클롭 랜섬웨어 조직원 6명 체포 및 범죄자금·컴퓨터 등 압수
우리나라의 경우 이랜드그룹의 영업중단 및 카드정보 유출 피해 사례가 대표적

[보안뉴스 이상우 기자] 우크라이나와 한국이 국제 공조를 통해 클롭 랜섬웨어 조직 일원으로 보이는 6명을 체포하고, 현금과 컴퓨터 등을 압수했다고 발표했다. 우크라이나 경찰(NPU, National Police of Ukraine)에 따르면 이들이 수 개월간 한국과 미국 기업의 서버를 랜섬웨어로 마비시키고, 이 과정에서 ‘몸값’을 지불하지 않으면 유출한 데이터를 다크웹 등에 유포하는 등 기업을 위협해왔다.


[사진=우크라이나 경찰]

우크라이나 경찰은 지난 2019년부터 4개의 한국 기업이 클롭 랜섬웨어로부터 공격받았으며, 이를 통해 810개의 내부 서버와 임직원 PC 등이 마비됐다고 밝혔다. 이들 조직은 주로 악성 이메일 첨부파일을 통해 랜섬웨어를 유포했으며, 이를 수신한 사용자가 해당 파일을 실행할 경우 악성코드가 실행되며 C&C(명령제어) 서버에서 추가적인 파일을 내려받고, 원격 제어 툴인 ‘Flawed Ammyy RAT’을 통해 공격을 수행했다. 또한, ‘코발트 스트라이크’를 활성화해 악성코드에 감염된 서버의 취약점을 확인하고, 이를 공격에 활용했다.

우크라이나 경찰은 불특정 다수의 PC와 서버를 암호화하는 과거 랜섬웨어 공격과 달리, 클롭 랜섬웨어 조직은 특정 피해자의 네트워크를 목표로 삼고 랜섬웨어로 전체 시스템을 감염시키는 지능형 지속위협(APT) 방식을 택하고 있다고 밝혔다.

이들은 수사 과정에서 국제 공조를 통해 랜섬웨어가 유포되는 인프라 운영을 막고, 암호화폐 등 자금 세탁 수단을 차단할 수 있었다고 말했다. 우크라이나 수도와 키예프 지역 등에서 21건의 수색을 진행했으며, 용의자의 집과 차에서 500만 달러의 현금 및 컴퓨터 장비 등을 압수했다. 또한, 이들에 대해 우크라이나 형법에 따라 최대 8년의 징역형에 처할 계획이다.


[사진=우크라이나 경찰]

한편, 국내의 경우 대표적으로 지난해 말 이랜드그룹이 클롭 랜섬웨어 조직의 공격을 받아 NC백화점, 뉴코아아울렛 등 매장 50여곳 중 23곳이 영업을 일시적으로 중단한 사태가 발생했다. 지난 2020년 11월 22일 새벽, 사내 네트워크에 랜섬웨어 공격이 발생했으며, 공격자들은 협상에 응하지 않을 경우 공격 과정에서 유출한 고객 신용카드 정보 200만 건을 순차적으로 다크웹에 유출하겠다고 밝혔다. 결국 이들은 2020년 말까지 약 90만 건에 이르는 카드 정보를 공개했다.

미국에서도 올해 클롭 랜섬웨어 조직에 의해 스탠포드대 의과대학의 직원 PC 및 재무 보고서 등이 암호화된 바 있으며, 메릴랜드 대학과 캘리포니아 대학 역시 개인 데이터가 암호화되는 사고가 발생했다.
[이상우 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>