공격 경보: rhysida이(가) United Keetoowah Band of Cherokee Indians in Oklahoma을(를) 표적으로 삼음 - US
Introduction
2025년 12월 12일, 라이시다(Rhysida) 랜섬웨어 그룹은 미국 오클라호마주에 위치한 체로키 인디언 연합 키투와 밴드(United Keetoowah Band of Cherokee Indians)를 대상으로 사이버 공격을 감행했다고 주장했습니다. 이 단체는 미국 원주민들의 민감한 개인 정보를 관리하는 부족 정부 기관입니다. XC-Classify 분류 체계에 따라 '신호(SIGNAL)' 등급으로 분류된 이 침해 사건으로 인해, 1950년에 설립되어 보건, 사회복지, 부족 재정 등 핵심 서비스를 담당하는 100~250명 규모의 정부 기관의 정보가 노출되었습니다. XC-Audit 프로토콜을 통해 폴리곤(Polygon) 블록체인에 인증된 이 사건은 신원 및 의료 정보를 노리는 사이버 위협에 대한 부족 정부의 취약성이 점점 커지고 있음을 보여줍니다.
이번 공격은 미국 부족 정부들이 제한된 사이버 보안 자원과 방대한 개인 정보 보유량 때문에 사이버 범죄자들의 주요 공격 대상이 되고 있는 시점에 발생했습니다. 오클라호마에 본부를 둔 연방 정부의 인정을 받은 유나이티드 키투와 밴드는 지역 사회를 위한 필수 프로그램을 운영하고 있으며, 이러한 기반 시설에 의존하는 원주민들에게는 서비스 중단이 특히 심각한 결과를 초래할 수 있습니다.
Analyse détaillée
2025년 12월, 라이시다(Rhysida) 유출 사이트에 이러한 주장이 제기된 것은 해당 단체의 일반적인 공격 수법을 보여줍니다. 즉, 먼저 시스템을 해킹하여 민감한 데이터를 유출한 후, 이를 자신들의 이중 협박 플랫폼에 게시하는 것입니다. 유출된 데이터에는 의료 기록, 인구 통계 자료, 재정 데이터, 부족 행정 문서 등이 포함될 가능성이 높으며, 이는 피해를 입은 원주민들에게 심각한 개인정보 도용 위험을 초래합니다.
부족 정부 기반 시설을 겨냥한 이번 사이버 공격은 원주민들을 디지털 위협으로부터 보호하는 문제에 대한 중요한 의문을 제기합니다. 연방 정부나 주 정부에 비해 재정 지원이 부족한 부족 정부는 악의적인 공격자들이 발각될 위험을 최소화하면서 이익을 극대화하기 위한 취약한 표적이 될 수 있습니다.
리시다: 랜섬웨어 그룹의 공격 수법, 역사 및 피해자
리시다는 2023년 5월 등장 이후 랜섬웨어 업계에서 주요 세력으로 자리매김했습니다. 이 사이버 범죄 집단은 컴퓨터 시스템을 암호화한 후 데이터를 유출하고, 이후 단계적으로 데이터를 공개하는 매우 공격적인 이중 갈취 방식을 사용하여 피해자에게 극도의 압박을 가합니다. 리시다는 신속한 대응과 단 몇 시간 만에 핵심 인프라를 침해할 수 있는 능력으로 악명이 높습니다.
리시다의 공격 수법은 원격 접속 시스템, 특히 보안이 취약한 원격 데스크톱 프로토콜(RDP)과 오래된 VPN의 취약점을 악용하는 데 기반합니다. 초기 접근 권한을 확보한 공격자는 정찰 도구를 사용하여 네트워크를 파악하고, 알려진 취약점을 이용해 권한을 상승시킨 후, 일반적인 암호화를 시작하기 전에 데이터를 유출합니다. 이러한 체계적인 공격 방식을 통해 규모에 관계없이 모든 조직을 매우 효율적으로 침해할 수 있습니다.
Rhysida의 주요 피해자로는 미국의 의료 시설, 유럽의 교육 기관, 그리고 여러 지방 정부가 있습니다. 특히 2023년 8월에는 Prospect Medical Holdings를 해킹하여 수십만 명의 환자 데이터를 유출시킨 사건이 있었습니다. Rhysida는 기술적으로 취약하면서도 상당한 몸값을 지불할 여력이 있는 공공 및 준공공 부문 기관을 주요 공격 대상으로 삼습니다.
이 그룹은 Tor 네트워크를 통해 접속 가능한 유출 사이트를 이용하여 유출된 데이터를 순차적으로 공개함으로써 피해자들에게 시간적 압박을 가합니다. 각 데이터 공개에는 카운트다운과 데이터 경매 가격이 함께 제시되어, 단순한 갈취를 불법 거래로 둔갑시킵니다. 이러한 "데이터 경매" 방식은 Rhysida를 다른 랜섬웨어 그룹과 차별화하는 요소이며, 잠재적인 악의적 구매자들의 관심을 끌어 피해자들의 위험을 가중시킵니다.
일부 단서들이 Vice Society 생태계와의 연관성을 시사하지만, Rhysida는 독립적으로 운영되며 지속적으로 공격 방식을 발전시키고 있습니다. 이 그룹은 전통적인 서비스형 랜섬웨어(RaaS) 모델을 따르지 않고 운영을 직접 관리하는 방식을 선호하는 것으로 보입니다. 이러한 중앙 집중식 구조는 운영의 일관성을 유지하지만, 주요 랜섬웨어 프랜차이즈에 비해 확장성이 제한됩니다.
