IT·과학 산업 경제
정치 사회 문화·생활
전국 글로벌 연예·스포츠
오피니언 포토·영상 기획&시리즈
스페셜&이벤트 포럼 리포트 아이뉴스TV

한투증권 직원 PC 3대 감염 랜섬웨어는 '클롭'

본문 글자 크기 설정
글자크기 설정 시 다른 기사의 본문도 동일하게 적용됩니다.

러시아 해커 그룹 TA505 공격 추정

[아이뉴스24 최은정 기자] 지난달 발생한 한국투자증권 직원 PC 3대를 감염시킨 랜섬웨어는 클롭(CLOP) 랜섬웨어로 나타났다. 보안 업계에서는 해당 공격 배후로 러시아 해커 그룹 TA505에 주목하고 있다.

15일 한투증권 및 업계에 따르면 지난달 26일 한투증권 직원 PC 3대가 랜섬웨어 공격을 받아 전산시스템 일부가 장애를 빚었다.

한투증권과 해당 보안관제 담당 업체는 자체 조사 결과 클롭 랜섬웨어의 공격에 따른 것으로 파악했다.

한투증권 보안업체 관계자는 "이번 한투증권 사이버 공격은 조사 결과 클롭 랜섬웨어에 따른 것으로 추정된다"고 말했다.

일반적으로 클롭 랜섬웨어는 워드(.doc), 엑셀(.xls) 등에 첨부돼 유포된다. 해당 문서를 열면 사용자 PC 내 데이터 일부가 암호화돼 데이터가 잠겨버린다. 해커는 이를 풀어주는 대가로 사용자에게 금전을 요구하는 방식이다.

최근에는 개인보다 기업 불특정 다수를 표적으로 삼아 공격하는 경향을 보이고 있다. 개인보다 기업이 금전 갈취 금액이 높기 때문이다.

 [이미지=아이뉴스24 DB]
[이미지=아이뉴스24 DB]

또 보안업계는 이 같은 공격 배후에 러시아 해킹 그룹 TA505가 있는 것으로 추정하고 있다. 소스코드 내 주석에 사용된 언어나 운영체제(OS) 등 분석을 통해 어느 국가 소행인지 확인이 가능한데 여기에 러시아어가 포함돼있는 것.

클롭 랜섬웨어는 주로 3단계에 걸쳐 공격을 진행한다. 가장 처음 원격관리도구(RAT)계열 악성코드를 첨부파일에 내려보낸다. 이 악성코드는 1차적으로 기업 내부 시스템을 수색하는 정찰조에 불과해 이 단계에서 기업이 감염을 알아차리기 힘들다.

이어 RAT를 통해 TA505는 원격으로 기업네트워크관리서버(AD) 존재 여부를 파악한다. 기업이라고 파악되면 이후 클롭 랜섬웨어를 내보내 내부망 시스템을 마비시키게 된다.

이에 따라 이번 사건에서 한투증권 내부망이 마비됐다면 실제 피해 사례도 있을 수 있는 상황이다.

다만 한투증권 측은 이에 대해 "공개할 게 없다"고 답했다.

보안업계에서는 금융권 보안 등의 중요성을 강조하고 있다.

보안업계 관계자는 "금융사는 고객의 금융 데이터를 관리하고 있기 때문에 내부 시스템 보안을 철저히 해야하고 데이터 백업도 필수"라고 강조했다.

이어 "기업 랜섬웨어 감염과정과 사례를 분석해 추후 방어전략을 제대로 세울 수 있다"고 덧붙였다.

최은정 기자 ejc@inews24.com



공유하기

주소가 복사되었습니다.
원하는 곳에 붙여넣기 해주세요.

alert

댓글 쓰기 제목 한투증권 직원 PC 3대 감염 랜섬웨어는 '클롭'

댓글-

첫 번째 댓글을 작성해 보세요.

로딩중
댓글 바로가기