* 중국 은행 ICBC의 미국 금융 서비스 부서가 사이버 공격을 받아 미국 국채 거래에 영향을 미친 것으로 알려졌습니다.
* 자산 기준 세계 최대 은행인 ICBC는 목요일 금융 서비스 부문이 랜섬웨어 공격을 받아 “특정” 시스템에 장애를 일으켰다고 밝혔습니다.
* 보안 전문가들은 해킹 그룹 락비트(LockBit)의 랜섬웨어가 ICBC에 대한 사이버 공격을 수행하는 데 사용되었다고 말했습니다.
사이버 공격 당한 중국공상은행 ICBC
중국공상은행(ICBC)의 미국 금융 서비스 사업부가 사이버 공격을 받아 국채 거래가 중단된 것으로 알려졌습니다.
자산 기준 세계 최대 은행인 중국공상은행은 지난 목요일 금융 서비스 부문인 ICBC 금융 서비스가 랜섬웨어 공격을 받아 “특정” 시스템에 장애가 발생했다고 밝혔습니다.
ICBC는 해킹을 발견한 직후 “영향을 받은 시스템을 격리하여 사고를 억제했다”고 말했습니다.
※ 랜섬웨어는 사이버 공격의 한 유형입니다. 해커가 시스템이나 정보를 장악하고 피해자가 몸값을 지불한 후에야 이를 풀어주는 방식입니다.
ICBC는 공격의 배후가 누구인지는 밝히지 않았지만 “철저한 조사를 진행하고 있으며 정보 보안 전문가로 구성된 전문 팀의 지원을 받아 복구 작업을 진행하고 있다”고 말했습니다. 또한 법 집행 기관과 협력하고 있다고 말했습니다.
ICBC는 수요일에 실행 된 미국 재무부 거래와 목요일에 이루어진 레포 파이낸싱 거래를 “성공적으로 청산”했다고 밝혔습니다. 레포는 국채 딜러를 위한 단기 차입의 일종 인 환매 계약입니다.
그러나 여러 뉴스 매체에서 미국 국채 거래에 차질이 발생했다고 보도했습니다. 파이낸셜 타임즈는 금요일 트레이더와 은행을 인용하여 랜섬웨어 공격으로 인해 ICBC 사업부가 다른 시장 참여자를 대신하여 국채 거래를 결제하지 못했다고 말했습니다.
미국 재무부는 CNBC와의 인터뷰에서 “우리는 사이버 보안 문제를 인식하고 있으며 연방 규제 당국 외에도 주요 금융 부문 참여자들과 정기적으로 연락하고 있습니다. 우리는 계속해서 상황을 모니터링하고 있습니다.”고 말했습니다.
ICBC는 미국 금융 서비스 부문의 이메일 및 비즈니스 시스템이 ICBC의 중국 사업부와 독립적으로 운영되고 있기 때문에 본사, ICBC 뉴욕 지점 및 기타 국내외 계열 기관의 시스템은 사이버 공격의 영향을 받지 않았다고 밝혔습니다.
중국 정부의 반응
로이터 통신에 따르면 중국 외교부 대변인 왕원빈은 금요일 ICBC가 공격 후 영향과 손실을 최소화하기 위해 노력하고 있다고 보도했습니다.
왕 대변인은 정례 기자 회견에서 ICBC가 이 문제에 세심한 주의를 기울이고 있으며 긴급 대응과 감독을 잘 처리했다고 말했습니다.
랜섬웨어 공격 배후
아직 아무도 공격이 자신들의 소행이라고 주장하지 않고 있으며, ICBC는 배후가 누구인지 밝히지 않았습니다.
사이버 보안 세계에서는 해커가 자신의 위치와 신원을 감추기 위해 사용하는 기술 때문에 사이버 공격의 배후를 찾는 것이 매우 어려운 경우가 많습니다. 하지만 공격을 수행하는 데 사용된 소프트웨어의 종류에 대한 단서는 있습니다.
스웨덴 사이버 보안 회사 트루섹의 설립자 마커스 머레이는 사용된 랜섬웨어가 락빗 3.0(LockBit 3.0)이라고 말했습니다. 머레이는 이 정보가 트루섹과 관련이 있는 소식통으로부터 입수했다고 말했지만, 기밀 유지상의 이유로 그 소식통이 누구인지는 밝히지 않았습니다. 파이낸셜 타임즈는 두 명의 소식통을 인용해 이번 공격의 배후에 LockBit 3.0이 있는 소프트웨어가 있다고 보도했습니다.
이러한 종류의 랜섬웨어는 다양한 방식으로 조직에 침투할 수 있습니다. 예를 들어 누군가가 이메일의 악성 링크를 클릭할 수 있습니다. 일단 침투하면 기업의 민감한 정보를 빼내는 것이 목표입니다.
VMware 사이버 보안 팀은 지난해 블로그에서 LockBit 3.0이 “멀웨어의 각 인스턴스가 고유한 암호를 필요로 하기 때문에 분석이 매우 어렵거나 불가능하기 때문에 보안 연구자들에게는 도전 과제”라고 말했습니다. 연구원들은 이 랜섬웨어가 분석으로부터 “강력하게 보호”된다고 덧붙였습니다.
미국 정부 사이버 보안 및 인프라 보안 기관은 LockBit 3.0이 “더 모듈화되고 회피성이 높아져 탐지가 더 어려워졌다”고 말합니다.
사이버 보안 업체 Flashpoint의 데이터에 따르면 LockBit은 2022년 7월부터 2023년 6월까지 알려진 모든 랜섬웨어 공격의 약 28%를 차지한 가장 인기 있는 랜섬웨어 변종입니다.
락빗 LockBit 이란?
LockBit은 소프트웨어의 배후에 있는 그룹입니다. 이 그룹의 비즈니스 모델은 “서비스로서의 랜섬웨어“로 알려져 있습니다. 이 그룹은 계열사라고 알려진 다른 해커들에게 악성 소프트웨어를 효과적으로 판매하고, 이들은 사이버 공격을 계속 수행합니다.
이 그룹의 리더는 다크 웹 해킹 포럼에서 “LockBitSup“이라는 온라인 이름을 사용합니다.
플래시포인트는 블로그 게시물에서 “이 그룹은 주로 러시아어와 영어로 게시물을 올리지만, 웹사이트에 따르면 이 그룹은 네덜란드에 있으며 정치적 동기가 없다고 주장합니다.”라고 말했습니다.
이 그룹의 악성코드는 중소기업을 표적으로 삼는 것으로 알려져 있습니다.
LockBit은 이전에 보잉과 영국에 대한 랜섬웨어 공격의 책임이 있다고 주장한 바 있습니다.
지난 6월 미국 법무부는 미국, 아시아, 유럽, 아프리카의 컴퓨터를 대상으로 “수많은 LockBit 랜섬웨어 및 기타 사이버 공격 배포”에 관여한 혐의로 러시아 국적의 한 사람을 기소했습니다.
법무부는 6월에 발표한 보도 자료에서 “LockBit 공격자들은 미국과 전 세계 피해자들을 대상으로 1,400건 이상의 공격을 실행하여 1억 달러 이상의 몸값을 요구해 비트코인으로 최소 수천만 달러의 실제 몸값을 받았습니다.”라고 말했습니다.