홈 > 커뮤니티 > 랜섬웨어뉴스
2024-07-08 13:33:30
6월 8일 새벽 홈페이지 접근 에러 발생으로 시작...블랙수트 해킹그룹 소행으로 알려져
카도카와 주요 주주는 카카오인베스트먼트, 국내 ‘바이포엠 스튜디오’가 합작회사 설립하기도
바이포엠 스튜디오, 일본 카도카와 출판사 본사에 현재 상황과 관련한 입장문 요청키로
[보안뉴스 김영명 기자] 일본 카도카와(KADOKAWA) 출판사에서 6월 초에 랜섬웨어 공격으로 인한 데이터 유출 사고가 발생한 것으로 알려졌다. 이번 사고로 인해 ‘ニコニコサービス’(니코니코서비스), ‘KADOKAWA 오피셜 사이트’, ‘エビテン(에비텐)’ 등 카도카와의 여러 서비스가 잇따라 중단됐다. 이번 랜섬웨어와 관련해 블랙수트(BlackSuit)라는 랜섬웨어 조직은 자신들의 소행이라고 다크웹에 공지한 것으로 알려졌다. 현재까지 유출된 데이터는 1.5TB에 달하는 것으로 추정된다.
▲일본 카도카와 출판사에서 랜섬웨어 공격으로 인한 홈페이지 정보 유출 사고가 발생한 것으로 알려졌다[자료=카도카와 홈페이지]
카도카와 출판사는 1945년 처음 설립, 2014년에 미국계 기업 Interactive Visual Systems(IVS)의 서비스 드완고(DWANGO, Dial-up Wide-Area Network Game Operation) 일본 지사와 통합회사인 카도카와·드완고가 됐다. 현재 카도카와 출판사는 카도카와·드완고의 자회사이며, 고단샤, 슈에이샤와 함께 일본 3대 출판사로 꼽히는 영향력 있는 출판 기업이다. 2019년을 기준으로 카도카와 출판사의 매출액은 1,139억엔(한화 약 9,748억 5,800만원)에 달한다. 국내 콘텐츠·IT 기업 카카오의 자회사인 카카오인베스트먼트가 8.87%의 지분을 확보하고 있는 것으로 확인됐다.
카도카와 출판사의 이번 사건 전말을 시간대별로 정리해봤다. 이번 시간대별 공지와 함께 카도카와 및 드완고 측의 입장을 함께 정리했다.
△6월 9일 : 카도카와 출판사 측은 홈페이지 공지를 통해 “6월 8일 3시 30분 무렵부터 카도카와 그룹의 여러 서버에 액세스할 수 없는 장애가 발생했다. 현재 ‘ニコニコサービス’(니코니코서비스, 싱글벙글 서비스), ‘KADOKAWA 오피셜 사이트’, ‘エビテン(에비텐)’ 등 여러 서비스에서 접근이 제한되고 있다. 회사는 사내 조사를 진행하고 있으며, 정보 유출 여부에 대해서도 파악하고 있다”고 밝혔다.
△6월 12일 : 6월 9일에 경찰에 연락, 10일에는 일본 개인정보보호위원회에 랜섬웨어 감염 사실을 보고했으며, 12일에는 일본 재무성 산하 간토재무국(금융청)에 장애 발생을 보고했다.
△6월 14일 : 드완고(DWANGO)는 6월 8일 8시 무렵 랜섬웨어를 포함한 사이버 공격이 발생한 것을 확인했으며, 데이터센터 내 서버 통신을 차단하고 당시 웹서비스 제공을 일시 중지했다. 이번 공격이 출판 서비스 뿐만 아니라 사내 네트워크에도 미치고 있는 것도 확인돼 사내 네트워크 접근도 모두 차단했다.
△7월 3일 : 드완고가 교육 콘텐츠 시스템을 제공하는 학교법인 카도카와 도완고 학원에 관한 일부 정보의 유출 가능성도 큰 것으로 확인됐다. N중등부·N고등학교·S고등학교 재학생과 졸업생, 학부모 일부의 개인정보와 도완고가 거래하는 일부 크리에이터와 개인사업자 및 법인과의 계약서, 드완고의 노래 수익화 서비스를 이용하고 있는 일부 크리에이터의 개인정보 등이 유출됐을 가능성이 크다.
얼마나 큰 피해 발생했고 복구 진행 과정은 어떻게 되나
‘싱글벙글 서비스’는 퍼블릭 클라우드 서비스, 카도카와 그룹사가 제공하는 데이터센터 내에 구축된 프라이빗 클라우드 서비스를 이용하고 있지만, 해당 데이터센터가 랜섬웨어에 감염됐다. 따라서 가상머신의 상당수가 암호화돼 이용이 제한됐다. 이에 따라 싱글벙글 서비스를 포함한 웹 서비스 전반이 중단됐다.
