최근 몇 년간 클롭(Cl0p) 랜섬웨어가 주요 사이버 보안 위협으로 부상하여 전 세계의 다양한 조직 및 산업에 중대한 피해를 끼치고 있습니다. 클롭 바이러스 공격은 일반적으로 다른 랜섬웨어 공격과 유사한 방식으로 작동하지만, 몇 가지 차이점이 있습니다.
하지만 클롭이라는 랜섬웨어란 정확히 무엇이며, 이러한 공격은 어떤 방식으로 작동하는 걸까요? 그리고 더 연관성 있는 질문을 하자면, 중대한 재정적 영향을 초래할 수 있는 이러한 공격에 피해를 입을 가능성을 최소화하려면 조직이 어떤 조치를 취해야 할까요?
클롭 랜섬웨어의 간략한 역사
숫자 0을 사용하여 Cl0p 또는 cl0p으로 표기하는 클롭은 일종의 랜섬웨어 또는 갈취 맬웨어입니다. CryptoMix와 완전히 똑같지는 않지만, 클롭 랜섬웨어는 이전에 만들어진 이 맬웨어를 본떠서 만든 것으로 알려져 있습니다. 하지만 이 트로이 목마는 여러 번의 반복을 거쳤고 버전들은 신규 버전으로 빠르게 교체되었습니다.
클롭 랜섬웨어는 2019년 2월에 보안 연구원에 의해 발견되었으며, 중대한 스피어 피싱 공격이 발생하면서 나타났습니다. 클롭 랜섬웨어는 피해자의 장치에 있는 파일을 손상시키고 금융 결제를 갈취하므로, 모든 유형의 기업 및 조직에 심각한 사이버 보안 위협을 야기했으며 이는 지금도 지속되고 있습니다. 특정 맬웨어를 사용하는 것으로 알려진 클롭 랜섬웨어 조직은 글로벌 에너지 대기업, 여러 유명 대학, BBC, 영국항공 및 다양한 정부 기관의 자금을 갈취해 왔습니다.
2020년, 클롭 랜섬웨어 조직은 Kiteworks(구 Accellion) 사설 콘텐츠망의 취약성을 악용하는 공격을 실행하여 플랫폼의 클라이언트를 표적으로 삼고 해당 네트워크에 침투했습니다. 단, 클롭 맬웨어 자체는 이 공격에서 배포되지 않았습니다. 그와 동시에, 클롭 트로이 목마를 만든 조직은 이중 갈취 수법을 실행하여 대규모 파괴 공격으로 모 제약 회사에서 데이터를 훔쳐 유출시켰습니다.
이 사건 이후 2021년, 다양한 기업에 IT 관리 서비스를 제공하는 소프트웨어 회사인 SolarWinds, 그리고 싱가포르의 해양 서비스 공급업체인 Swire Pacific Offshore를 대상으로 한 공격이 발생했습니다.
2023년, 클롭 랜섬웨어의 활동은 전년 대비 급증했습니다. 2023년 1월부터 6월까지 이 트로이 목마는 비즈니스 서비스를 시작으로, 뒤이어 소프트웨어 및 금융에 이르기까지 다양한 산업 전체를 공격하는 데 사용되었습니다. 북미와 유럽에서 다수의 피해자가 발생했으며, 그중에서도 미국은 상당한 차이로 가장 많은 횟수의 공격을 경험했습니다.
공격의 규모는 심각했고 대부분 미국에서 발생했습니다. 확인된 피해는 2,000여 개의 조직, 6,200만 명 이상의 개인의 데이터가 유출되었습니다.
클롭 랜섬웨어 조직이 감행한 파일 전송 소프트웨어 MOVEit의 취약성을 이용한 일련의 랜섬웨어 공격(CVE-2023-34362)은 정점에 달했습니다. 이 공격자들은 자신들이 수백 곳의 기업에 보안 침해를 일으켰다고 주장했으며 6월 14일까지인 최후 통첩을 보냈습니다. 이들은 zero-day를 이용하여 다양한 기밀 정보를 비롯한 조직의 데이터를 대량으로 다운로드했습니다. 미국 사법 당국은 클롭과 관련한 제보 시 보상금 1,000만 달러를 지급하겠다는 결정을 내렸습니다.
클롭이란 무엇인가요?
그렇다면 클롭이란 무엇일까요? 분석 결과, 클롭 랜섬웨어는 CryptoMix 랜섬웨어의 변종인 것으로 나타났습니다. 기반이 된 CryptoMix 랜섬웨어와 마찬가지로, 클롭 바이러스도 목표 장치를 감염시킵니다. 그러나 이 경우 클롭 랜섬웨어는 모든 파일의 이름을 .cl0p 확장자로 바꾸고 해당 파일을 암호화하여 사용할 수 없는 상태로 만들어 버립니다.
