정보기술(IT) 서비스 장애가 나흘째 이어져 랜섬웨어 감염 의혹이 일었던 기아자동차 미국법인이 실제 공격에 당한 것으로 확인됐다. 공격자는 비트코인 404개(약 233억원)를 지급하지 않으면 요구 액수를 높여갈 것이라고 협박했다.
18일 블리핑컴퓨터 등 외신은 기아차 미국법인에 발송된 랜섬웨어 노트를 입수, 공개했다. 랜섬웨어 공격자는 암호화를 풀고 정보유출을 막으려면 비트코인 404개를 내놓으라고 요구했다. 또 정해진 시간 안에 따르지 않으면 비트코인 600개(약 346억원)를 내야 할 것이라고 적었다.
기아차 공격자는 '도플페이머(DoppelPaymer)' 일당으로 지목된다. 도플페이머는 한국인터넷진흥원(KISA)에서 2019년 4분기 신종 랜섬웨어로 경고한 바 있다. 무작위 다수가 아닌 특정 기업을 대상으로 공격하는 표적형 랜섬웨어로 랜섬웨어 감염 전에 민감정보를 먼저 빼돌리는 특성을 보인다.
기아차 미국법인 공격에서도 도플페이머는 '방대한 정보'를 빼돌렸다고 주장했다. 협상을 위해 토르(Tor)에 개설한 별도 사이트에서는 자신들과 협상을 거부할 시 2~3주 내에 해당 정보를 공개하겠다고 썼다. 확보한 데이터가 어떤 유형인지는 밝히지 않았다.
기아차 미국 IT 서비스는 여전히 장애를 겪는 상태다.
앞서 기아차 미국법인은 지난 13일(현지시간)부터 이어진 광범위한 IT 서비스 장애로 인해 랜섬웨어에 감염된 것이라는 추정이 제기됐다. IT 서버와 자가결제 서비스, 딜러 플랫폼, 전화 지원 서비스까지 모두 이용 불가 상태로 나타났다.
기아 오너스 포털에는 '내부 네트워크가 영향을 받아 IT 서비스 장애를 겪고 있다'는 에러 문구가 표기됐으며 전화 지원 서비스를 통해서는 '서버 이슈로 인해 고객 지원에 영향을 받고 있다'고 안내했다.
'기아 액세스 위드 UVO 링크' 'UVO e서비스' '기아 커넥트' 등 기아차 모바일 애플리케이션(앱) 역시 장애가 일었다. SQL 에러, 잘못된 인증서, 유지보수 문제 등에 따라 서비스 이용이 어렵다고 설명했다. 일부 이용자는 이번 장애로 인해 계약한 차량을 받지 못했다고도 호소했다.
기아차 미국법인은 캘리포니아주 어바인에 본사를 두고 미국 전역에 약 800개 영업소를 운영 중인 것으로 알려졌다.
랜섬웨어 공격 대응에 관한 질의에 기아차 측은 답변하지 않았다.
오다인기자 ohdain@etnews.com