클롭(CLOP) 랜섬웨어란?
2020년 12월 15일, 국내 대형 유통 기업의 고객 정보가 암호화되는 해킹 사건이 발생했습니다.
추가적인 확산을 막기 위해 사내 네트워크를 차단하면서 영업활동이 잠시 중단되었습니다.
해커 조직은 데이터 복구를 위한 조건으로 고액의 돈을 요구하며 협박하였고,
이로 인해 기업의 영업활동과 브랜드 이미지에 막대한 피해가 예상됩니다.
클롭(CLOP) 랜섬웨어란?
클롭 랜섬웨어는 기업에서 사용하는 중앙관리서버(AD 서버)의 관리자 계정을 탈취하여 공격을 진행합니다.
운영체제(OS) 정보, 권한, 사용자 이름, 컴퓨터 이름 등 기본 정보를 획득한 후,
기업 내부 시스템의 데이터를 암호화한 뒤 복호화를 빌미로 거액의 돈을 요구하는 해킹 수법입니다.
클롭 랜섬웨어는 이메일에 실행 파일(.exe), 워드(.doc), 엑셀(.xls) 파일을 첨부해 유포되었으며,
최근에는 악성 스크립트(HTML)를 첨부하는 방식으로 진화하고 있습니다.
일반 랜섬웨어와 달리 ‘Ammyy 해킹 툴’을 이용하여 접근한 서버의 정보를 파악하고 계정의 권한을 탈취합니다.
또한, 회사 직원들의 개인정보와 PC 정보를 담고 있는 AD 서버를 해킹함으로써,
획득한 권한과 계정을 사용하여 윈도우 디펜더 및 다양한 백신 프로그램을 비활성화하여
기업의 보안 체계를 무력화시키는 방식으로 작동합니다.
클롭 랜섬웨어 예방 수칙
한 번 클롭 랜섬웨어의 표적이 된 기업은 유사한 랜섬웨어 공격을 지속적으로 받을 가능성이 높습니다.
다음은 클롭 랜섬웨어를 방지하기 위한 기본적인 수칙들입니다.
- AD 서버 계정 보안 관리 강화
- AD 관리자 및 관리자 그룹 계정 비밀번호 주기적 변경
- AD 관리자 계정과 일반 업무용 AD 계정 분리
- AD 관리자 계정은 DC(Domain Controller) 외 시스템에서 사용 금지
- AD 서버에 PLURA 설치로 계정 탈취 실시간 감시
클롭 랜섬웨어 피해의 중요성
기업의 해킹 피해는 단순히 금전적인 피해로 끝나지 않습니다.
한 번 무너진 기업의 신뢰를 회복하려면 긴 시간과 막대한 노력이 필요하기 때문입니다.
신뢰받는 기업이 되기 위해서는 신뢰받는 보안 솔루션이 반드시 필요합니다.