2023년 10월 말, 영국의 국립 도서관인 대영도서관(British Library)은 소셜 미디어를 통해 IT 장애로 인해 서비스 중단이 발생하고 있음을 사용자에게 알렸습니다.
그 후 몇 주 동안 이 유서 깊은 기관이 랜섬웨어 사이버 공격의 희생양이 되었고, 사이버 범죄자들에 의해 데이터가 도난당해 유출되었다는 사실이 밝혀졌습니다.
이후 대영도서관은 중단된 서비스 중 일부를 복구하기 시작했지만, 포렌식 조사가 계속 진행 중이라 진척이 더딘 상황입니다. 이 대영도서관에서 무슨 일이 일어났는지, 현재 어떤 일이 일어나고 있는지, 앞으로 어떤 일이 일어날 수 있는지 알아보도록 하겠습니다.
대영도서관은?
또한 법정 기탁 도서관이므로 영국과 아일랜드 공화국에서 출판된 모든 도서와 영국에서 유통되는 해외 도서의 사본을 수집하고 있습니다. 매년 약 300만 권의 신간이 추가되어 방대한 양의 새 서가가 필요한 것으로 알려져 있습니다.
그 뿌리는 수세기 전으로 거슬러 올라가지만, 1973년 대영도서관법에 따라 1972년에 공식적으로 설립되었으며, 그 이전에는 대영박물관의 일부로 운영되었습니다. 현재는 문화미디어스포츠부(DCMS)의 비부처 기관으로 운영되고 있습니다.
대영도서관의 본관은 런던 중심부의 세인트 판크라스 역 근처 유스턴 로드에 위치해 있어요. 1등급 건물로 등재된 이 건물은 Colin St John Wilson과 Mary Jane Long이 설계했으며, 1998년 엘리자베스 2세 여왕에 의해 개관했습니다. 또한 요크셔의 보스턴 스파에 두 번째 시설을 운영하고 있습니다.
대영도서관은 책을 대출해서 집에 가져갈 수 있는 일반 도서관은 아니지만, 다른 모든 서비스를 운영 중인 도서관이며, 누구나 자유롭게 방문하여 소장품을 열람할 수 있고 열람실은 누구에게나 개방되어 있으며 방대한 자료를 학습과 연구에 활용할 수 있습니다. 대영도서관은 평상시에도 강좌, 이벤트, 전시회, 학교 프로그램을 주최하고 창업 및 확장 지원 서비스도 제공합니다.
대영도서관 사이버 공격은 어떻게 발생했나?
2023년 10월 29일, 대영도서관은 이전에 트위터로 알려진 웹사이트인 X를 통해 IT 장애가 발생했다고 공개했습니다. 이틀 후인 10월 31일, 영국도서관은 사이버 공격으로 인한 장애임을 확인하고 영국 국가사이버보안센터(NCSC)와 법 집행기관의 도움을 받아 사건을 조사 중이라고 밝혔습니다.
당시 대영도서관은 제한된 세부 정보만 공유할 수 있었지만, 여러 시스템이 오프라인 상태가 된 것처럼 보인다는 사실은 랜섬웨어 공격이라는 사건의 정확한 정체에 대한 즉각적인 단서를 제공했습니다. 하지만 대영도서관은 11월 중순이 되어서야 이것이 사실임을 확인했습니다.
며칠 후, Rhysida 랜섬웨어 조직은 사이버 공격에 대한 책임을 주장하며 직원 여권 스캔본과 고용 계약서 등 내부 인사 문서를 다크웹에 유출했습니다. 또한 이 조직은 전체 데이터 세트에 대해 20비트코인(당시 약 60만 파운드)을 요구하며 일주일 동안 데이터를 훔쳤다고 주장하며 경매를 시작했습니다.
11월 말, 대영도서관은 Rhysida에 의해 사용자 데이터가 도난 및 유출되었음을 확인했습니다. 얼마 지나지 않아 Rhysida는 도난당한 총 데이터의 약 90%에 해당하는 573GB의 데이터를 다크웹 유출 사이트에 게시했습니다. 이는 전체 데이터 세트에 대한 구매자를 찾지 못했음을 의미하며, 대영도서관이 랜섬웨어 공격에서 권장되는 모범 사례인 협상을 하거나 요구에 협조하지 않았음을 시사합니다.
Rhysida가 유출한 데이터에는 약 50만 개의 파일이 포함되어 있으며, 이 중 상당수는 대영도서관의 고객 관계 관리(CRM) 데이터베이스에서 도난당한 것입니다. 이 파일에는 이름과 이메일 주소, 경우에 따라서는 우편 주소와 전화번호를 포함한 독자 및 방문자의 개인 정보가 포함되어 있는 것으로 파악되고 있습니다. 다행히도 금융 데이터는 포함되지 않은 것으로 보입니다.
