'메일 한 통'으로 시스템 장악…"초국가적 사이버 수사 필요"

[아이뉴스24 김혜경 기자] "클롭(Clop) 랜섬웨어 사태는 2019년 2월 메일 한 통에서 시작됐다. 한국의 한 기업을 대상으로 유포된 피싱 메일은 본문 내용조차 없었다. 공격자는 악성 엑셀 파일을 첨부한 피싱 메일을 대량 발송했고, 단 3명의 직원이 해당 메일을 열어본 결과 내부시스템이 랜섬웨어에 감염됐다. 해당 랜섬웨어는 한국에 이어 전 세계에 유포됐으며, 14개국 공조 결과 자금세탁 총책 등 일부 조직원의 신병을 확보할 수 있었다."

20일 서울 양재 엘타워에서 개최된 '제1회 랜섬웨어 레질리언스 컨퍼런스'에서 임양현 경찰청 국가수사본부 수사관은 클롭 랜섬웨어 국제공조 사례를 공유하며 이 같이 전했다.

해당 랜섬웨어 피해 사례는 한국의 경우 대학 1곳과 차량부품 기업 2곳, 식품기업 1곳으로 알려졌다. 2019~2021년 미국과 캐나다, 영국, 프랑스, 독일, 네덜란드, 싱가포르 등 세계 각국의 다양한 업종이 표적이 됐다.

경찰청에 따르면 2021년 1월 1일부터 올해 1월 31일까지 ▲미국(2214건) ▲스페인(505건) ▲멕시코(355건) ▲인도(345건) ▲필리핀(281건) 등의 순으로 클롭 공격 시도 횟수가 많은 것으로 집계됐다.

해당 랜섬웨어 조직은 2019년 2월 13일 오전 8시 15분께 악성 엑셀 파일이 첨부된 피싱 메일 700개를 한 국내 기업에 발송했다. 직원 3명이 해당 메일을 열람하자 악성 파일이 다운로드됐고, 같은날 오전 11시께 원격제어도구(RAT)가 실행됐다. 이와 비슷한 시점에 보안팀은 악성 프로그램을 탐지한 후 보안 조치를 했지만 공격자는 또 다른 악성코드를 설치하는 등 다음 단계로 나아갔다.

임 수사관은 "보안팀은 다음달 오전 해당 PC를 포맷하기로 결정했지만 이날 오후 8시께 '코발트 스트라이크(Cobalt Strike)'가 동작했다"며 "공격자는 서버 7대·PC 8대에 이어 14일 오전 1시 52분 액티브 디렉토리(AD) 서버를 장악했다"고 설명했다.

그는 "공격자는 AD 서버 장악 후 랜섬웨어 파일을 제작했고 윈도우 서비스에 등록하는 방식으로 랜섬웨어를 유포했다"며 "분석 결과 서버 46대·PC 247대가 랜섬웨어에 감염됐다"고 전했다. 이어 "거점마련까지 40분‧내부점령까지 17시간‧목표달성까지 총 52시간이 소요됐다"며 "하루 만에 랜섬웨어 감염까지 가능했을 것"이라고 덧붙였다.

세계 각국에서 클롭 랜섬웨어 피해 사례가 속출하자 2020년 10월부터 지난해 9월까지 인터폴과 유로폴, 14개국 등은 국제공조를 위한 화상회의를 수차례 열었다. 공동작전명은 '싸이클론'으로 명명됐다.

임 수사관은 "자금세탁에 사용된 1천500개의 가상자산 지갑을 분석한 결과 피의자가 9명으로 좁혀졌고 국내외 거래소를 상대로 수사를 진행, 현금화를 확인할 수 있었다"며 "우크라이나 국적자가 피의자로 특정되자 우크라이나 당국에서도 적극 지원에 나섰고, 미국 연방수사국(FBI) 8명과 우크라이나 경찰 70명, 한국 경찰 4명 등 82명이 현지에서 압수수색을 진행했다"고 말했다.

국제공조 결과 지난해 10월 일부 조직원이 붙잡혔다. 경찰청은 미국 연방수사국(FBI)과 인터폴, 우크라이나 경찰과 공저해 현지 수사를 벌인 결과 자금세탁 총책 등을 입건했고, 이들을 대상으로 인터폴에 적색수배를 요쳥했다.

임 수사관은 "2019년 클롭 랜섬웨어와 2017년 '에레버스(Erebus)' 랜섬웨어 사건 전후를 비교했을 때 두드러지는 차이점은 국제공조가 빈번해지고 있다는 것"이라며 "지능화되는 초국가적 사이버범죄에 대응하기 위한 세계 각 국의 협력이 절실한 시점"이라고 강조했다.

김혜경 기자의 다른 기사 보기

• RaaS 패권 노리는 '락빗' 랜섬웨어…"올해 1Q 46%"

• 美 국토안보부 수석 "10초마다 랜섬웨어 공격 탐지…민·관협력 중요"