루마니아 석유 파이프라인 운영사 콘페트, 킬린 랜섬웨어 공격으로 운영 중단

루마니아 석유 파이프라인 운영사 콘페트, 킬린 랜섬웨어 공격 확인

루마니아의 국영 석유 파이프라인 운영사 **콘페트(Conpet)**가 화요일 자사 비즈니스 시스템을 마비시키고 공식 웹사이트를 다운시킨 사이버 공격을 공개했습니다. 이 공격은 킬린(Qilin) 랜섬웨어 그룹에 의한 것으로 알려졌습니다. 해당 사건과 관련된 소식통에 따르면, 공격으로 인해 회사의 내부 시스템과 공용 웹사이트가 영향을 받았습니다.

공격의 주요 세부 사항

• 피해자: 콘페트(Conpet)는 루마니아의 국영 석유 파이프라인 운영사로, 원유 및 석유 제품의 전국 운송을 담당합니다.
• 공격 주체: 킬린(Qilin) 랜섬웨어 그룹은 금전적 목적을 가진 사이버 범죄 조직으로, 주요 인프라를 대상으로 하는 공격으로 알려져 있습니다.
• 영향: 내부 비즈니스 시스템 및 회사의 공용 웹사이트 마비.
• 공격 시점: 공격은 화요일 감지 및 공개되었으나, 침해 지속 기간은 아직 명확하지 않습니다.

기술적 배경

콘페트는 공격 벡터에 대한 구체적인 기술적 세부사항을 공개하지 않았지만, 킬린 랜섬웨어는 일반적으로 다음과 같은 경로로 배포됩니다:

• 악성 첨부 파일 또는 링크가 포함된 피싱 이메일.
• 공개 애플리케이션(예: VPN, RDP)의 패치되지 않은 취약점 악용.
• 취약한 인증 메커니즘을 대상으로 한 크리덴셜 스터핑(credential stuffing) 또는 무차별 대입 공격(brute-force attacks).

킬린 랜섬웨어는 이중 갈취(double-extortion) 모델로 운영되며, 피해자의 데이터를 암호화하는 동시에 민감한 정보를 유출하여 조직이 몸값을 지불하도록 압박합니다. 이 그룹은 과거 의료, 에너지, 제조 분야를 대상으로 공격한 바 있으며, 이번 주요 인프라에 대한 공격은 특히 우려스러운 상황입니다.

영향 및 대응 현황

최신 업데이트에 따르면, 콘페트는 공격으로 인해 파이프라인 인프라의 운영 중단이 발생했는지 여부를 확인하지 않았습니다. 그러나 비즈니스 시스템의 침해는 여전히 공급망 조정, 청구, 물류 등에 위험을 초래할 수 있습니다.

회사는 몸값 지불 여부 또는 사이버 보안 업체와의 협력 여부를 공개하지 않았습니다. 루마니아 사이버 보안 당국인 **국가 사이버 보안 이사회(DNSC)**는 상황을 모니터링하고 있을 것으로 보입니다.

주요 인프라 운영사를 위한 권고 사항

에너지 및 산업 조직의 보안팀은 다음 조치를 취해야 합니다:

1. VPN 및 RDP에 대한 원격 접근 제어 강화, 다중 인증(MFA) 적용.
2. 공개 시스템의 알려진 취약점 패치, 주요 자산 우선 적용.
3. 킬린 랜섬웨어 활동 징후 모니터링, 비정상적인 파일 암호화 또는 데이터 유출 시도 감시.
4. 정기적인 백업 수행 및 재해 복구 계획 테스트로 공격 시 가동 중단 최소화.
5. 직원 교육을 통해 피싱 시도 및 사회공학적 공격 인식 향상.

이번 사건은 주요 인프라에 대한 랜섬웨어 위협이 증가하고 있음을 보여주며, 특히 운영 중단 시 국가 안보 및 경제 안정성에 연쇄적 영향을 미칠 수 있는 에너지 분야에서 더욱 심각합니다.

추가 업데이트는 콘페트의 공식 발표 및 루마니아 사이버 보안 당국의 권고 사항을 참고하시기 바랍니다.