리시다는 누구인가?
대영도서관에 대한 사이버 공격의 배후에 있는 사이버 범죄 조직은 Rhysida로 알려져 있습니다. 지네의 일종에서 이름을 딴 Rhysida는 2023년에 처음 등장했으며, 서비스형 랜섬웨어 (RaaS) 조직으로 활동하며, 수익을 일부 삭감하는 대가로 계열사에 랜섬웨어에 대한 액세스 권한을 판매합니다. 대영도서관에 대한 사이버 공격의 배후에 이 갱단의 계열사가 있을 가능성이 높습니다.
미국 사이버 보안 및 인프라 보안국 (CISA)에 따르면, Rhysida는 주로 기회 표적을 공격하며 교육, 정부, 의료, IT, 제조 등 여러 분야를 공격했습니다.
리시다 조직은 피해자의 네트워크에 액세스하기 위해 외부 원격 서비스를 악용하는 것을 선호하며, 탈취한 유효한 자격 증명을 내부 VPN 액세스 포인트에 인증하는 데 사용하여 거점을 유지하는 데 자주 사용합니다.
이 결함은 제로로곤으로 알려져 CVE-2020-1472로 추적되고 있으며, 공격 체인에서 마이크로소프트 넷로그온 원격 프로토콜의 권한 상승 취약점을 자주 사용했습니다.
하지만 현재까지 확인된 바는 없지만 Rhysida 랜섬웨어 조직이 대영도서관의 VMware ESXi 가상 머신 인프라의 취약점을 통해 시스템에 액세스할 수 있었다는 추측이 있습니다.
대영도서관 사이버 공격으로 어떤 서비스가 영향을 받았나?
디지털 컬렉션에 대한 액세스 및 현장 열람실에서의 온라인 액세스와 같은 현장 서비스는 영국 도서관 온디맨드 서비스와 마찬가지로 아직 이용할 수 없습니다.
또한 영국 전역의 도서관이 원하는 독자를 위해 서가에 없는 책을 구할 수 있도록 도와주는 중요한 도서관 간 대출 서비스도 중단됩니다.
또한 2024년과 2025년에는 에클스 센터 방문 펠로우십 프로그램을 중단했는데, 이 제도는 전 세계의 학자, 작가, 교육자, 언론인, 연구자에게 최대 3,000파운드의 펠로우십을 지원하여 2~3주 동안 북남미와 카리브해 관련 영국도서관 컬렉션을 탐방할 수 있도록 합니다.
중단된 서비스의 전체 내역은 여기에서 확인할 수 있습니다.
서비스 중단으로 인해 수천 명의 독자, 방문자, 학자 및 연구자들이 연구에 필요한 자료에 액세스하는 데 어려움을 겪었습니다.
이 공격은 영국 전역의 2만 명 이상의 출판 작가들에게도 영향을 미쳤는데, 이들은 영국의 공공 도서관에서 작품을 대출할 때마다 작가에게 지급되는 대금을 감독하고 대영도서관이 운영하는 유료 대출권(PLR) 제도에 따라 돈을 받을 수 있는 자격이 있습니다.
PLR 제도는 1인당 연간 최대 6,600파운드를 지급하며, 잘 알려지지 않은 많은 작가들이 이 제도에 의존하여 수입을 충당하고 있지만, 이 제도의 영향을 받는 작가 중에는 JK Rowling 및 Richard Osman 등 오늘날 매우 유명한 작가들도 포함되어 있습니다.
대영도서관 사이버 공격의 영향을 받은 경우 어떻게 해야 하나?
만일 여러분의 데이터가 Rhysida 유출에 포함되었다면 지금쯤 대영도서관에서 이메일로 연락하여 이 사실을 알려 드렸을 것입니다. 더 구체적인 정보가 유출된 것을 발견하면 다시 연락을 드릴 것입니다.
현재 서비스 중단으로 인해 사용자는 영국도서관 서비스에 액세스하는 데 사용하는 비밀번호를 변경할 수 없습니다. 그러나 다른 서비스에서 동일한 비밀번호를 사용했다면 즉시 변경해야 합니다. 또한 의심스러운 이메일이나 너무 좋아 보이는 이상한 제안은 사이버 범죄자가 사기를 치려는 것일 수 있으므로 평소보다 더 주의를 기울여야 합니다.
영국 사이버 보안 센터(NCSC는 온라인에서 안전하게 지내기 위한 다양한 조언과 안전하고 강력한 비밀번호를 만드는 방법에 대한 지침을 제공합니다. 또한 데이터 유출 사고를 당한 개인을 위한 지침도 제공합니다. 데이터가 유출되었다고 우려되는 경우, 영국도서관 데이터 보호 책임자( data.governance@bl.uk)에게 문의할 수 있습니다.
대영도서관 사이버 공격의 책임은 누구에게 있나?
