델, 제품 시연 플랫폼 해킹 당해…신생 해킹조직 ‘월드릭스’, 데이터 유출 협박중

월드릭스, 지난 1월 헌터스 인터내셔널이란 이름에서 개명한 사이버 범죄 조직

기업들, 테스트 환경과 같은 비핵심 시스템까지 포함해 보다 광범위하고 체계적인 보안 전략 마련해야

델 테크놀로지스가 자사 제품 시연용 테스트 랩 플랫폼인 ‘커스터머 솔루션 센터(CSC)’가 사이버 공격을 받아 해킹당한 사실을 공식 인정했다. 이번 공격은 과거 랜섬웨어 조직인 ‘헌터스 인터내셔널(Hunters International)’에서 명칭을 바꾼 ‘월드릭스(World Leaks)’라는 신생 사이버 범죄 조직의 소행으로 드러났다.

델 측은 “공격자는 자사의 솔루션 센터에 접근했지만, 해당 환경은 고객 시스템 및 내부 네트워크와 철저히 분리된 시연용 테스트 플랫폼”이라며 “이 플랫폼은 실제 고객 서비스 제공에 사용되지 않으며, 민감 정보가 저장되지 않는 환경”이라고 밝혔다.

이번에 유출된 데이터는 대부분이 가짜 정보인 합성 데이터이거나 공개 데이터셋, 내부 시스템 스크립트, 제품 데모용 출력 데이터 등으로 구성돼 있었다. 델은 공격자가 유출한 데이터 가운데 실질적인 민감 정보는 없으며, 일부 오래된 연락처 목록만이 실제 정보일 가능성이 있다고 설명했다.

그러나 월드릭스는 자신들이 총 1.3TB 분량의 데이터를 확보했다고 주장하며, 구성 스크립트, 장비 백업, VMware 설정 파일, PowerStore 및 PowerPath 등 관련 도구, Terraform 자동화 모듈 등을 포함한 수십만 개의 파일을 다크웹 유출 사이트에 게시했다. 일부 파일에는 내부 장비 프로비저닝에 사용된 비밀번호도 포함된 것으로 알려졌으나, 고객 정보나 기업의 중요 기밀은 포함되지 않은 것으로 분석됐다.

월드릭스는 지난 1월 헌터스 인터내셔널이란 이름에서 개명한 조직이다. 이들은 기존 랜섬웨어 암호화 방식에서 벗어나, 데이터를 탈취하고 이를 유출하겠다는 협박 방식으로 활동 방식을 전환했다. 암호화 기반 공격보다 탐지 위험이 낮고 수익성이 높다는 이유에서다. 이들은 지금까지 전 세계에서 최소 280건 이상의 공격을 주장하고 있으며, 49개 조직의 데이터를 자사 유출 사이트에 게시해왔다.

이 조직은 또한 최근에 지원이 종료된 소닉월(SonicWall) SMA 100 장비의 취약점을 악용해 ‘OVERSTEP’이라는 맞춤형 루트킷을 설치한 정황도 드러났다. 해당 루트킷은 시스템에 은밀하게 침투해 장기적으로 제어권을 유지하는 방식으로, 이번 공격에도 유사한 기법이 사용됐을 가능성이 제기된다.

델은 공격 경로와 금전 요구 여부 등 구체적인 세부 사항은 조사 중이라는 이유로 공개하지 않았다. 다만, CSC 플랫폼은 원칙적으로 고객에게 민감 정보를 업로드하지 말 것을 고지하고 있으며, 이번 사건에서도 해당 정책이 제대로 작동했다고 밝혔다.

전문가들은 또한 비생산 환경이라 하더라도 다음과 같은 보안 수칙을 지켜야 한다고 조언한다. 첫째, 테스트 및 시연 시스템도 프로덕션 시스템과 동일한 수준의 인증, 접근통제, 모니터링 체계를 갖추어야 한다. 둘째, 사용하지 않는 합성 데이터는 주기적으로 삭제하거나 암호화해 유출 위험을 낮춰야 한다. 셋째, 오래된 장비는 사용을 중단하거나 별도의 보안 영역으로 격리해 관리해야 한다. 넷째, 대용량 데이터 전송과 같은 이상 징후를 탐지할 수 있는 네트워크 기반 분석 도구나 EDR 솔루션 도입이 필요하다.

이번 델 해킹 사건은 더 이상 단순한 랜섬웨어가 아닌, 데이터 탈취와 협박 중심의 사이버 공격이 기업을 위협하고 있음을 보여준다. 공격자는 민감하지 않은 데이터조차 ‘유출 가능성’만으로도 기업의 명성을 위협하며 금전적 협박 수단으로 활용하고 있다. 기업들은 테스트 환경과 같은 비핵심 시스템까지 포함해 보다 광범위하고 체계적인 보안 전략을 마련할 필요가 있다는 경각심을 가져야 할 시점이다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★