대기업도 당한 랜섬웨어, 클롭 랜섬웨어

지난달 22일 이랜드그룹은 랜섬웨어 공격을 받았습니다.

 

랜섬웨어는 악의적으로 공격 대상자의 컴퓨터를 암호화해 사용자가 이를 이용하지 못하도록하고, 이를 풀어주는 대가로 돈을 요구하는 악성코드입니다. 이랜드그룹은 이로 인해 NC백화점과 뉴코아아울렛 일부가 휴점하는 피해를 입었습니다. 

 

여기서 멈추지 않고 12월 3일 다크웹에 이랜드에서 탈취한 것이라고 주장하는 데이터가 올라왔는데요. 다크웹은 특정 브라우저로만 접속 가능한 비밀 웹사이트로, 아이피 추적이 어려워 마약 밀매, 음란물 유통 등의 범죄 공간이 되곤 합니다. 이랜드는 짜집기한 허위 정보일 것이라고 판단하지만, 경찰 등 관련 기관에 신고를 접수했다고 밝혔습니다. 

출처: 조선일보

 

이처럼 기업을 대상으로 데이터를 탈취, 악용하는 공격을 '클롭 랜섬웨어'라고 합니다. 클롭 랜섬웨어의 특징과 예방 방법에 대해서 요약했습니다.

 

클롭 랜섬웨어란?

랜섬웨어란 앞서 언급한대로 랜섬(Ransom; 몸값)과 소프트웨어(Software)의 합성어로 컴퓨터 내의 자료를 인질로 삼아 몸값을 요구하는 방식입니다. 컴퓨터의 중요 파일이나 프로그램들을 암호화해서 사용할 수 없도록하고, 해독키를 미끼로 금전이나 가상화폐를 요구합니다. 주로 감염되는 경로는 스팸메일, 파일공유 사이트, 네트워크 망, 신뢰할 수 없는 사이트 등입니다. 

 

2013년 이전에는 단순히 파일을 암호화하거나, 컴퓨터를 사용하지 못하도록 암호를 거는 식이었지만 '크립토락커' 이후부터는 수법이 점차 고도화되고 있습니다. 크립토락커는 한글로 제작돼 한국 사용자를 겨냥한 랜섬웨어 트로이목마입니다. 암호화 방식으로 파일을 잠그고서, 일정 시간이 지나면 시스템 전체를 영구불능으로 만드는 프로그램입니다. 그 기간 안에 해커는 금전적인 대가를 요구합니다. 다만 해커들이 돈을 받았다고 해도 프로그램을 삭제해준다는 보장이 없다는 것이 문제입니다.

 

크립토락커, 출처: 이스트포스트

 

제가 일하던 공공기관에서도 PC가 랜섬웨어 공격을 받았던 사례가 있었습니다. 그것도 제 PC가 랜섬웨어에 노출됐는데요. 프린터가 로컬 네트워크로 연결되지 않아서 우회 접속을 통해 인쇄 정보를 전달하려고 했던 것이 화근이었습니다. 그 과정에서 방화벽을 해제해 공격에 취약해진 상황이었던 것입니다. 이 일로 불려가서 혼이 났던 기억이 납니다.

 

클롭 랜섬웨어는 랜섬웨어 중에서도 기업을 타겟으로 합니다. 기업의 중앙 서버인 '액티브 디렉터리'를 공격 대상으로 설정합니다. 액티브 디렉터리는 회사의 정보를 저장하고 있는 데이터베이스입니다. 마이크로소프트의 윈도우 기반 컴퓨터에 사용되며 기업 관리자들이 직원들로 하여금 네트워크에 접속할 수 있도록 하는 프로그램입니다.

 

액티브 디렉터리를 공격하기 위해 기업의 직원을 대상으로 이력서, 송장, 거래서 등으로 위장한 악성코드를 유포합니다. 특정 기관을 사칭해서 악성 실행파일을 기업 이메일 계정으로 유포했던 사례가 있습니다. 혹은 기업 서버 관리자의 계정 자체를 해킹해 연결된 시스템들을 모두 랜섬웨어에 감염되도록 하는 경우도 있습니다.

 

클롭 랜섬웨어의 공격에 노출되면, 공격자는 관리 서버에 연결된 모든 정보에 접근할 수 있게 됩니다. 서버에 백신이나 방어 프로그램이 있다면, 관리 서버에서 발급한 인증서로 이를 우회하거나 통과하게 됩니다. 이렇게 관리 서버에서 조직 내 사용자에 접근해, 프로그램이나 드라이브를 암호화하게 됩니다.

 

클롭 랜섬웨어 예방법은?

-사용자 입장에서 예방법 4가지를 소개합니다.

 

1) 출처가 불분명한 이메일을 주의하고, 첨부파일이나 URL을 열 때는 반드시 안전한 파일인지 확인합니다.

 

2) 공유폴더는 최대한 사용을 자제하고, 사용할 경우 접근제어목록(ACL) 등의 강한 암호를 설정합니다. 접근제어목록은 사용자를 검사해 특정 코드를 가진 사람만 접근을 허가하는 방식입니다.

 

3) 파일 공유 사이트를 이용하지 않습니다. 파일 공유 사이트는 악성코드가 빈번하게 출현하는 곳으로, 신뢰되지 않는 곳에서 파일을 다운로드하거나 실행하는 것은 자제하는 것이 좋습니다.

 

4) 주기적으로 중요한 파일을 백업합니다.

 

-조직적인 차원에서 대응하는 방법은 5가지가 있습니다.

 

1) 아웃바인드를 통제합니다. 아웃바인드는 방화벽과 관련된 것으로, 서버에서 바깥으로 나가는 데이터를 말합니다. 랜섬웨어 공격으로 서버가 감염되면, 서버는 개별 사용자(클라이언트)에 랜섬웨어를 전달하게 되는데요. 이를 방지하기 위해 아웃바인드 규칙을 지정합니다.

 

출처: 테크타겟

 

2) 망을 분리하고 접근을 제어합니다. 망분리란 업무 전용 서버와 일반 인터넷 서버의 망을 분리하는 것입니다. 인터넷 상의 정보가 업무 정보와 교환되지 않게함으로써 공격을 방어할 수 있습니다. 다만 이 방법은 구축에 초기 비용이 소모된다는 단점이 있습니다.

 

3) 사용자 계정의 권한을 최소화합니다.

 

4) 파워쉘 기능을 제한합니다. 파워쉘이란 시스템 관리 및 자동화를 목적으로 설계된 스크립트 언어입니다. 기본적으로 윈도우에서는 이 스크립트 실행을 제한하지만, 공격자는 이를 우회할 수 있습니다. 개인 PC에 악의적인 스크립트를 심어두면, 대상자의 PC가 원격으로 제어되며 악성 파일이 다운로드-실행됩니다. 이를 막기 위해 파워쉘 기능을 통제합니다.

 

파워쉘

 

5) EDR을 활용해 원격 제어를 제한합니다.  EDR이란 클라이언트에 설치되어 특정한 행동이나 이상징후가 보이면 바로 탐지해 그것에 대한 대응을 하는 솔루션인데요. 일반 백신과 달리 머신러닝과 인공지능을 이용해 위협을 차단합니다.