궁극적으로 조사를 통해 대영도서관에 정확히 무슨 일이 일어났는지, 어떻게 Rhysida 조직이 그렇게 큰 혼란을 일으킬 수 있었는지 밝혀질 수 있지만, 이러한 세부 사항은 오랫동안 공개되지 않을 수 있으며, 무엇이, 누가 잘못했는지 알 수 없을 수도 있습니다. 직원이 실수를 저질렀다고 해도 비난이 아닌 지원과 이해를 받을 자격이 있으며, 누구나 언제든지 사이버 공격의 피해자가 될 수 있습니다.
사이버 공격을 경험하는 것은 관련된 모든 사람에게 충격적인 일이며, 영국도서관 직원들은 사용자에게 미치는 영향을 완화하고 서비스를 복구하기 위해 매우 열심히 노력하고 있다는 점을 기억하는 것이 중요합니다. 이 과정에서 여러분의 지원과 인내심에 깊이 감사드립니다.
그러나 잘못이 입증될 경우, 조직으로서 대영도서관은 정보위원회(ICO)의 규제에 따른 처벌을 받을 수 있습니다.
안타깝게도 사이버 공격을 수행한 Rhysida 랜섬웨어 조직의 구성원이나 관련자들이 체포되거나 법의 심판을 받을 가능성은 거의 없습니다.
대영도서관은 언제 복구되나?
대영도서관은 2024년 1월과 2월 중에 더 많은 서비스를 복구할 수 있을 것으로 예상하고 있지만, 일부 운영 중단이 앞으로 몇 달 동안, 어쩌면 가을 또는 그 이상까지 지속될 수 있다고 경고했습니다.
대영도서관은 런던 메트로폴리탄 경찰, 민간 사이버 포렌식 팀, 국가사이버안전센터(NCSC)와 지속적으로 협력하여 서비스를 복구하고 있습니다.
현재 대영도서관이 Rhysida 사이버 공격으로부터 IT 시스템을 복구하는 데 드는 비용은 대영도서관 미배정 현금 보유액의 약 40%에 해당하는 700만 파운드에 달할 것으로 추산되고 있습니다.
대영도서관의 최고 경영자인 롤리 키팅(Roly Keating)은 이렇게 말했습니다: “이런 종류의 공격은 우리가 준비하고 리허설을 통해 대비를 해왔고 예방 조치를 취해왔지만, 실제 공격이 발생했을 때 충격은 이만저만이 아니었습니다.
“연구, 영감, 즐거움을 위해 누구나 무료로 이용할 수 있는 1억 7천만 개의 소장 자료에 대한 액세스를 제공하는 것이 우리의 목적입니다.” 하지만 첫 주말에 우리는 강탈 작전과 조잡한 강탈 시도를 당하는 것을 목격했습니다.
“이 사이버 공격에 책임이 있는 사람들은 개방성, 권한 부여, 지식에 대한 접근성 등 도서관이 대표하는 모든 것에 반하는 사람들입니다.”
키팅은 “완전한 복구까지 긴 여정이 될 것이라는 것을 알고 있지만, 사이버 공격 이후 몇 주 동안 우리 직원들의 전문성, 에너지, 공공 서비스에 대한 헌신을 충분히 보여줬습니다.
“이 경험은 또한 우리가 이 전례 없는 도전을 헤쳐나가는 동안 인내심을 가지고 우리와 함께 믿음을 지켜준 방대한 국내외 사용자, 후원자, 파트너 기관 커뮤니티의 놀라운 이해와 관대함을 드러냈습니다. 대영도서관의 모든 직원을 대표하여 감사의 인사를 전합니다.”
- 2023년 10월 31일: 대영도서관이 공개되지 않은 사이버 사고로 인해 대규모 IT 중단 사태를 겪습니다.
- 11월 16일: 대영도서관이 시스템에 영향을 미치는 지속적인 사이버 사고에 대한 업데이트를 제공했으며, 랜섬웨어 공격의 결과임을 확인했습니다.
- 11월 21일: 랜섬웨어 그룹 Rhysida가 대영도서관에서 훔친 문서를 최고가 입찰자에게 판매하겠다고 협박했습니다.
- 11월 28일: 아직 진행 중인 사건의 범위가 다시 넓어지면서 영국 도서관 사용자의 개인 데이터가 Rhysida 랜섬웨어 공격 이후 다크웹에서 판매되고 있습니다.
- 11월 30일: 대영도서관에 대한 사이버 공격의 배후에 있는 Rhysida 랜섬웨어 조직이 다크웹 유출 사이트에 약 600GB의 탈취 데이터를 공개했습니다.
- 2024년 1월 7일: 대영도서관의 랜섬웨어에 감염된 IT 시스템을 복구하는 데 최대 700만 파운드가 소요될 수 있는 것으로 나타났습니다.
0개의 댓글