* 출처는 안랩입니다.

국내 기업들을 노린 해커 그룹의 활동은 갈수록 활발해지고 있으며, 이로 인해 공공 및 제조업, 쇼핑, 교육 등 여러 산업군에서 랜섬웨어 감염을 비롯한 다양한 형태의 침해사고가 잇따라 발생하고 있다. 

예를 들어, 지난 2월 말, 아키라(Akira) 랜섬웨어 그룹이 국내 소재 제조업체를 표적으로 삼아 대규모 데이터를 탈취했다고 언급된 사건이 있었다. 또한, 라자루스(Lazarus) 그룹이 국내 파일 전송 솔루션 소프트웨어 취약점을 악용해 국내 전자상거래 도메인을 C&C 서버로 전환하고, 이를 통해 추가 악성코드를 다운로드시키는 정황이 포착되기도 했다.

이에 따라 안랩은 국내 기업들이 사이버 공격에 효과적으로 대비할 수 있도록 보안 권고문을 발표했다. 이번 글에서는 국내 기업들을 겨냥한 주요 공격 사례와 안랩이 제시한 보안 수칙과 대응 방안을 살펴본다.

1. 제조업 대상 랜섬웨어 공격

최근 제조업 대상 랜섬웨어 감염 사고가 지속적으로 발생하고 있어, 기업 정보 유출, 공정 생산 중단 등의 피해가 우려된다. 공격자는 주로 소프트웨어 개발사나 IT 유지보수 업체를 통해 고객사에 원격으로 접속하며, 포트 스캐닝을 통해 MS-SQL이 설치된 서버를 확인하고, sa 계정에 대한 무차별 대입 공격으로 계정을 탈취해 침투한다. 또한, 웹 취약점을 악용해 악성 파일을 생성한 후 권한 상승 취약점을 악용해 서버를 장악하고 랜섬웨어에 감염시킨다.

공격자가 생성한 악성 파일은 이력서 또는 법률 위반 고소장으로 위장해 이메일을 통해 유포되며, 기업 담당자가 이를 의심 없이 실행하도록 유도한다. 공격자는 파일을 암호화할뿐만 아니라, 내부의 민감 데이터를 유출하고 이를 공개하겠다고 협박하며 금전을 요구하는 이중 갈취 수법을 사용하는 것으로 알려졌다.

이와 같은 랜섬웨어 공격은 특정 범죄 조직에 의해 계획적으로 이루어지며, 아키라 랜섬웨어 그룹은 그 중에서도 주목받는 공격 주체이다. 이 그룹은 주로 제조업과 물류업체를 표적으로 삼으며, 특히 기업의 기밀 문서와 재무 데이터를 주요 공격 대상으로 삼는다. 대표적인 사례로, 2월 24일 아키라 랜섬웨어 그룹은 국내 유명 에너지기기 제조업체의 미국 법인을 공격해 61GB 이상의 데이터를 탈취했다. 이 데이터에는 직원 및 고객의 개인정보, 금융 문서, 비밀 유지 계약서(NDA) 등이 포함됐다.

[그림 1] 아키라 랜섬웨어의 제조업체 공격 사례

제조업체는 대체로 보안 인프라가 취약해 랜섬웨어 공격에 상대적으로 쉽게 노출되기 쉬운 환경이다. 랜섬웨어 공격으로 인한 데이터 유출은 법적 대응 및 기업 브랜드 신뢰도 하락과 같은 2차 피해로 이어질 가능성이 높다.

아키라 랜섬웨어 그룹은 과거에도 한국 기업의 해외 법인을 공격한 사례가 있어, 향후 추가적인 보안 위협이 지속될 우려가 크다. 이에 따라, 해외 법인을 운영하는 기업들은 ▲데이터 백업 ▲보안 점검직원 교육 ▲비상 대응 프로세스 구축 등 보다 강화된 보안 전략을 실천해야 한다.

2. 특정 소프트웨어 취약점 공격

비슷한 시기, 북한 해킹 조직 라자루스의 공격 정황도 확인됐다. 안랩에 따르면, 라자루스 그룹은 국내 파일 전송 솔루션 소프트웨어의 취약점을 악용해 추가 악성코드를 메모리 상에서 다운로드하고 실행했다.

[그림 2] 파일 전송 솔루션을 통해 생성된 악성 파일(userenv.dll.irx)

* 전체내용은 아래에서 확인하세요

https://www.ahnlab.com/ko/contents/content-center/35785