대기업도 당했다...'클롭 랜섬웨어' 특징과 예방법은?

컴퓨터를 마비시켜 금전을 요구하는 '랜섬웨어' 예방법은?

[문화뉴스 MHN 김종민 기자] 지난달 22일 이랜드그룹이 랜섬웨어 공격을 받아 몸살을 앓았다. 랜섬웨어는 악의적으로 공격 대상자의 컴퓨터를 암호화해 사용자가 이를 이용하지 못하도록하고, 이를 풀어주는 대가로 돈을 요구하는 악성코드다. 이랜드그룹은 이로 인해 NC백화점과 뉴코아아울렛 일부가 휴점하는 피해를 받았다.

여기서 멈추지 않고 지난 3일 다크웹에 이랜드에서 탈취한 것이라고 주장하는 데이터가 올라와 논란이 됐다. 다크웹은 특정 브라우저로만 접속 가능한 비밀 웹사이트로, 아이피 추적이 어려워 마약 밀매, 음란물 유통 등의 범죄의 온상이 된다. 이랜드는 짜집기한 허위 정보일 것이라고 판단하지만, 경찰 등 관련 기관에 신고를 접수했다고 말했다.

이처럼 기업을 대상으로 데이터를 탈취, 악용하는 공격을 '클롭 랜섬웨어'라 부른다. 클롭 랜섬웨어의 특징과 예방 방법은 무엇일까?

■ 클롭 랜섬웨어란?

랜섬웨어란 앞서 언급한대로 랜섬(Ransom; 몸값)과 소프트웨어(Software)의 합성어로 컴퓨터 내의 자료를 인질로 삼아 몸값을 요구하는 악성코드다. 컴퓨터의 중요 파일이나 프로그램들을 암호화해서 사용할 수 없도록하고, 해독키를 미끼로 금전이나 가상화폐를 요구하는 방식이다. 주로 감염되는 경로는 스팸메일, 파일공유 사이트, 네트워크 망, 신뢰할 수 없는 사이트 등이다.

2013년 이전에는 단순히 파일을 암호화하거나, 컴퓨터를 사용하지 못하도록 암호를 거는 식이었지만 '크립토락커' 이후부터는 수법이 고도화됐다. 크립토락커는 한글로 제작돼 한국 사용자를 겨냥한 랜섬웨어 트로이목마로, 암호화 방식으로 파일을 잠그고서 일정 시간이 지나면 시스템 전체를 영구불능으로 만드는 프로그램이다. 그 기간 안에 해커는 금전적인 대가를 요구하는데 이들은 돈을 받았다고 해도 프로그램을 삭제해준다는 보장이 없다는 것이 문제다.

특히 클롭 랜섬웨어는 기업을 노리는 랜섬웨어다. 기업의 중앙 서버인 '액티브 디렉터리'를 공격 대상으로 설정한다. 액티브 디렉터리는 회사의 정보를 저장하고 있는 데이터베이스로, 마이크로소프트의 윈도우 기반 컴퓨터에 사용된다. 주로 기업 관리자들이 직원들로 하여금 네트워크에 접속할 수 있도록 하는 프로그램이다.

공격자는 액티브 디렉터리를 공격하기 위해 기업의 직원을 대상으로 이력서, 송장, 거래서 등으로 위장한 악성코드를 유포한다. 실제로 특정 기관을 사칭해서 악성 실행파일을 기업 이메일 계정으로 유포했던 사례가 있다. 이외에도 기업 서버 관리자의 계정 자체를 해킹해 연결된 시스템들을 모두 랜섬웨어에 감염되도록 하는 경우도 있었다.

클롭 랜섬웨어의 공격에 노출되면, 공격자는 관리 서버에 연결된 모든 정보에 접근할 수 있게 된다. 서버에 백신이나 방어 프로그램이 있다면, 관리 서버에서 발급한 인증서로 이를 우회하거나 통과하게 된다. 이렇게 관리 서버에서 조직 내 사용자에 접근해, 프로그램이나 드라이브를 암호화한다.

■ 클롭 랜섬웨어 예방법은?

사용자 입장에서 중요 예방법은 4가지다.

1) 출처가 불분명한 이메일을 주의하고, 첨부파일이나 URL을 열 때는 반드시 안전한 파일인지 확인한다.

2) 공유폴더는 최대한 사용을 자제하고, 사용할 경우 접근제어목록(ACL) 등의 강한 암호를 설정한다. 접근제어목록은 사용자를 검사해 특정 코드를 가진 사람만 접근을 허가하는 방식이다.

3) 파일 공유 사이트를 이용하지 않는다. 파일 공유 사이트는 악성코드가 빈번하게 출현하는 곳으로, 신뢰되지 않는 곳에서 파일을 다운로드하거나 실행하는 것은 자제하는 것이 좋다.

4) 주기적으로 중요한 파일을 백업한다.

조직적인 차원에서 대응하는 방법은 5가지다.

1) 아웃바인드를 통제한다. 아웃바인드는 방화벽과 관련된 것으로, 서버에서 바깥으로 나가는 데이터를 말한다. 랜섬웨어 공격으로 서버가 감염되면, 서버는 개별 사용자(클라이언트)에 랜섬웨어를 전달하는데, 이를 방지하기 위해 아웃바인드 규칙을 지정하는 것이다.

2) 망을 분리하고 접근을 제어한다. 망분리란 업무 전용 서버와 일반 인터넷 서버의 망을 분리하는 것이다. 인터넷 상의 정보가 업무 정보와 교환되지 않게함으로써 공격을 방어할 수 있다. 다만 이 방법은 구축에 초기 비용이 소모된다는 단점이 있다.

3) 사용자 계정의 권한을 최소화한다.

4) 파워쉘 기능을 제한한다. 파워쉘이란 시스템 관리 및 자동화를 목적으로 설계된 스크립트 언어다. 기본적으로 윈도우에서는 이 스크립트 실행을 제한하지만, 공격자는 이를 우회할 수 있다. 개인 PC에 악의적인 스크립트를 심어두면, 대상자의 PC가 원격으로 제어되며 악성 파일이 다운로드-실행된다. 이를 막기위해 파워쉘 기능을 통제한다.

5) EDR을 활용해 원격 제어를 제한한다. EDR이란 클라이언트에 설치되어 특정한 행동이나 이상징후가 보이면 바로 탐지해 그것에 대한 대응을 하는 솔루션이다. 특히 EDR은 일반 백신과 달리 머신러닝과 인공지능을 이용해 위협을 차단한다.