[아이뉴스24 최은정 기자] 최근 이랜드 그룹의 사내 네트워크 시스템을 마비시켜 강남 NC백화점 등 일부 매장 영업 활동에 차질을 일으킨 랜섬웨어는 '클롭'이라는 분석이 제기됐다.
23일 이스트시큐리티 등 보안업계는 지난 22일 새벽 이랜드 그룹의 서버·시스템을 감염시킨 랜섬웨어 종류를 클롭으로 추정하고 있다. 현재 서울지방경찰청과 한국인터넷진흥원(KISA) 등이 조사를 진행 중인 건으로 정확한 사건 경위는 최소 2~3일 뒤 나올 것으로 보인다.
앞서 랜섬웨어에 감염된 이랜드 측은 확산을 막기 위해 네트워크를 차단하면서 일부 판매관리시스템(POS) 단말기 등 작동을 중단한 바 있다. 이 때문에 일부 점포는 긴급 휴점에 돌입했다.
클롭은 최근 기승을 부려온 랜섬웨어로 주로 워드(.doc), 엑셀(.xls) 등 파일에 첨부돼 이메일로 유포된다. 만약 사용자가 해당 악성 문서를 열면 PC 내 데이터 일부가 암호화돼 데이터가 잠긴다. 그간 일각에서는 러시아 해킹 조직을 클롭 공격의 배후로 지목해왔다.
올 초에는 클롭이 악성파일 없이도 공격을 감행하고 있다는 분석 결과도 나오기도 했다. 안랩은 지난 1월 '2020년 사이버 보안 위협 톱 5'를 발표하며 ‘타깃형 랜섬웨어 공격’을 주요 예상 보안위협 중 하나로 꼽았고, 그 중 클롭 랜섬웨어를 주목했다.
당시 회사 측은 해커가 사회공학기법과 시스템 취약점 등을 악용해 파일 없이 PC에서 악성코드를 직접 실행하는 방식의 '파일리스' 공격이 증가할 것으로 분석했다.
다행스럽게 이랜드에 따르면 현재 NC백화점과 뉴코아아울렛 점포 50여곳은 모두 정상 운영되고 있는 상황이다. 이랜드 관계자는 "랜섬웨어 감염 시스템을 복구한 것은 아니나 일반적인 영업이 가능하도록 조치를 취했다"며 "감염되지 않은 서버를 임시로 오픈해 고객들이 유통점에서 결제·쇼핑할 수 있도록 했다"고 설명했다. 해커에게 데이터 복구를 위해 금전을 지불하진 않았다고 덧붙였다.
◆지속되는 랜섬웨어 공격…'전 산업군 긴장해야'
국내에선 지난해 7월 한국투자증권 직원 PC 3대가 클롭에 감염되면서 전산시스템 일부가 장애를 빚은 사례도 있었다. 또 랜섬웨어 종류는 다르지만 앞서 지난 2017년 CJ CGV 영화관의 광고 저장서버 등이 '워너크라이' 랜섬웨어에 걸려 상영관에 경고 메시지 창이 뜨는 사건도 발생했다.
워너크라이의 경우 2017년 전세계 99개국 컴퓨터 12만 대 이상을 감염시킨 이력도 있다. 영국의 국민건강서비스(NHS), 러시아 내무부 등 정부 기관뿐 아니라 페덱스 등 글로벌 기업들도 피해를 당했다. 당시 사이버 공격자는 '암호화폐를 지급하면 데이터를 복구해주겠다' 등 협박 메시지를 보낸 것으로 알려졌다.
국내 랜섬웨어 공격 건수 역시 증가하는 추세다. KISA가 운영하는 인터넷 보호나라 상담전화(118)로 접수된 랜섬웨어 상담 건수는 2018년과 지난해 각각 2천400여건을 넘었다. 지난달까지는 약 1천100건으로, 한 해 2천건 내외 상담이 접수되고 있다.
더구나 최근 랜섬웨어 공격이 특정 타깃을 지속적으로 공격하는 '지능형지속위협(APT)'의 형태로 이어지고 있는 만큼 전 산업군이 주의해야 한다는 지적이 제기된다.
한 보안업계 관계자는 "랜섬웨어 공격 그룹들은 더욱 집요하게 공격하고 타깃 목표 또한 더욱 확장시키고 있다"며 "조직은 방어체계를 구축하고 지속적으로 모니터링하는 등 대책이 필요하다"고 말했다.
KISA는 지난 5월 기업·기관을 대상으로 랜섬웨어 공격에 대한 보안 점검 등 항목이 담긴 가이드라인을 발표한 바 있다. 백업체계 구축·운영, 백업 체계 보안성 강화, 주요 시스템 보안 점검 등 사전 대응 방안 등이 주요 내용이다.
최은정 기자 [email protected]
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기