나무모에 미러 (일반/어두운 화면)
최근 수정 시각 : 2024-11-03 15:59:28

KADOKAWA 웹사이트 사이버 공격 및 개인정보 유출 사건

카도카와 해킹에서 넘어옴

주의. 사건·사고 관련 내용을 설명합니다.

사건 사고 관련 서술 규정을 유의하시기 바랍니다.

1. 개요2. 상세3. 영향
3.1. N차 가해
4. 범인

1. 개요

2024年KADOKAWA・ニコニコ動画へのサイバー攻撃

2024년 6월 8일 새벽부터 KADOKAWA 서버에서 발생한 사이버 공격으로 KADOKAWA의 모든 온라인 서비스들[1]이 마비되며 사내 직원들 및 플랫폼 회원들의 개인정보가 유출된 사건.

2. 상세

2024년 6월 8일 새벽부터 니코니코 동화, 엔터브레인의 온라인 쇼핑 사이트인 에비텐(ebten), KADOKAWA 공식 홈페이지, N고등학교 웹사이트 및 어플리케이션 등을 포함한 복수의 서버[2]에 접속이 불가능해지는 사고가 발생하였다.

KADOKAWA 측에서 2024년 6월 9일 밝히기로는 2024년 6월 8일 새벽부터 니코니코 동화, 엔터브레인의 온라인 쇼핑 사이트인 에비텐(ebten), KADOKAWA 공식 홈페이지, N고등학교 웹사이트 및 어플리케이션 등을 포함한 복수의 서버에 랜섬웨어 공격 등 다양한 사이버 공격이 가해지고 있어 접속이 매우 어려워진 상태라 시스템 및 데이터 보호를 위해 해당 서버를 내렸다고 한다. 이에 대해 KADOKAWA 측에서는 외부 전문가 및 경찰과 협력하여 대응하겠다고 밝혔다.#

6월 10일 오후 2시 15분 N고등학교 웹사이트 및 어플리케이션에 대해서 긴급 복구를 완료하였다는 공지를 띄웠지만 이외의 온라인 서비스는 여전히 큰 차질을 빚고 있다.

KADOKAWA 측에서는 6월 14일 카도카와 그룹 데이터센터가 랜섬웨어 공격을 당하여 상당수의 가상 머신이 암호화되어 사용할 수 없게 된 상황이라고 고시하였고 이 사태까지 이르른 대표적인 원인은 랜섬웨어라고 밝혔으나 공격자 측이 서버를 원격으로 재기동하여 계속해서 피해가 확대되면서 전원선과 랜선을 제거해 물리적으로 서버를 통째로 차단하고 추가 감염을 막기 위해 회사 본사에 대한 직원들의 출근을 막고 사내 네트워크 등을 전부 재조사 중이라고 밝혔다. 이 사이버 공격으로 카도카와 계열의 온라인 서비스는 현재 유례없는 장기 운영중단 상태에 놓여있다. 최초 발표에서는 니코동에 대한 서비스는 16일까지 복구할 예정이라고 하였다.# 그러나 생각보다 상황이 심각한지 복구까지 한 달 이상이 소요된다고 하며 일단 7월 말을 목표로 복구 작업을 수행하되 정확한 복구 시점은 현재 미정이라고 한다.# 다만 우려하였던 니코동의 동영상에 대한 정보는 카도카와 본사 서버가 아닌 AWS상에[3] 저장되기 때문에 피해를 입지 않았으나 그 영상을 재생하는 것이 카도카와 데이터센터를 경유하기 때문에 서비스를 내린 상태라고 전해졌다.

