Author: Sunhyung Shim, Jaehak Oh | S2W Marketing
Photo by Clint Patterson on UnsplashExecutive Summary
The Facts in 2023
- 튀르키예는 MENA 지역내 국가 중 다크웹 (해킹 포럼 + 랜섬웨어)에서 가장 자주 언급되었던 국가로 언급량과 비례해 데이터 유출이나 계정 유출과 같은 피해가 큰 국가로 나타남
- 국가의 언급 사례: 데이터 유출 시, 해당 국가에 대한 사이버 공격 선언 시 등
- `22년과 비교해 `23년, 사이버 공격으로 인한 피해가 가장 증가한 국가는 이스라엘로 이스라엘-팔레스타인 전쟁이 사이버 전쟁으로 확대된 여파로 분석됨
- 랜섬웨어 피해가 가장 컸던 MENA 국가는 UAE > 튀르키예 > 이스라엘 순서로 나타나며, 세 개 국가의 랜섬웨어 피해는 전체 MENA 피해의 약 70%를 차지함
- MENA의 텔레콤 산업 피해는 타 지역의 그것 대비 높은 피해 비중을 보이고 있음. 이는 특히 이스라엘의 주요 통신사에 대한 사이버 공격이 높은 영향을 미쳤던 것으로 보임
MENA 국가의 사이버 공격 피해 추이 (‘21-’23년)
MENA 지역 내 국가별 다크웹 언급량 및 유출량 분포도
<MENA 국가 데이터 유출 분포도>- 최근 2년간 다크웹 상 가장 사이버 공격 피해를 많이 받은 국가는 튀르키예이며, 재작년 대비 작년 가장 사이버 공격 피해가 많이 증가한 국가는 이스라엘로 나타남
국가 & 산업별 사이버 피해 집중도
- ‘금융’ 산업의 유출 비중은 튀르키예가 MENA 전반에 걸쳐 가장 높았음
- 튀르키예 금융 데이터 유출 예시:
튀르키예 최대 규모 은행 ‘Akbank’ 유출
가장 오래된 은행 ‘TEB’ 가입자 개인 정보 유출 등 - 정부/군사기관의 유출은 MENA 지역 내에서 가장 빈번하게 발생하는 사이버 유출이었으며,
특히 이라크와 사우디아라비아는 전체 유출의 약 70%와 52%가 정부기관 유출이었음 - 이라크 정부/군사 데이터 유출 예시:
이라크 연방수사기관, 내무부, 국가 안보, 총리실, 유권자 데이터베이스 유출 - 사우디아라비아 정부/군사 데이터 유출 예시:
교육부 9,000개 계정 유출, 정부 계정 유출, 외무부 유출 등
산업별 피해 집중도 by 인근 지역
- MENA의 텔레콤 산업은 타 인근 지역 대비 비중이 가장 높은 산업으로 확인되는데 상당수의 데이터 유출 사고는 텔레콤 서비스에 가입한 유저들의 개인 정보 유출로 확인되고, 이스라엘 주요 통신사 ‘CellCom’과 ‘Bezeq’
유출이 특히 MENA 지역 텔레콤 유출량에 영향을 끼친 것으로 나타남
텔레콤 산업 피해 게시글 예시
- ‘23년 10월-11월, 이스라엘 최대 통신사인 ‘Cellcom’과 ‘Bezeq’이 해킹 그룹 ‘SiegedSec’에게 사이버 공격을 받고 내부 데이터 및 통신사 가입자들의 개인 정보를 탈취한 사건이 발생함
[Cellcom 피해 수준: 약 50,000명의 개인 정보, Bezeq 피해 수준:약 18만 명 개인 정보
<SiegedSec?>
<텔레그램 내 Cellcom 및 Bezeq 유출 메시지 추이>- 다크웹 해킹 포럼 내 ‘Cellcom’ 및 ‘Bezeq’ 유출은 텔레그램에서 활동하는 해커들에게도 영향을 끼친 것으로 나타남
