Introduction

기사: 클리블랜드 건설, 아키라 공격 - 미국 건설 부문 침해 분석

2024년 12월 1일, 미국 종합 건설 회사인 클리블랜드 건설(Cleveland Construction)이 아키라 랜섬웨어 그룹의 사이버 공격의 피해자로 확인되었습니다. 이 공격은 민감한 상업 및 주거 프로젝트를 관리하는 조직에 영향을 미쳐 건축 도면, 고객 계약 및 재무 데이터가 노출될 가능성이 있었습니다. 이 사건은 디지털 협박에 특화된 악의적인 공격자에 대한 건설 업계의 지속적인 취약성을 보여줍니다.

Analyse détaillée

이번 침입은 연 매출 2,500만 달러에서 5,000만 달러 사이의 중견 기업이 사이버 범죄자들의 주요 표적이 되고 있는 상황에서 발생했습니다. 50명에서 100명의 직원을 보유한 클리블랜드 건설은 귀중한 디지털 자산을 보유하고 있지만 사이버 보안 리소스가 부족한 전형적인 기업입니다.

XC 레벨 SIGNAL 분류는 확인된 위협을 나타내지만, 침해된 데이터의 정확한 규모는 아직 확인되지 않았습니다. 이 공격은 프로젝트 기밀 유지가 주요 경쟁 우위인 분야에서 전략적 정보 보호에 대한 중대한 의문을 제기합니다.

아키라 액터

아키라는 2023년 3월부터 활동해 온 전문 랜섬웨어 그룹으로, 기업 네트워크를 대상으로 한 표적 공격을 전문으로 합니다. 이 사이버 범죄 집단은 Windows와 Linux 환경을 동시에 침해할 수 있는 능력, 특히 VMware ESXi 서버 악용에 대한 전문성을 갖추고 있다는 점이 특징입니다.

아키라의 공격 방식은 특히 강력한 이중 강탈 모델을 사용합니다. 공격자는 시스템을 암호화하기 전에 먼저 민감한 데이터를 유출함으로써 즉각적인 운영 마비와 Tor 호스팅 유출 사이트에 대한 공개 위협이라는 이중 효과를 만들어냅니다.

주로 사용되는 침입 벡터에는 패치되지 않은 VPN 서비스 악용, RDP 자격 증명 침해, 표적 피싱 캠페인, 합법적인 원격 관리 도구 악용 등이 있습니다. 이러한 전술적 다양성은 적응적이고 전문적인 접근 방식을 보여줍니다.

이 랜섬웨어의 윈도우 변종은 마이크로소프트의 기본 암호화 API를 사용하여 파일을 암호화하고, ".akira" 확장자를 추가하는 동시에 최소한의 안정성을 유지하기 위해 중요 시스템 폴더를 전략적으로 보존합니다. 문서화된 몸값 요구액은 20만 달러에서 400만 달러에 달하며, 비트코인으로만 지불됩니다.

RaaS 모델을 사용하는 다른 공격자들과 달리, 아키라는 독립적으로 운영되는 것으로 보입니다. 이 그룹은 교육, 제조, 의료 등 다양한 분야를 표적으로 삼아 특정 분야에 적응할 수 있는 역량을 보여주었습니다. 최근 변종들은 암호화 속도와 회피 기법이 지속적으로 개선되는 모습을 보여줍니다.

피해자: 클리블랜드 건설

클리블랜드 건설은 1985년에 설립된 종합 건설 회사로, 미국 건설 업계에서 약 40년의 전문 지식을 보유하고 있습니다. 미국에 본사를 둔 이 회사는 다양한 상업 및 주거 프로젝트 포트폴리오를 관리하며, 확고한 지역 기업으로 자리매김하고 있습니다.

50명에서 100명 사이의 직원을 보유한 클리블랜드 건설(Cleveland Construction)은 중견 기업에 속하며, 연간 약 2,500만 달러에서 5,000만 달러의 매출을 올리고 있습니다. 이러한 규모는 이 기업이 중요한 영역에 속한다는 것을 의미합니다. 귀중한 디지털 자산을 보관할 만큼 충분히 크지만, 대기업에 비해 사이버 보안 예산이 부족한 경우가 많습니다.

건설업의 특성상 매우 민감한 정보를 매일 처리해야 합니다. 건축 도면은 전략적 지적 재산권을 의미하고, 고객 계약서에는 기밀 조항과 상세한 재무 데이터가 포함되어 있으며, 인사부서 파일에는 직원 및 하청업체의 개인 정보가 포함됩니다.

이 회사는 기밀 유지가 주요 경쟁 우위인 산업에서 운영됩니다. 진행 중인 프로젝트 계획이 공개될 경우 입찰에 차질이 생기거나, 사업 전략이 노출되거나, 특권 계약 관계가 노출될 수 있습니다.