클롭 랜섬웨어는 공격을 효과적으로 실행하기 위해 실행 파일의 Win32 PE(Portable Executable) 형식을 그대로 따라합니다. 보안 연구원들이 발견한 결정적인 사실은 클롭 바이러스 실행 파일에는 검증된 서명이 포함되어 있어 언뜻 합법적인 파일처럼 보이며, 이 때문에 클롭 맬웨어가 보안 소프트웨어의 탐지를 피할 수 있다는 점입니다. 그런 다음, 클롭 랜섬웨어는 파일을 RS4 스트림 암호로 암호화한 후 RSA 1024를 사용하여 RC4 키를 암호화합니다. 이러한 종류의 랜섬웨어에 감염된 상태에서는 이미지, 동영상, 음악, 문서를 포함한 모든 파일이 위험에 처하게 됩니다.
클롭 바이러스는 파일을 암호화한 후, 피해자에게 몸값을 요구합니다. 이 몸값을 지불하지 않으면 공격자는 이러한 파일의 데이터를 유출하겠다고 협박합니다. 이를 바로 '이중 갈취'라고 합니다. 피해자의 파일을 변조하고 데이터를 공개적으로 유출하겠다는 협박을 동시에 가하는 두 가지 수법을 이용하기 때문입니다. 피해자는 일반적으로 비트코인이나 다른 암호 화폐로 지불하라는 지시를 받게 됩니다.
클롭 랜섬웨어의 배후 세력은?
하지만 클롭 랜섬웨어를 만든 건 누구일까요? 클롭 랜섬웨어는 러시아어를 구사하는 서비스형 랜섬웨어 사이버 범죄 조직이 개발한 것으로 알려져 있으며, 주요 범행 동기는 금전적 이득입니다. 이 조직은 TA505로도 알려져 있으나, 이 이름은 FIN11이라는 조직과 혼용될 때가 많습니다. 그러나 이들이 같은 조직인지 또는 FIN11이 TA505의 하부 조직인지는 완전히 명확하지 않습니다.
어떤 이름으로 움직이든 간에, 이 클롭 랜섬웨어 범죄 조직은 서비스형 랜섬웨어 모델에서 자신들이 만든 제품을 운용합니다. 따라서 클롭 바이러스는 다크웹에서 판매 중이며, 랜섬웨어를 유료로 구매할 의향이 있는 사이버 범죄자라면 누구든지 사용할 수 있습니다.
클롭 랜섬웨어: 작동 방식
클롭 랜섬웨어 조직은 공격을 다단계 프로세스로 진행합니다. 그 과정은 다음과 같습니다.
- 공격자는 맬웨어를 이용한 다양한 방법을 동원해 목표 장치에 대한 액세스 권한을 얻습니다.
- 그런 다음, 장치를 직접 정찰하고 원하는 데이터를 훔칩니다.
- 이때 공격자는 암호화 도구를 실행하여 목표 장치에 있는 파일의 확장자를 변경한 후 사용할 수 없는 상태로 만들어 파일을 잠가버립니다. 2023년에 파일 전송 소프트웨어 MOVEit을 통해 일어난 공격의 사례와 마찬가지로, 최근에는 파일을 암호화하지 않고 데이터를 갈취하고 있습니다.
- 피해자가 암호화된 파일을 열려고 하면 몸값이 작성된 메모가 표시되며 여기에는 몸값을 지불할 방법을 지시하는 내용이 함께 포함되어 있습니다.
- 몸값을 지불하지 않을 경우, 공격자는 '이중 갈취' 수법을 이용하여 피해자의 장치에서 훔친 데이터를 유출하겠다고 협박합니다.
- 몸값을 지불하면 피해자는 장치의 파일을 복원해주는 암호 해독 키를 받게 됩니다.
공격자는 다양한 방법을 사용하여 클롭 랜섬웨어를 목표 장치로 가져갑니다. 여기에는 다음이 포함될 수 있습니다.
- 피싱(소셜 엔지니어링 수법 사용)
- 소프트웨어 취약점 악용
- 감염된 이메일 첨부 파일 및 링크
- 감염된 웹사이트
- 외부 원격 서비스 침투
공격자가 어떤 방법을 사용하여 클롭 트로이 목마를 목표 장치로 가져가든 간에, 결과적으로 공격은 같은 방식으로 진행됩니다. 그 목표는 항상 피해자에게서 몸값을 받아내는 것입니다. 그러나 공격자가 돈을 받은 후 잠적하는 경우가 많습니다. 이러한 경우, 피해자는 암호 해독 키를 받지 못하며 파일에 대한 액세스 권한을 되찾을 수 없습니다.
