내부망 계정에 크롬 ID 썼다 날벼락…데이터 몸값요구 랜섬웨어

(서울=뉴스1) 윤주영 기자 = #. 제조업체 A사의 시스템 관리자는 내부망 접속에 쓰는 '보안 소켓 계층 가상 사설망'(SSL VPN) 계정을 설정할 때 본인의 구글 ID·비밀번호를 활용했다. 그가 무심코 한 이메일 첨부 파일을 열어본 뒤 회사의 주요 연구개발(R&D) 데이터가 전부 암호화됐다. 바탕화면에 남겨진 'Readme' 파일에는 "귀사의 파일을 우리가 탈취했다. 복호화하고 싶으면 아래 링크로 연락하라"고 적혀 있었다.

기업 내부 데이터를 탈취·암호화한 뒤 몸값을 요구하는 '랜섬웨어' 공격은 주로 '크리덴셜 스터핑'에서 시작한다는 분석이 나온다. 이는 공격자가 사용자의 계정, 비밀번호 등을 여러 방식으로 획득 후 사용자가 이용할 만한 시스템에 무작위로 입력, 권한을 탈취하는 것이다.

19일 서울 용산구에서 한국인터넷진흥원(KISA)이 진행한 '2024 하반기 침해사고 정보공유 세미나'에서도 이런 내용이 공유됐다.

남우환 경찰청 국가수사본부 수사국 사이버테러수사대 수사관은 "기관이 다뤘던 랜섬웨어 사건 대부분은 크리덴셜 스터핑을 통해 공격자가 사내 네트워크에 접속하는 식"이라며 "사내 SSL VPN을 침투한 공격자는 이후 본격적인 내부 이동과 정보 수집이 가능해진다"고 설명했다.

대표적인 공격 집단으로 올해 4월 존재를 알린 '블랙슈트'가 소개됐다. 러시아 기반의 콘티(CONTI), 로얄 랜섬웨어 조직에서 파생한 걸로 추정된다.

남 수사관은 "올해 6월 미국의 자동차 소프트웨어(SW) 공급업체 CDK 글로벌, 일본 미디어 기업 카도카와, 8월 미국 SW 벤더사 코넥셔가 블랙슈트에 의해 피해를 보았다"고 설명했다.

SSL VPN 침투 후 공격자는 연동된 AD 서버를 통해 직원 계정, 업무용 컴퓨터 데이터, 회사 보안 정책 등 정보를 수집한다. 이 과정에서 단말 보호 플랫폼(EPP), 백신 프로그램도 삭제해 탐지를 회피한다.

최초 침투를 허용하지 않으려면 크리덴셜 스터핑 자체를 예방해야 한다. 관련해서 전문가들은 단말 권한 탈취를 목표로 한 악성코드에 주의해야 한다고 입을 모은다.

특히 악성코드를 이메일 첨부파일에 심은 뒤 이를 열어보게 유도하는 피싱이 최근의 트렌드다.

KISA와 함께 중소기업 피해를 지원하는 블루데이타시스템즈의 장호민 리더는 "비밀번호가 걸린 알집 파일은 백신으로 필터링되지 않아 함부로 압축을 풀어선 안 된다"고 당부했다.

피해를 최소화하려면 평소 오프라인 환경에서 데이터를 백업해 둬야 한다. 백업 시스템을 온라인으로 유지할 경우 이마저도 랜섬웨어 피해를 볼 수 있다.

남 수사관은 "관리자는 사이트별로 로그인 정보를 다르게 설정하는 한편 크롬 등 브라우저의 로그인을 돕는 자동완성 기능을 해제해 피해를 예방해야 한다"고 덧붙였다.

legomaster@news1.kr