6월 21일 Newspicks에서 유료회원 한정 기사로 카도카와 측 발표와 달리 범인 그룹이 사원들의 민감정보 및 회원들의 이용정보를 탈취하여 카도카와를 압박중이며 카도카와가 범인이 원하는 대금 298만 달러 가량을 지급하자 이후 825만 달러라는 거금을 추가 요구하며 회원의 성인물 이용 정보를 무차별 공개하겠다는 등 협박을 가하는 중이라고 단독 보도하였다. 이에 대해 니코니코 및 카도카와측은 댓글을 통해 범인인지도 확실하지 않은 인물과 접촉하여 일방적으로 기사를 발표하는 행위를 규탄하고 법적 조치를 취할 것이라고 밝혔다.#

카도카와측이 뉴스픽에 대해 강경한 태도를 보였으나 딱히 내용을 부정하지는 않아 진위여부는 불명이지만 니코동은 회원가입 시 개인정보를 거의 요구하지 않으며 R-18 카테고리가 있기는 해도 완전한 성인물은 업로드가 금지되는 사이트이기 때문에 사실이더라도 니코동보다는 다른 카도카와 사이트에 관련된 사건일 가능성이 높다. 애초에 니코동 하나만 놓고 보자면 영상 데이터가 전부 정상이며 사이트를 아예 포맷하고 처음부터 리빌딩중인 상황이므로 한 푼이라도 인질값을 건네줄 동기가 없다.

7월 1일 밤부터 현재 가장 유력한 범인으로 지목되고 있는 러시아의 해커 집단인 BlackSuit에서 카도카와에서 요구 금액을 지불하지 않았다며 약탈한 정보를 무차별 공개하기 시작했다. 현재 공개 중인 데이터에는 니코동이나 카도카와 공식과 계약을 체결한 유명인이나[4] 유명 버츄얼 유튜버 등 개인 인터넷 방송인, 니코동에서 활동한 경력이 있는 우타이테, 성우, 일러스트레이터 및 사원들과 운영주체인 도완고측 관계자들, 사립학교 N고 학생들의 본명, 주소, 대금 지급 내역 등 매우 민감한 개인정보가 마구잡이로 들어 있어 이들에 대한 스토킹 등 심각한 사생활 침해가 우려되는 상황이다.

2024년 8월 5일 오후 3시부터 니코니코 동화는 일단 서비스를 재개하였으나, 아직 완벽하게 보수되진 않아 당장 TOP 동영상 표시는 되지 않고 있으며, 보카코레 같은 앱도 아직 보수되지 않아 사용이 불가능하여 반작용으로 이 시기에 유행을 끈 보컬로이드 곡은 니코동 조회수가 낮을 것으로 예상되어서 vocaloid 전당입성, 전설입성, 신화입성 모두 늦어질 가능성이 있다.

3. 영향

이 사건 때문에 서비스가 종료되는 거 아니냐는 우려도 있지만 니코니코 동화는 영상 및 일반적인 회원정보 등 내부 데이터는 공격받지 않았으며 중계서버에서 사용할 시스템을 재구축 중일 뿐이기 때문에 서비스 종료까지 갈 가능성은 거의 없고, 시간만 지나면 언젠가는 복구될 것으로 보인다. 결국 문제는 여태까지 찾아보기 힘든 수준의 초대형 개인정보 유출 파문이다.

니코동이 오와콘이라는 인식, 특히 한국에서는 외형적으로 많이 비슷하지만 매우 나쁜 외부 인식과 심각한 막장운영으로 공중분해된 티비플과 비교하는 분위기로 인해 사태 초기 상대적으로 주목받지 못한 감이 있으나 2024년 상반기 기준으로도 니코니코의 서브컬처에 대한 영향력은 아직까지 절대적인 수준이다. 니코동은 어디까지나 동영상 스트리밍 사이트로서의 명성 떨어졌을 뿐 니코니코 초회의, 보카코레유튜브트위치에서는 전혀 진행하지 않는 각종 서브컬처 이벤트를 주도하고 있으며 당연히 이에 관한 노하우도 카도카와 인수전부터 쌓인 니코니코(니완고)가 가장 많이 가지고 있다 보니 서브컬처 관계자&기업이 어느 정도 명성을 쌓으면 한 번쯤은 계약할 수 밖에 없는 사이트다. 심지어 이는 니코동의 쇠락에 엑셀을 밟은 니지산지hololive 등의 버츄얼 유튜버(라이버)들에게도 당연한 관례처럼 여겨졌다.