이번 사이버 공격은 회사에 의해 발견된 이후에도 반복적으로 이어지고 있다. 초기 공격자가 원격으로 프라이빗 클라우드 내 서버를 셧다운한 다음에도 제3자가 또 다른 곳에서 셧다운된 서버를 재가동시켜 랜섬웨어 감염을 확산시키려는 시도도 관측되고 있다. 추가로 이어질 수 있는 피해를 막기 위해 현재 모든 직원은 가부키자에 있는 오피스로의 출근을 금지시켰으며, 내부 인트라넷을 포함한 업무 시스템도 정지시켰다.
현재 정지 중인 서비스는 △니코니코 동화, 니코니코 생방송, 니코니코 채널 등 니코니코 패밀리 서비스 △외부에서 접근하는 니코니코 계정 로그인 서비스 △삽입곡 등 음악 수익화 서비스 △드완고 티켓 △DWANGO 재팬 스토어 △N 예비학교 등이다.
드완고 측은 공지를 통해 “모든 서비스에 대한 정확한 복구 시기는 피해 상황 조사 결과에 따라 달라지겠지만, 최소 1개월 이상 소요될 전망”이라며 “재개할 수 있는 서비스부터 순차적으로 재개해 나갈 예정”이라고 말했다.
드완고 측은 6월 27일에 새로운 공지를 통해 니코니코 동화는 6월 14일, 니코니코 생방송은 6월 19일, 니코니코 만화는 6월 25일부로 일부 서비스를 재개했다고 밝혔다.
카도카와 측은 7월 2일 공지를 통해 “앞서 회사를 공격했다고 주장하는 해킹그룹이 당사의 정보 일부를 유출시켰다는 취지의 글을 6월 28일에 공표했다”며 “오늘 자로 이 해킹그룹이 추가 정보를 유출했다고 주장하고 있는 것을 확인했다”고 밝혔다. 이어 “다만 사용자들의 신용카드 정보는 취급하고 있지 않기 때문에 카드 정보 유출 우려는 없을 것”이라며 “이들이 탈취한 개인정보로 인한 심각한 피해가 있을 수 있다”며 “또한 유출된 데이터가 퍼지면서 쉽게 내려받을 수 있다고 하더라도 멀웨어 감염 등의 우려가 있기 때문에 주의 바란다”고 덧붙였다.
이어 7월 3일 드완고 측은 “교육 콘텐츠를 제공하는 학교법인 카도카와드완고학원의 개인정보 유출이 확인됐다”며 “유출된 개인정보는 N중등부·N고등학교·S고등학교 재학생과 졸업생, 학부모 중 일부의 개인정보, 당사가 거래하는 일부 창작자와 개인사업자 및 법인과의 계약서, 악곡 수익화 서비스를 이용하고 있는 일부 크리에이터, 일부 전직 직원이 운영하는 회사 정보 등”이라고 말했다. 이어 “사내 정보로는 계약직, 파견직, 아르바이트, 일부 퇴직자를 포함한 전 종업원의 개인정보, 관련 회사 일부 직원의 개인정보, 법무관련 서류를 포함한 사내 문서 등도 유출된 것으로 확인됐다”고 밝혔다.
국내 연관 기업 등의 피해 가능성 살펴보니
카도카와 출판사 해킹과 관련해 우리나라와 연관된 기업이 있는지, 이에 따른 피해는 없는지 확인해봤다. 국내에서는 카도카와 출판사의 세부 정보를 확인했을 때 주요주주가 카카오의 자회사이자 투자전문회사인 카카오인베스트먼트이다. 또한 우리나라의 종합 엔터테인먼트 기업 BY4M STUDIO(바이포엠 스튜디오)와 합작사를 설립해 카도카와 출판사의 문예·라이트노벨·코믹 등의 작품 중 일부를 한국어판 번역본으로 출판하는 것으로 알려졌다.
바이포엠 스튜디오 담당자는 <보안뉴스>와의 통화에서 “카도카와가 일본 기업인 만큼 일본 본사에 현재 상황이 어떤지, 한국 측의 피해도 있는지 등 확인 요청을 하겠다”면서도 “본사 입장이 오기 전에 섣부르게 발표를 하는 것은 아닌 것 같다”며 말을 아꼈다.
이어 카카오 측은 “자회사인 카카오인베스트먼트가 카도카와 출판사의 일부 지분을 확보하고 있기는 하지만 10%도 안 되는 만큼 크게 영향력을 행사할 수는 없으며, 그렇게 할 이유도 없다”며 “카카오는 카카오픽코마라는 이름의 콘텐츠 자회사가 일본에 별도로 만들어져 있기도 하다”고 밝혔다.