클리블랜드 건설 사건의 보안 침해는 건설 부문의 취약성을 여실히 보여줍니다. 건설 부문은 금융이나 의료와 같은 다른 규제 산업보다 사이버 보안 측면에서 전통적으로 덜 성숙되어 있습니다.

공격 기술 분석

클리블랜드 건설(Cleveland Construction)을 대상으로 한 이번 사건은 2024년 12월 1일에 발견되었으며, 이는 아키라(Akira)가 미국 기업들을 대상으로 진행 중인 공격의 또 다른 피해자를 의미합니다. XC 레벨 SIGNAL 등급은 악의적인 공격자의 존재가 확인된 위협으로, 침해된 데이터의 정확한 규모는 아직 공식적으로 문서화되지 않았습니다.

이번 침해로 노출될 가능성이 있는 데이터는 몇 가지 중요한 범주를 포함합니다. 건축 및 엔지니어링 도면은 매우 귀중한 지적 재산으로, 현재 또는 향후 프로젝트에 대한 세부 사양을 보여줍니다. 고객 계약서에는 가격 조건, 기밀 유지 조항, 프로젝트 일정 등 민감한 비즈니스 정보가 포함되어 있습니다.

인사 파일은 사회보장번호, 집 주소, 급여 이체를 위한 은행 정보, 고용 이력 등이 포함될 수 있는 사이버 범죄자들의 주요 공격 대상입니다. 회계 기록, 은행 거래 내역, 세무 정보를 포함한 회사의 재무 데이터 또한 주요 위험 요소입니다.

공격 방식은 전형적인 아키라 패턴을 따릅니다. 외부 접근 경로(패치되지 않은 VPN 또는 손상된 RDP 자격 증명이 가장 유력한 사례)를 통한 초기 침투, 중요 시스템과 민감한 파일 공유를 식별하기 위한 네트워크 내 수평 이동, 암호화 전 은밀한 데이터 유출, 그리고 랜섬웨어를 배포하여 압박을 극대화하는 것입니다.

정확한 타임라인은 아직 기록되지 않았지만, 일반적인 아키라 공격은 초기 침투와 암호화 배포 사이에 평균 며칠에서 몇 주가 소요되는 것으로 나타났습니다. 이 기간 동안 공격자는 가장 귀중한 디지털 자산을 체계적으로 식별하고 유출할 수 있습니다.

노출된 데이터에 대한 위험은 다양하고 심각합니다. 클리블랜드 건설의 경우, 정보 공개는 고객 신뢰 상실, 기밀 정보 유출 시 계약 분쟁, 직원 개인 정보 유출 시 규제 기관의 처벌로 이어질 수 있습니다. 직원과 파트너는 신원 도용 및 금융 사기 위험에 직면합니다.

클리블랜드 건설 현장 공격 추적을 위한 블록체인 및 추적성

클리블랜드 건설 현장과 관련된 이번 사건은 XC-Audit 프로토콜을 통해 인증되었으며, 문서화된 정보의 추적성과 진위성을 보장합니다. 이 혁신적인 접근 방식은 Polygon 블록체인을 사용하여 침해 증거 및 관련 메타데이터를 불변적으로 고정합니다.

수집된 각 증거는 블록체인에 기록된 고유한 암호화 해시를 받아 변경 불가능한 디지털 관리 체인을 생성합니다. 이러한 추적성을 통해 노출된 데이터의 진위성을 검증하고 정확한 사건 발생 시점을 확립할 수 있으며, 이는 포렌식 조사 및 잠재적 법적 절차에 중요한 요소입니다.

검증 과정에서 이러한 투명성의 중요성은 결코 과소평가될 수 없습니다. 기존의 불투명한 보고 시스템과 달리 XC-Audit 프로토콜은 민감한 정보를 보호하는 동시에 공개적으로 검증할 수 있도록 지원합니다. 영향을 받은 조직, 당국 및 보안 연구원은 침해의 존재 여부와 본질을 독립적으로 검증할 수 있습니다.

기존의 불투명한 시스템과의 이러한 차이점은 사이버 공격 문서화에 있어 중요한 발전을 나타냅니다. 블록체인은 보고 플랫폼을 포함한 어떤 당사자도 증거를 소급적으로 변경하거나 타임라인을 조작할 수 없도록 보장하여 사이버 보안 커뮤니티에서 데이터의 신뢰성과 유용성을 강화합니다.

아키라의 클리블랜드 건설 현장 공격 관련 권고 사항

Conclusion

이번 침해 사고의 영향을 받을 가능성이 있는 개인은 의심스러운 활동이 있는지 은행 계좌와 신용 보고서를 즉시 모니터링해야 합니다. 신용 모니터링을 활성화하고 신용 보고서를 사전에 동결하는 것은 신중한 조치입니다. 클리블랜드 건설 직원들은 모든 업무용 비밀번호를 변경하고 가능한 경우 다중 요소 인증을 활성화해야 합니다.