- 다크웹 해킹 포럼 내 ‘Cellcom’ 및 ‘Bezeq’ 유출 이후, 해커들은 유출된 데이터를 텔레그램에서 무료로 공유하거나, 피해 기업의 DNS 서버에 DDOS 공격을 가했다는 언급을 하는 등의 행위를 2024년까지 보이고 있음
- 총 24개의 해킹 그룹이 피해 기업을 언급했으며, 이 중 가장 활발한 활동을 펼친 그룹은 ‘Anonymous Collective’로 불리는 그룹임
<‘Anonymous Collective’이 게시한 ‘Cellcom’ 및 ‘Bezeq’ 유출 게시글 샘플>- 이스라엘 외, 다수 MENA 국가 텔레콤 산업 혹은 텔레콤 기업 가입자 개인 정보 등이 다크웹 해킹 포럼 내에서 유출되는 정황이 빈번하게 포착됨
국가별 랜섬웨어 피해 비교 및 랜섬웨어 그룹 활동 비중
<(좌) MENA 국가 내 랜섬웨어 피해 비중 (우) 가장 활발히 활동한 랜섬웨어 그룹 Word Cloud>- 랜섬웨어 피해가 가장 컸던 MENA 국가는 UAE > 튀르키예 > 이스라엘 순서로 나타나며, 세 개 국가의 랜섬웨어 피해는 전체 MENA 피해의 약 70%를 차지함
- 타 지역과 동일하게, ’23년 한 해동안 MENA 국가에 랜섬웨어 피해를 가장 많이 가한 그룹은 ‘LockBit’으로 확인됨
- 해킹 포럼 내 언급량 3위였던 ‘이라크’는 ‘23년에 단 한 차례의 랜섬웨어 공격도 받지 않음
연도별 국가 피해 및 산업별 피해 비교 분석
- 특히, UAE와 이스라엘 두 국가는 2022년 대비 피해 수가 12건이 증가하며 가장 높은 피해 증가 건을 기록했으며, 2024년 들어와서 랜섬웨어 피해가 1건씩 추가됨
- 이스라엘의 경우 재작년에는 랜섬웨어 그룹으로부터 큰 관심을 받는 국가는 아니었으나, ’23년 들어서 피해 건수가 대폭 상승함
- ‘23년에는 타 산업의 피해 비중 (비즈니스 서비스, 운송업, 금융업)이 감소하며 제조업에 피해가 더욱 집중된 것으로 풀이됨
MENA 타겟 텔레그램 해킹 그룹 활동 추이
- 이스라엘-팔레스타인 전쟁 발발 이후 텔레그램에서 활동하는 해커들의 활동은 급상승, 이후 서서히 감소했으나, ’24년 1월부터 추이가 상승하고 있는 것으로 나타남
- 약 59%의 해킹 그룹은 2024년을 시작으로 자취를 감춘 것으로 나타나며, 이 중 약 14%의 그룹은 ‘이스라엘’ 과 ‘파키스탄’을 중점적으로 언급했던 해킹 그룹임
’23년 대비 ’24년 언급량 비교
- 이스라엘을 겨냥한 메시지는 ’24년에 들어서도 집중된 것으로 나타나나, 언급량이 작년 대비 약 8.5%pp 감소하며 타 MENA 국가들로 분산되고 있음
해킹 채널에서 발생하는 메시지 유형 구분
- 해킹 그룹이 운영하는 텔레그램 채널 내의 메시지는 두 종류 (단순 언급, 파일 유출)로 나뉘며, 각각의 차이와 예시는 아래와 같음:
- MENA 국가 중, 사우디아라비아의 언급량 대비 파일 유출 비중은 약 13%로 가장 높은 비중을 차지했으며, ‘파일 유출’ 순위로도 2위를 차지함
텔레그램에서 공유되는 파일
파일 유출 메시지 샘플
[Region Analysis_January] Dark Web Cyber-attacks targeting MENA region(Korean ver.) was originally published in S2W BLOG on Medium, where people are continuing the conversation by highlighting and responding to this story.