공격 시 협상 조건 남기는 ‘랜섬노트’에 ‘Hello Dear K Mall’이라며 상대방을 특정한 것이 특이점
[보안뉴스 이상우 기자] 최근 유통관련 기업에 랜섬웨어 공격이 발생해 기업 보안 담당자의 촉각이 곤두선 가운데, 다크웹에서 랜섬웨어 공격조직과 피해자로 추정되는 인물 사이에 주고받은 대화가 발견됐다. 공격자는 랜섬웨어 공격과 동시에 정보를 유출해 협상에 이용한 것으로 보인다. S2W LAB이 발표한 클롭 랜섬웨어 분석 보고서에 따르면 클롭이 데이터를 유출한 기업은 17개며, 유출된 데이터에는 주요 임직원 계정 정보는 물론, 회계 관련 정보 등이 포함돼 있다. 또한, 데이터를 암호화한 뒤 협상 조건을 남기는 문서 파일(일명 랜섬노트)에는 협상 진행을 위한 다크웹 채팅 페이지 링크 등을 포함하고 있다.
▲최근 발생한 랜섬웨어 공격에서 발견된 랜섬노트[자료=보안뉴스]
주목할 만한 점은 최근 발생한 공격에서 등장한 랜섬노트는 ‘Hello Dear K Mall’이라는 문장으로 시작한다는 것이다. 여기서 ‘K Mall’은 국내 쇼핑몰로 추정할 수 있다. 과거 발견된 랜섬노트의 경우 ‘당신의 네트워크가 뚫렸습니다’처럼 불특정 다수를 대상으로 하는 메시지가 포함돼 있었다면, 이번 공격에서 발견된 랜섬노트에는 특정 대상을 향한 메시지가 포함돼 있는 것이 특징이다.
공격자가 안내한 다크웹 페이지에 Tor 등의 브라우저를 이용해 접근할 경우 상대방과 실시간으로 대화할 수 있는 창이 나타난다. 또한, 채팅과 함께 복호화 데모, 클롭 랜섬웨어에 대한 소개, 비트코인 구매 방법을 안내하는 등 기업 형태로 운영되고 있다.
공격조직과 피해자 사이의 대화 내용을 보면, 피해자에게 협상 비용으로 비트코인으로 4,000만 달러(약 445억 원)를 요구했으며, 이를 지불하면 유출한 카드정보 약 200만 건을 삭제하고, 암호화한 파일 역시 복구하겠다고 제안했다. 만약 제안에 응하지 않으면 카드정보를 유포해 해당 기업이 벌금을 물도록 하겠다고 협박하는 모습도 보였다.
▲다크웹 페이지에 개설한 채팅 기능으로 피해자와 협상을 시도하는 모습[자료=보안뉴스]
피해자는 협상 비용으로 400만 달러를 제안했으나, 공격자는 다시 3,600만 달러를 제안하며 아무에게도 해준 적 없지만 특별히 10%를 깎아주겠다며 너스레를 떨기도 했다. 또한, 피해자에게는 블랙 프라이데이, 크리스마스, 신년 등 기간에 돈을 다시 벌 수 있다고 언급한 것으로 보아 피해자는 유통과 관련한 기업으로 보인다.
▲다크웹 페이지에 개설한 채팅 기능으로 피해자와 협상을 시도하는 모습[자료=보안뉴스]
클롭은 지난해 초, 기업 AD서버를 주요 목표로 공격을 진행하며 국내에 알려졌다. 인터넷은 물론, 인트라넷에 연결된 윈도우 기반 백업 서버까지 공격해 복구가 불가능하도록 손상시킨다. 공격 방식은 주로 이메일을을 통한 악성 파일 설치, 원격 데스크톱 취약점, VPN 취약점 등을 이용하고 있으며, 특히 한 보안 전문가는 ‘윈도우 제로 로그온’ 취약점(CVE-2020-1472)을 보완하지 않은 기업이라면 내부 네트워크를 통해 랜섬웨어가 중앙 서버까지 전파됐을 가능성이 크다고 설명했다.
이스트시큐리티 시큐리티대응센터 문종현 센터장은 “최근 랜섬웨어 공격 양상은 불특정 다수를 노리던 과거와 달리, 특정 기업을 노린 APT와 함께 이뤄지고 있으며, 공격 과정에서 내부 정보를 함께 빼돌려 유출하겠다고 이중으로 협박하며, 클롭 랜섬웨어 조직의 경우 실제로 협상이 결렬되면 다크웹에서 자체 운영중인 서버를 통해 기업 자료를 유포하고 있다”고 말했다.
한편 국내에서도 지난 일요일, 이랜드그룹이 랜섬웨어 공격을 당해 계열사 중 하나인 이랜드리테일 산하 매장(NC백화점, 뉴코아아울렛, 킴스클럽 등)이 영업을 중단하는 등 피해를 입었다. 이랜드는 이번 침해사고에 대응하기 위해 태스크포스팀을 구성하고 사태 해결에 나섰으며, 고객 정보는 암호화 상태로 보관했기 때문에 안전하다고 밝혔다.
[이상우 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>