㈜소프트이천

국내 기업들을 노린 해커 그룹의 활동은 갈수록 활발해지고 있으며, 이로 인해 공공 및 제조업, 쇼핑, 교육 등 여러 산업군에서 랜섬웨어 감염을 비롯한 다양한 형태의 침해사고가 잇따라 발생하고 있다.

예를 들어, 지난 2월 말, 아키라(Akira) 랜섬웨어 그룹이 국내 소재 제조업체를 표적으로 삼아 대규모 데이터를 탈취했다고 언급된 사건이 있었다. 또한, 라자루스(Lazarus) 그룹이 국내 파일 전송 솔루션 소프트웨어 취약점을 악용해 국내 전자상거래 도메인을 C&C 서버로 전환하고, 이를 통해 추가 악성코드를 다운로드시키는 정황이 포착되기도 했다.

이에 따라 안랩은 국내 기업들이 사이버 공격에 효과적으로 대비할 수 있도록 보안 권고문을 발표했다. 이번 글에서는 국내 기업들을 겨냥한 주요 공격 사례와 안랩이 제시한 보안 수칙과 대응 방안을 살펴본다.

1. 제조업 대상 랜섬웨어 공격

최근 제조업 대상 랜섬웨어 감염 사고가 지속적으로 발생하고 있어, 기업 정보 유출, 공정 생산 중단 등의 피해가 우려된다. 공격자는 주로 소프트웨어 개발사나 IT 유지보수 업체를 통해 고객사에 원격으로 접속하며, 포트 스캐닝을 통해 MS-SQL이 설치된 서버를 확인하고, sa 계정에 대한 무차별 대입 공격으로 계정을 탈취해 침투한다. 또한, 웹 취약점을 악용해 악성 파일을 생성한 후 권한 상승 취약점을 악용해 서버를 장악하고 랜섬웨어에 감염시킨다.

공격자가 생성한 악성 파일은 이력서 또는 법률 위반 고소장으로 위장해 이메일을 통해 유포되며, 기업 담당자가 이를 의심 없이 실행하도록 유도한다. 공격자는 파일을 암호화할뿐만 아니라, 내부의 민감 데이터를 유출하고 이를 공개하겠다고 협박하며 금전을 요구하는 이중 갈취 수법을 사용하는 것으로 알려졌다.

이와 같은 랜섬웨어 공격은 특정 범죄 조직에 의해 계획적으로 이루어지며, 아키라 랜섬웨어 그룹은 그 중에서도 주목받는 공격 주체이다. 이 그룹은 주로 제조업과 물류업체를 표적으로 삼으며, 특히 기업의 기밀 문서와 재무 데이터를 주요 공격 대상으로 삼는다. 대표적인 사례로, 2월 24일 아키라 랜섬웨어 그룹은 국내 유명 에너지기기 제조업체의 미국 법인을 공격해 61GB 이상의 데이터를 탈취했다. 이 데이터에는 직원 및 고객의 개인정보, 금융 문서, 비밀 유지 계약서(NDA) 등이 포함됐다.

[그림 1] 아키라 랜섬웨어의 제조업체 공격 사례

제조업체는 대체로 보안 인프라가 취약해 랜섬웨어 공격에 상대적으로 쉽게 노출되기 쉬운 환경이다. 랜섬웨어 공격으로 인한 데이터 유출은 법적 대응 및 기업 브랜드 신뢰도 하락과 같은 2차 피해로 이어질 가능성이 높다.

아키라 랜섬웨어 그룹은 과거에도 한국 기업의 해외 법인을 공격한 사례가 있어, 향후 추가적인 보안 위협이 지속될 우려가 크다. 이에 따라, 해외 법인을 운영하는 기업들은 ▲데이터 백업 ▲보안 점검직원 교육 ▲비상 대응 프로세스 구축 등 보다 강화된 보안 전략을 실천해야 한다.

2. 특정 소프트웨어 취약점 공격

비슷한 시기, 북한 해킹 조직 라자루스의 공격 정황도 확인됐다. 안랩에 따르면, 라자루스 그룹은 국내 파일 전송 솔루션 소프트웨어의 취약점을 악용해 추가 악성코드를 메모리 상에서 다운로드하고 실행했다.