그렇다보니 니코니코 계약정보가 싸그리 털린 이 사건은 사람이 덕질을 하면서 한번이라도 들어봤을 인물은 전부 개인정보가 무료 공개되었다고 봐도 무방하며 굳이 한국의 사이트로 비유하자면 티비플이 아닌 트위치 코리아 철수 이전 시점의 아프리카TV가 완전히 털렸다고 가정했을 때의 영향력을 지닌다고 봐야 한다. 물론 이마저도 니코니코에 한정했을 때의 이야기이고 진짜 털린 것은 모회사 카도카와 전체인 만큼 '서브컬처 유명인 전원 신상유포'조차도 축소된 타이틀이라는 것이 현 상황이다. 때문에 1년 전 일본 남자 아이돌계를 완전히 뒤흔들었던 쟈니 키타가와 연습생 성착취 파문 수준으로[5] 일본 IT계, 서브컬처계에 큰 파장이 발생하고 있다고 봐도 무방하다. 카도카와 대규모 해킹... '프롬 소프트웨어'도 영향 받나?

특히 일반적인 개인정보 유출 사고는 스팸, 보이스피싱, 기타 무단 사용 등의 용도로 쓰는 이들에게 다크웹 경유로 팔아 금전적 이득을 취하는 경우가 많으므로 일반인에게 그 정보가 누출되는 케이스는 많지 않다. 그런데 본 건은 이와 다르게 약탈한 개인정보를 완전 개방된 장소에 전부 풀어 수많은 관계자들의 인권을 짓밟는 악랄한 방식을 사용하여 일본 국민들에게 큰 충격을 안겨주고 있다.

한편 니코동은 본디 2020년대에도 업데이트를 하면서도 수많은 유저들의 바람에도 불구하고 안 되니까 그냥 봐라 스탠스를 고집하던 어처구니 없는 사이트였는데, 계획에는 없었지만 어쨌든 시스템 리뉴얼을 하는 바람에 드디어 웹 브라우저에서 다크 모드를 하고 재생하는 것이 가능해 졌다. 하지만 검색 페이지에선 눈부신 흰 화면으로 돌아왔다가 영상을 클릭하고 재생 페이지에 들어가야 다시 어두워지는 등 중구난방이다.

2024년 10월 9일, 니코니코 동화에서는 니코니코 동화의 해외 접속시의 이용 범위 제한을 강화할 예정이라고 밝혔고 3주 후인 2024년 10월 30일부터 해외 접속시의 니코동 영상 등의 이용범위제한이 강화되었다.# 해킹 사태에 관련된 조치라고 보는 반응이 대다수.#

2024년 10월 30일 이후, 니코동 스마트폰 브라우저판은 일본 국내 이외에는 접속 자체가 금지되었으며[6] 니코니코정화도 해외에서는 만화를 제외한 모든 서비스의 이용이 불가능해졌다. 또한 PC 웹사이트 및 니코동 공식 앱의 경우 디바이스 제한이 걸린 영상의 시청은 일본 국내에서만 시청이 가능하게 바뀌었다.

3.1. N차 가해

이 사건으로 인해 KADOKAWA 연관 사이트에서 활동한 이력이 있는 인물[7] 등에 대한 개인정보를 악의적으로 유포하며 사생활 침해를 하는 등 N차 가해가 일어나고 있다. 관련하여 7월 10일, KADOKAWA 측에서는 자회사 도완고를 통하여 개인정보 악의적 유포에 대한 형사 및 민사상 고소를 검토하고 있으며 관련된 내용의 문의를 접수받고 있다고 전하였다.#

4. 범인

파일:GRD7_JmXMAALAkm.jpg
BLACK SUIT가 딥웹에 올린 협박문
KADOKAWA에 해킹을 한 범인은 작년부터 이름을 날리고 있는 BLACK SUIT라는 러시아에 기반을 두는 랜섬웨어 전문 해커그룹[8]으로, 이들이 사용하고 있는 BlackSuit 랜섬웨어를 봤을 때 Royal이라는 또 다른 해커그룹에서 쓰는 랜섬웨어와 유사하다는 점을 들어 Royal의 파생조직으로 추측되고 있다.#

작년부터 활발하게 활동을 하고 있는 만큼 한국인터넷진흥원에서도 변종 랜섬웨어로 주시하고 있으며 2023년 말에 골프존이 BLACK SUIT에게 당해 221만 명의 개인정보가 다크웹에 유출되었다.