클롭 랜섬웨어 예방
클롭 랜섬웨어 감염을 방지하려면 모든 장치 사용자가 기본적인 컴퓨터 안전 규정을 따르는 것이 매우 중요합니다. 일반적으로 이러한 규정은 다음과 같은 모든 유형의 사이버 공격을 예방하는 데 적용되는 원칙과 동일합니다.
- 조직의 보안 인식 교육에 맬웨어 위협을 포함하여 직원들이 최신 위협 및 예방 조치에 대한 최신 정보를 알 수 있도록 합니다. Kaspersky Automated Security Awareness Platform이 유용한 도구가 될 수 있습니다.
- 액세스 제어를 제한하는 것을 포함하여, 회사 데이터를 보호합니다.
- 공용 네트워크를 사용하여 원격 데스크톱 서비스에 액세스하지 않습니다. 필요한 경우, 이러한 서비스에 강력한 암호를 사용합니다.
- 데이터는 항상 백업하고, 클라우드 저장소 또는 백오피스의 외장 드라이브 같은 별도의 위치에 저장합니다.
- 운영 체제 및 서버 소프트웨어를 포함한 모든 소프트웨어 및 애플리케이션을 최신 상태로 유지해야 합니다. 직원들이 조직의 네트워크에 원격으로 액세스할 수 있도록 해주는 상용 VPN에 대한 패치는 즉시 설치하는 것이 특히 중요합니다. 이 경우 업무 시간 외의 시간대에는 자동 업데이트 및 설치를 예약하면 유용할 수 있습니다.
- 최신 위협 인텔리전스 보고서를 업데이트 상태로 유지합니다.
- 조기에 위협을 탐지할 수 있도록 Kaspersky Endpoint Detection 또는 Kaspersky Managed Detection and Response Service 같은 소프트웨어 솔루션을 사용하여 초기 단계에서 공격을 파악하고 차단하십시오.
- 신뢰할 수 있는 엔드포인트 보안 솔루션을 사용합니다. Kaspersky Endpoint Security for Business에는 취약점 공격 예방, AI를 사용한 활동 탐지 및 전문가 위협 인텔리전스, 공격 표면 감소, 악성 작업을 취소할 수 있는 치료 엔진이 통합되어 있습니다.
클롭 랜섬웨어 바이러스를 다루는 방법
일단 장치가 클롭 바이러스에 감염되면 해당 장치의 파일에 대한 액세스 권한을 되찾을 수 있는 방법은 거의 없습니다. 다른 종류의 랜섬웨어 공격과 마찬가지로, 일반적인 조언은 공격자가 요구한 몸값을 지불하지 않는 것입니다. 공격자가 몸값을 챙긴 후에 암호 해독 키를 주지 않는 경우가 빈번하기 때문입니다. 암호 해독 키를 준다고 해도, 이들은 공격에 성공했다는 자신감을 얻고 이에 탄력을 받아 아무것도 모르는 다른 피해자에게 이러한 공격을 계속 감행하게 됩니다.
몸값을 지불하는 대신, 관련 당국에 연락하여 공격을 신고하고 수사를 시작하는 것이 일반적으로 가장 최선의 방법입니다. 장치를 검사하고 클롭 랜섬웨어를 제거하는 용도로 출시된 다양한 소프트웨어 중 하나를 사용할 수도 있습니다. 그러나 이러한 소프트웨어는 공격 과정에서 암호화된 파일을 복원하지는 못합니다. 따라서 정기적인 백업을 생성하고 별도의 위치(예: 외장 드라이브 또는 클라우드)에 백업을 저장하는 것이 중요합니다. 이렇게 하면 공격이 발생한 경우에도 파일을 계속 사용할 수 있습니다.
컴퓨터 안전과 관련해서는 항상 반드시 주의를 기울여야 합니다. 인터넷을 검색하고 소프트웨어를 다운로드, 설치, 업데이트할 경우 주의를 기울이는 것이 중요합니다.
클롭 랜섬웨어의 위협
다른 종류의 바이러스 및 맬웨어와 마찬가지로, 클롭 랜섬웨어는 현재 많은 부분이 디지털화된 사회에서 끊임없이 발생하고 있는 사이버 보안 위협입니다. 클롭 바이러스는 수많은 갈취 맬웨어의 한 종류이자 매우 특정한 위협이지만, 기업 및 조직에서 특히 우려하는 위협에 해당합니다. 이 바이러스는 피해자에게 심각한 결과를 초래할 수 있지만, 몇 가지 예방 조치와 안전 조치를 구현하여 클롭 바이러스의 공격 위험을 최소화하거나 공격 발생 시 그 여파를 완화할 수 있습니다.
연관 제품 및 서비스:
