서울남부터미널 발권기, 랜섬웨어 감염으로 작동 중단…티머니 “조사 중”

서울남부터미널에 설치, 운영되고 있는 버스티켓 발권기에서 ‘록빗 블랙(LockBit Black)’ 랜섬웨어 감염으로 의심되는 화면이 포착돼 주목된다.

27일 X(옛 트위터)에는 “남부터미널 발권기가 랜섬웨어 걸렸다”는 글과 함께 현장 사진이 게시됐다. 공개된 사진에 따르면 발권기 한 대의 화면에 정상 서비스가 중단된 채 “All your important files are stolen and encrypted(당신의 중요한 파일이 모두 암호화됐다)”라는 문구와 함께 ‘LockBit Black’이라는 단어가 선명히 나타나 있다. 현재 이 기기는 작동이 중단된 상태다. 이 게시물은 게재된 지 몇 시간 만에 17만회 이상 조회되며 빠르게 확산됐다.

록빗은 최근까지 전 세계 공공기관과 교통·의료·제조 설비를 공격해온 악명 높은 랜섬웨어 조직으로, 올해 초에도 일본 공항 키오스크 시스템과 유럽 다수 공공기관을 대상으로 공격을 감행한 바 있다. 록빗 블랙은 전 세계적으로 활동 중인 글로벌 사이버범죄조직인 록빗이 만든 3세대 버전으로 2022년경 공개된 이래 ‘록빗 3.0’ 또는 ‘블랙’으로 불린다. 파일을 암호화한 뒤 탈취한 데이터를 공개하겠다고 협박하는 이중 갈취 수법을 사용하는 것이 특징이며, 기업이나 공공시설을 무력화시키는 공격을 자주 일삼는 것으로 알려져 있다.

미국 사이버보안·인프라안전국(CISA)에 따르면, 록빗 블랙은 주로 피싱과 노출된 원격접속(RDP/VPN) 계정, 그리고 인터넷에 노출된 서버·애플리케이션의 알려진 원격코드실행(RCE)·N-day 취약점을 통해 초기 접근을 확보한 뒤 Cobalt Strike·PsExec 등 도구로 내부로 빠르게 확산해 데이터 탈취와 암호화를 병행한다. 이를 막기 위해서는 인터넷에 노출된 서비스와 애플리케이션에 최신 보안 패치를 즉시 적용하고, 원격접속 환경에는 다중요인인증(MFA)을 도입해 불필요한 외부 포트 접속을 차단한다. 또한 관리자 계정과 원격접속 로그·대량 파일 전송 기록 등 의심스러운 활동을 지속적으로 모니터링해 이상이 확인될 경우 즉시 격리해야 한다는 것이 CISA 측의 권고다.

남부터미널 발권기 시스템을 관리하는 티머니 관계자는 28일 “관련 보고가 접수돼 현재 자체적으로 조사 중”이라며 “현재 해당 발권기는 전원을 꺼 둔 상태다. 피해가 있는지 사고 경위를 자체적으로 확인 중”이라고 밝혔다. 이어 랜섬웨어 감염에 대한 당국 신고와 관련해서는 “자체 조사가 완료되면 상황에 따라 조치할 것”이라고 말했다.

보안 전문기업 트루컷시큐리티 관계자는 “발권기처럼 네트워크에 연결된 단말은 유지보수 과정이나 관리 포트 등을 통해 랜섬웨어에 감염될 수 있다”며 “랜섬웨어의 경우, 감염 이후 내부망으로 빠르게 확산되는 특성이 있어 동일 네트워크 내 다른 단말 감염 여부를 면밀히 점검할 필요가 있다”고 설명했다.

이어 “하나의 발권기만 감염됐다면 금전적 목적보다 해당 기관이나 기업의 신뢰도와 이미지를 흔들기 위한 공격일 가능성이 높다”며 “요즘 공격자들은 단순 암호화보다 정보 탈취를 병행하며 피해 기업의 대응 속도를 시험하기도 한다”고 덧붙였다.

한편, 서울남부터미널 버스 발권기 운영은 엔티산업이, 실질적인 매표시스템 운영은 티머니모빌리티가 담당하고 있다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network