2024년 8월 Rhysida 랜섬웨어에 시애틀 항구가 공격당함

시애틀 항구와 시애틀-타코마 국제공항을 관리하는 시애틀 항은 8월에 악명 높은 Rhysida 랜섬웨어 갱단의 표적 랜섬웨어 공격에 희생되었습니다. 중요한 시스템을 중단시킨 이 사건은 최초 침해 후 3주 만에 해당 기관에서 확인했으며, 예약 시스템과 항공편 체크인을 포함한 공항의 다양한 운영에 영향을 미쳤습니다.

운영 및 대응에 미치는 영향

시애틀 항은 8월 24일에 공격으로 인한 피해를 최소화하기 위해 특정 필수 시스템을 격리했다고 공개했습니다. 이 예방 조치로 인해 서비스 중단이 발생했고, 시애틀-타코마 국제공항의 승객 서비스에 큰 영향을 미쳤습니다. 지연은 체크인 프로세스 중단에서 항공편 일정에 영향을 미치는 시스템 중단까지 다양했습니다.

침해 3주 후, 항구는 랜섬웨어 공격 에 연루된 범죄 조직인 Rhysida가 공격의 배후라고 공식적으로 확인했습니다. 그들은 보도자료에서 초기 공격 이후로 무단 액세스가 발생하지 않았다고 대중에게 확신시켰으며, 그들의 시설을 통과하는 것은 여전히 안전하다고 강조했습니다. 이 기관의 대응에는 시스템을 오프라인으로 전환하는 것이 포함되었는데, 이는 랜섬웨어의 추가 확산을 막는 데 도움이 되었지만 수하물 처리, 체크인 키오스크, 승객 디스플레이 보드를 포함한 다양한 서비스에서 일시적인 중단을 초래했습니다. 이 공격으로 항구의 웹사이트, Wi-Fi, flySEA 앱 및 예약 주차 시스템과 같은 모바일 앱 서비스도 마비되었습니다.

회복 노력 및 몸값 요구 불이행

대부분의 영향을 받은 시스템은 공격 후 일주일 이내에 복구되었지만, 시애틀 항만 웹사이트와 모바일 앱 기능과 같은 일부 중요 서비스는 아직 작업 중입니다. 광범위한 중단에도 불구하고 시애틀 항만은 Rhysida 갱단이 요구한 몸값을 지불하지 않겠다는 확고한 입장을 취했습니다. Steve Metruck 전무이사는 항만이 사이버 범죄자들의 요구에 굴복할 의사가 없음을 분명히 밝혔으며, 몸값을 지불하는 것은 항만의 가치와 납세자에 대한 책임에 어긋날 것이라고 말했습니다.

몸값을 지불하지 않기로 한 결정은 도난된 데이터가 공격자의 다크웹 유출 사이트에 공개될 가능성을 남깁니다. 그러나 항구의 리더십은 범죄자들의 암호 해독 키 요구에 굴복하는 것보다 사이버 보안 원칙과 공적 자금의 윤리적 관리를 우선시했습니다.

Rhysida의 증가하는 위협과 글로벌 사이버범죄의 물결

Rhysida는 랜섬웨어 서비스(RaaS) 생태계에서 비교적 새로운 플레이어로, 2023년 5월에 처음 등장했습니다. 최근에 등장했음에도 불구하고 이 그룹은 영국 도서관과 칠레 군대와 같은 주요 타깃을 침해하여 빠르게 헤드라인을 장식했으며, 심각한 사이버 범죄 위협으로 자리 매김했습니다. 미국에서 이 갱단은 보건복지부(HHS)에서 지적한 바와 같이 의료 기관에 대한 공격과 관련이 있습니다. 게다가 CISA와 FBI와 같은 연방 기관은 광범위한 분야를 표적으로 삼는 Rhysida의 공격적인 전술에 대해 경고를 발표했습니다.

최근의 주목할 만한 공격에는 소니 자회사인 Insomniac Games에서 발생한 침해가 포함되는데, 이 회사가 200만 달러의 몸값을 지불하기를 거부한 후 1.6TB 이상의 민감한 데이터가 유출되었습니다. 다른 피해자로는 오하이오주 콜럼버스시와 2023년 8월 공격 중에 약 90만 명의 개인에게 데이터가 손상되었다는 사실을 통보해야 했던 Singing River Health System이 있습니다.

시애틀 항구 사건은 Rhysida의 영향력이 커지고 다양한 산업에서 랜섬웨어의 위협이 커지고 있다는 것을 다시 한 번 일깨워줍니다. 사이버 보안은 공공 및 민간 기관 모두의 최우선 관심사로 남아 있기 때문에 이와 같은 사건은 견고한 보안 조치의 중요성과 Rhysida와 같은 랜섬웨어 갱단이 제기하는 과제를 강조합니다.