[그림 2] 파일 전송 솔루션을 통해 생성된 악성 파일(userenv.dll.irx)

공격 과정에서, 라자루스 그룹은 악성 파일을 생성한 경로(%ALLUSERPROFILE%\microsoft\)에 userenv.dll을 로드하는 정상 AppVShNotify.exe를 생성하고, AppVShNotify.exe를 실행함으로써 악성 DLL(Dynamic Link Library)을 로드, 실행하는 DLL 사이드로딩(Side-Loading) 기법을 사용한 것으로 확인됐다.

이러한 공격 방식은 과거 라자루스가 초기 침투를 위해 사용했던 방법과 매우 유사하다. 생성된 악성 DLL은 실행 과정에서 이를 검증하기 위해 현재 모듈이 [그림 3]과 같이 "C:\ProgramData\Microsoft\AppVShNotify.exe"인지 확인하는 검증 루틴이 존재한다. 해당 검증 루틴을 통과하면 C&C 서버에 접속해 추가 악성코드를 다운로드 및 실행한다.

C&C 서버는 국내 전자상거래 관련 정상 도메인으로 확인됐다. 해당 도메인은 공격 당시 라자루스 그룹에 의해 침해돼 C&C 서버로 사용된 것으로 추정된다. 라자루스 그룹은 이 서버를 통해 아래와 같은 명령을 수행하며 추가 악성코드를 메모리에서 다운로드하고 실행했다.

추가 악성코드 다운로드 요청: hxxps://dokkebi[.]com/mback/charts/stic.asp?type=test.py
결과 값 전송: hxxps://dokkebi[.]com/mback/charts/stic.asp?type=result.py

이 밖에, 라자루스 그룹은 최근 국내 보안 프로그램을 활용해 악성코드를 설치한 사례도 있었다.

3. 사이버 공격 대비 보안 강화 권고

안랩은 증가하는 사이버 공격에 대비해 기업 및 기관의 정보보안을 강화하기 위한 몇 가지 보안 점검사항 및 보안 수칙을 공개했다.

1) 소프트웨어 최신 보안 업데이트 적용

- 운영체제, 애플리케이션, 펌웨어 등을 최신 버전으로 유지한다.

- 긴급 보안 업데이트가 있을 경우 신속히 적용한다.

2) 접근 제어 등 관리 보안 정책 강화

- VPN, 원격 데스크톱(RDP) 사용 시 최신 보안 패치와 강력한 인증 시스템을 적용한다.

- 불필요한 원격 접근 권한을 제한한다.

3) 중요 파일•문서 오프라인 정기 백업

- 중요 데이터를 암호화하고 접근 제어를 강화한다.

- 백업 데이터에 대한 정기적인 보안 검토를 실시한다.

- 백업된 데이터가 랜섬웨어에 감염되지 않도록 네트워크와 분리된 오프라인 저장소에 보관한다.

4) 취약점 스캐닝 및 모니터링 강화

- 취약점 스캐닝 도구를 사용해 정기적으로 시스템을 점검하고, 발견된 취약점에 대해 즉각적인 조치를 취한다.

- 보안 모니터링 시스템을 설정해 실시간으로 의심스러운 활동이나 이상 징후를 감지하고 대응한다.

- 중요 시스템에 대한 접근 제어를 강화하고, 불필요한 포트나 서비스는 비활성화한다.

5) 의심스러운 메일 본문 내 첨부 파일 실행 지양

- 메일 수신 시 송신자를 정확히 확인하고 모르는 이메일 및 첨부파일은 열람하지 않는다.

- 정부 기관을 사칭한 메일을 수신하거나 열람했을 경우 악성코드 감염으로 인한 피해를 입지 않도록 주의한다.

이와 같은 보안 수칙을 실천하는 것은 사이버 공격을 예방하고, 피해를 최소화하는 데 큰 도움이 될 것이다. 기업들은 지속적으로 보안 점검과 대응 전략을 강화해 랜섬웨어 및 기타 사이버 공격에 철저히 대비해야 한다.

출처 : AhnLab