오클라호마주 유나이티드 키투와 체로키 인디언 부족: 부족 정부 조직 개요
오클라호마주 유나이티드 키투와 체로키 인디언 부족(UKB)은 미국에서 연방 정부가 인정한 세 개의 체로키 부족 중 하나입니다. 1950년 연방 정부의 인정을 받아 공식적으로 설립된 이 부족 국가는 공중 보건, 교육, 주택, 사회 복지 서비스, 재정 관리 등 부족민을 위한 포괄적인 정부 서비스를 제공합니다. 100~250명의 직원을 보유한 UKB는 미국 연방 시스템 내에서 진정한 자율성을 가진 공공 행정 기관으로 운영됩니다.
오클라호마에 본부를 둔 이 조직은 미국 연방 정부의 지원금과 부족 자체 수입으로 운영되는 주요 프로그램을 관리합니다. 이러한 프로그램에는 지역 보건소, 사회 복지 서비스, 교육 및 문화 프로그램, 부족 토지 관리 등이 포함됩니다. 이러한 활동의 민감한 특성상 상당한 양의 개인 데이터, 즉 전자 의료 기록, 부족 등록 정보, 사회 복지 프로그램 수혜자의 재정 데이터, 기밀 행정 문서 등을 수집하고 저장해야 합니다.
→ 정부 부문의 특정 위험 이해는 현대 사이버 위협에 대한 부족 행정 기관의 특수한 취약성을 이해하는 데 도움이 됩니다.
미국 행정 체계 내에서 UKB의 독특한 위치는 특수한 사이버 보안 문제를 야기합니다. 상당한 IT 예산과 전담 사이버 보안팀을 보유한 연방 기관과 달리, 부족 정부는 비슷한 책임을 수행하면서도 제한된 자원으로 운영되는 경우가 많습니다. 이러한 예산 불균형으로 인해 때로는 노후화된 기술 인프라, 부적절한 백업 시스템, 사이버 보안 모범 사례에 대한 직원 교육 부족 등의 문제가 발생합니다.
UKB가 지역 사회에 미치는 중요성은 이러한 침해의 잠재적 파급 효과를 크게 증폭시킵니다. 부족민들은 건강, 생계, 가족 복지를 위해 이러한 서비스에 직접적으로 의존하고 있습니다. 컴퓨터 시스템이 장기간 마비될 경우 의료 서비스 접근이 차단되고, 복지 수당 지급이 지연되며, 필수 서비스가 중단될 수 있습니다. 이러한 심각한 의존성 때문에 부족 정부는 사이버 범죄자들이 금전적 갈취를 통해 조직을 공격하기에 특히 매력적인 대상이 됩니다. 범죄자들은 서비스 복구에 대한 압박이 막대할 것이라는 점을 알고 있기 때문입니다.
UKB 해킹 사건은 특히 미국 부족 국가들을 표적으로 삼는 우려스러운 추세의 일부입니다. 이러한 조직들은 제한된 사이버 보안 자원, 매우 민감한 데이터, 심각한 공동체 의존성, 그리고 몸값 지불을 고려할 수 있는 충분한 재정 능력이라는 여러 취약점을 동시에 가지고 있습니다. 이러한 요인들이 결합되어 악의적인 공격자들이 정부 부문 중 이 특정 부문을 집중적으로 공격하는 이유를 설명해 줍니다.
기술 분석: 노출 수준 및 관련 위험
XC-Classify 방법론에서 부여한 SIGNAL 등급은 민감한 데이터의 노출이 확인되었지만, 유출된 정보의 양이나 정확한 성격에 대한 구체적인 정보는 없음을 나타냅니다. 이 정보는 Rhysida가 실제로 UKB 인프라에서 데이터를 유출하여 자체 유출 플랫폼에 게시했지만, 전체 데이터 세트를 즉시 대량 공개하지는 않았음을 시사합니다. 이러한 단계적 접근 방식은 그들의 협박 전략의 일부로, 침해 사실을 입증할 만큼의 정보만 공개하고 나머지 데이터는 협상 카드로 활용하는 것입니다.
Questions Fréquentes
When did the attack by rhysida on United Keetoowah Band of Cherokee Indians in Oklahoma occur?
The attack occurred on December 12, 2025 and was claimed by rhysida. The incident can be tracked directly on the dedicated alert page for United Keetoowah Band of Cherokee Indians in Oklahoma.
Who is the victim of rhysida?
The victim is United Keetoowah Band of Cherokee Indians in Oklahoma and operates in the government sector. The company is located in United States. Visit United Keetoowah Band of Cherokee Indians in Oklahoma's official website. To learn more about the rhysida threat actor and their other attacks, visit their dedicated page.
What is the XC protocol level for the attack on United Keetoowah Band of Cherokee Indians in Oklahoma?
The XC protocol level is currently at XC SIGNAL status, meaning the attack on United Keetoowah Band of Cherokee Indians in Oklahoma has been claimed by rhysida but has not yet been confirmed by our community. Follow the progress of this alert.
Conclusion
Polygon 블록체인에서 검증된 데이터를 분석한 결과, 해당 사건은 2025년 12월 12일에 발견되어 공격자가 주장한 것으로 나타났습니다. 최초 침해 시점은 정확히 밝혀지지 않았지만, Rhysida의 일반적인 공격 수법을 고려할 때 공개 주장 전 며칠에서 몇 주 정도의 침입 기간을 거쳤을 것으로 추정됩니다. 이 기간 동안 공격자는 네트워크에 대한 지속성을 확보하고, 핵심 시스템을 파악하고, 민감한 데이터를 점진적으로 유출하고, 랜섬웨어 배포를 준비할 수 있습니다.