섬웨어 감염
고객사 스타벅스 등 대기업들 운영에 차질
다크웹에 탈취 데이터도 공개
[이데일리 최연두 기자] 최근 미국 공급망 관리(SCM) 소프트웨어 업체 블루욘더가 랜섬웨어에 감염돼, 해당 솔루션을 쓰는 미국 스타벅스 일부 매장의 업무가 마비되는 피해가 발생한 가운데 신생 해커 조직 ‘터마이트’(Termite·흰개미)가 이번 공격의 주범이 본인들이라고 밝혔다. 이들은 이번 공격을 통해 확보한 것으로 보이는 대량의 데이터도 공개해, 2차 피해 우려를 키우고 있다.
| 랜섬웨어 해커 조직 ‘터마이트’가 다크웹 사이트에 게재한 블루욘더 공격 관련 글(사진=캡처) |
|
10일 터마이트 조직의 자체 다크웹 사이트에서는 블루욘더 사내 문서로 추정되는 자료와 보고서, 이메일 목록을 포함해 680기가바이트(GB)규모의 파일을 내려받을 수 있다.
미 애리조나주에 본사를 둔 블루욘더는 전 세계 70여개 국가에 고객사 3000곳 이상을 둔 업체로, SAP와 오라클에 이어 SCM 소프트웨어 시장 점유율 3위를 차지하고 있다. 주요 고객으로 스타벅스, 코카콜라, DHL, 인텔 등이 있으며, 기업공개(IPO) 준비에 한창이기도 하다.
블루욘더는 지난달 21일(현지시간) 자체 서비스 호스팅 인프라가 랜섬웨어의 공격을 받았는데, 이로 인해 고객사인 미국 스타벅스를 비롯해 영국 세인즈버리, 모리슨 등의 식료품 매장도 일부 서비스 중단을 겪으면서 곤혹을 겪었다.
특히 스타벅스는 블루욘더의 솔루션을 활용해 임직원의 근무 시간 기록과 급여 계산, 지급 등 업무를 진행해왔으나, 이번 공격 이후 관련 모든 업무를 수기로 진행 중이다. 블루욘더는 현재 막바지 시스템 복구에 한창인 것으로 알려졌다.
올 초 처음 발견된 터마이트는 다른 랜섬웨어 조직과 비교해 크게 다른 점은 없지만, 최근 여러 건의 사이버 공격에 성공하며 주목 받았다. 미국 자동차 부품 공급 기업과 독일의 사회복지 단체 등 총 7개 피해 조직에서 유출했다고 주장하며 각각의 데이터를 다크웹 사이트에 공개했다. 테크크런치 등 외신은 이 조직이 러시아 정부를 배후에 둔 것으로 추정하고 있다.
랜섬웨어 조직들은 피해 조직과 금전 협상이 결렬되면, 탈취한 데이터를 유포하겠다고 협박하는 등 순서로 공격을 감행한다.
문제는 랜섬웨어가 소프트웨어 공급망을 타고 흘러들어가 대규모 기업에도 악영향을 미친다는 점이다. 이번 블루욘더의 랜섬웨어 감염으로 대기업이 운영상 차질이 생긴 것이 일례다.
한국인터넷진흥원(KISA)은 공급망 공격을 예방하기 위한 방안으로 △인증서 및 개발 시스템 관리 △백신 프로그램 최신 업데이트 실시 △침해사고 발생 시 비상 연락망 구축 등이 필요하다고 강조했다.