참고로 카도카와를 공격하고 협상하고 있던 와중에 6월 19, 20일 이틀 동안 미국의 자동차 소프트웨어 기업인 'CDK 글로벌'도 랜섬웨어 공격을 했다.#

이들이 랜섬웨어 공격을 성공시키고 나서 그 다음 대응이 특이한데 보통 랜섬웨어로 암호화를 시키거나 개인정보를 탈취할 경우 해독 파일이나 탈취 정보 삭제를 댓가로 돈을 요구하고[9] 응하지 않을시 포기하거나 아니면 개인정보를 다크넷에 팔아서 부수익을 얻는다. 근데 BLACK SUIT는 공격 대상과 협상이 불발 됐을 경우 개인정보를 파는 것이 아니라 그냥 오픈소스로 인터넷에 다 공개해서 본인들의 수익을 포기한다.

BLACK SUIT가 이렇게 하는 이유는 두 가지인데, 첫 번째는 본인들의 해킹 실력을 입증하고 과시해서 몸값을 높이는 것. 두 번째는 자신들이 이후에 또 다른 곳에 랜섬웨어 공격을 해 성공시킬 때 협상과정이 순탄하지 않을 경우 초강경 대응을 하겠다는 협박이다. 개인정보라는 것은 아는 사람들이 많아질 수록 위험도가 높아지는데 소수의 사람들과 거래를 하는 것도 아니고 모든 사람들에게 공개해 버린다면 피해자 입장에서는 어떻게든 유출을 막고 싶어할 것이기 때문. 그러면 요구할 수 있는 돈이 많아지고 같은 단체의 이름으로 해킹을 하고 다닐 수록 협상 비용을 높이는 것도 가능하니 그냥 개인정보를 파는 것보다 이렇게 하는 게 더 이득이라고 생각할 수도 있다.

[1] 영상 공유 사이트인 니코니코 동화, 엔터브레인의 온라인 쇼핑 사이트인 에비텐(ebten), KADOKAWA 공식 홈페이지 및 유관 회사의 웹사이트, N고등학교 웹사이트 및 어플리케이션.[2] KADOKAWA가 담당하는 애니메이션들의 경우도 공식사이트가 접속되지 않았다.[3] 공지 원문에서는 카도카와 자사 클라우드가 아닌 다른 클라우드라 적혀 있었으나, 이전부터 AWS 사용례로 홍보되고 있음이 확인되었다.[4] 출연 계약을 맺고 출연료를 받은 경우.[5] 이쪽도 과거부터 업계 독점 기업, 업계 절대적인 영향력을 가진 기업으로 유명했으며, 2010년대 이후로는 점점 몰락하다가 해당 사건으로 치명타를 입고 해체 후 재창단 절차를 밟게 되었다.[6] 때문에 해외에서는 PC 웹사이트 및 니코동 공식 앱으로만 접속할 수 있게 되었다.[7] N고등학교의 학생들과 학부모는 물론, 영상 제작자, 인터넷 방송인, 일러스트레이터, 우타이테, 성우, 작가 등의 유명인도 포함.[8] 러시아 사이버 범죄조직인 콘티2022년 러시아의 우크라이나 침공 과정에서 러시아 지지 문제로 내분이 일어나 와해된 직후 생긴 여러 분파 중 하나다.[9] 물론 절대로 협상에 응해서 돈을 주면 안 된다. 대부분 현물거래가 가능한 현실의 인질 협상과 달리 사이버 세계는 먹튀나 탈취 정보를 파기했는지 알 수 없는 신용거래다.


파일:CC-white.svg 이 문서의 내용 중 전체 또는 일부는
문서의 r176
, 13번 문단
에서 가져왔습니다. 이전 역사 보러 가기
파일:CC-white.svg 이 문서의 내용 중 전체 또는 일부는 다른 문서에서 가져왔습니다.
[ 펼치기 · 접기 ]
문서의 r176 (이전 역사)
문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)

문서의 r (이전 역사)