국세청 사칭하며 기업 노리는 '클롭' 랜섬웨어 주의보

관리자 권한 획득해 랜섬웨어 감염 및 내부 정보 유출

[아시아경제 이민우 기자] 국세청 등을 사칭하며 기업 해킹을 노린 뒤 거액을 요구하는 클롭 랜섬웨어가 기승을 부리고 있다. 특히 내부 PC를 관리하는 중추 시스템을 감염시켜 각종 정보도 유출시킬 수 있는 만큼 각별한 주의가 필요하다.

안랩은 최근 기업 정보탈취와 랜섬웨어 감염을 동시에 유발하는 '클롭 랜섬웨어'가 기승을 부리고 있어 주의가 필요하다고 15일 밝혔다. 랜섬웨어는 정보를 암호화한 뒤 해독하는 대가로 금전을 요구하는 사이버공격의 일종이다.

안랩은 클롭랜섬웨어가 점차 교묘해지고 있다고 경고했다. 올해 초 특정 기관을 사칭해 악성 실행파일(.exe), 워드(.doc), 엑셀(.xls) 파일 등을 첨부한 메일을 기엄 이메일 계정으로 유포했다. 지난 5월말부터는 국세청을 사칭해 인터넷스크립트(HTML)파일을 보내는 등 지속적으로 형태를 바꿔가며 기승을 부리고 있다.

개인 사용자를 대상으로 하는 일반 랜섬웨어와 달리 클롭 랜섬웨어는 특정 해킹도구를 이용해 기업 시스템(PC 및 서버) 장악을 먼저 시도한다. 주로 '애미(Ammyy)' 해킹도구가 사용된다. 이 해킹도구는 감염된 PC가 기업내 자원관리용 '액티브디렉토리(AD)서버'에 연결됏는지 확인한다. 연결돼 있다면 시스템 내부로 전파해 관리자 권한을 탈취한다. 이후 AD서버에 연결된 PC나 서버를 클롭 랜섬웨어에 감염시키는 식이다. 이 경우 랜섬웨어 감염 뿐만 아니라 연결된 기업 내 PC 및 서버를 원격으로 제어해 정보 유출도 가능하다.

때문에 안랩은 ▲안랩 솔루션 사용 시 랜섬웨어 대응 기능 활성화 ▲출처가 불분명한 메일의 첨부파일 및 URL 실행 자제 ▲AD 및 감염 PC 계정관리 강화 ▲공유폴더 사용 지양 및 보안패치 즉시 적용 ▲클롭 랜섬웨어 감염 및 확산에 사용된 IP 네트워크 연결 차단 등이 필요하다고 강조했다.

한창규 안랩시큐리티대응센터장은 "AD서버를 사용하면면 편의성만큼 권한을 탈취 당했을 때 위험도 크기 때문에 보안 담당자는 보안관리에 더 큰 주의를 기울여야 한다"고 경고했다.

이민우 기자 letzwin@asiae.co.kr