[아이뉴스24 김국배 기자] 기업에서 사용하는 마이크로소프트 서버 운영체제인 윈도 서버를 노린 '클롭(CLOP)' 랜섬웨어가 대량 유포되고 있다.
국내 기업도 피해가 늘고 있어 한국인터넷진흥원(KISA)이 두 차례나 주의를 권고한 상태다. 오프라인 백업 등 기업 보안 강화가 필요한 상황이다.
8일 KISA 및 보안업계에 따르면 공격자는 보안이 취약한 제조·물류 등의 기업을 대상으로 클롭 랜섬웨어를 유포하고 있다. 액티브 디렉토리(AD) 관리자 계정정보를 탈취해 이를 공격에 악용한다.
AD는 계정관리, 인증, 보안설정 등 중앙집중화된 자원관리 체계를 말한다.
![[이미지=아이뉴스24]](https://img-lb.inews24.com/image_gisa/201903/1546926561501_1_073406.jpg)
문종현 이스트시큐리티 이사는 "클롭 랜섬웨어는 기업에서 운용중인 AD 관리자 계정를 탈취하는 방식을 통해 기업 서버에 침투한다"며 "다른 랜섬웨어들과 다르게 유효한 전자서명을 포함하고 있어 백신 우회를 시도한다"고 말했다.
실행과 동시에 문서 편집, 이메일 클라이언트 등의 프로세스들을 검색해 종료시킨다는 점도 클롭 랜섬웨어의 특징이다. 이는 프로세스 점유율이 높아 파일 암호화에 실패하는 확률을 낮추기 위해서다.
또한 화이트리스트 방식으로 특정 파일명을 가진 경우 암호화되지 않도록 제외시키며, 파일 사이즈에 따라 각기 다른 암호화 방식을 사용한다.
체크멀 관계자는 "안랩 보안 프로그램이 설치된 폴더가 포함돼 있다는 점에서 국내 유포를 고려한 것으로 판단된다"며 "차후에도 계속 변종이 제작돼 피해를 줄 것으로 예상된다"고 했다.
![[자료=체크멀]](https://img-lb.inews24.com/image_gisa/201903/1551998216186_1_074439.jpg)
클롭 랜섬웨어는 파일 암호화 후 '.Clop'를 추가하는데, 최근 발견된 변종은 확장자를 '.Ciop'로 변경한다. 확장자 기반으로 탐지하는 백신을 피하기 위한 것으로 추정된다.
문 이사는 "클롭 랜섬웨어는 국내 기업뿐만 아니라 중국 기업들에서도 피해가 발생하고 있는 만큼 기업들의 각별한 주의가 필요하다"고 말했다.
KISA는 "랜섬웨어에 감염될 경우를 대비해 별도의 오프라인 저장소를 둬 추가 백업을 실시하는 것이 좋다"며 "백업 서버를 구비한 기업은 AD 도메인에서 연동을 해제하고 백업 서버 접속 계정 보안관리를 강화해야 한다"고 당부했다.
또한 "AD 서버를 운용하는 기업의 경우 관리자 계정이 유출되지 않도록 철저한 보안관리가 필요하다"고 덧붙였다.
김국배 기자 vermeer@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기