Offcanvas

랜섬웨어 / 보안 / 통신|네트워크

'RaaS 주도'… 랜섬웨어 조직 클롭, 최근 가장 위협적인 공격자로 떠올라

2023.08.25 Lucian Constantin  |  CSO
랜섬웨어 조직 '클롭(Cl0p)'이 최근 가장 위협적인 공격자로 떠올랐다. 이들은 환경 하나를 침해한 후 광범위한 공격을 가한다. 기업 소프트웨어 공급망의 보안을 평가해야 할 필요성이 대두되고 있다. 
 
ⓒ Getty Images Bank

보안 컨설팅 기업 NCC그룹에 의하면 지난 7월 랜섬웨어 공격 건수가 지난해 동월 대비 150% 이상 증가했다. 그중 3분의 1 이상의 공격이 ‘클롭’이라는 랜섬웨어 조직을 통해 발생했다. 이 조직은 지난 6월 관리형 파일 전송(MFT) 애플리케이션 무브잇(MOVEit)의 제로데이 취약점을 악용한 뒤, 락빗(LockBit)을 제치고 가장 위협적인 랜섬웨어 조직이 됐다. 클롭의 무브잇 공격은 데이터 도난 및 후속 탈취에 사용되었지만, 실제 클롭 랜섬웨어 프로그램을 배포하거나 암호화를 통해 파일을 못쓰게 만들지 않았다. 지금까지 알려진 랜섬웨어 공격과는 방식이 달라 업계도 긴장하고 있다. 

NCC그룹의 글로벌 위협 인텔리전스 책임자인 매트 헐은 보고서를 통해 “이번 공격은 환경 하나를 손상시켜 수백 개의 조직을 탈취할 수 있다는 점에서 특히 중요하다. 자체 환경을 보호하는 데 주의를 기울여야 할 뿐만 아니라, 공급망을 통해 협업하는 조직의 보안 프로토콜에도 관심을 가져야 한다”라고 말했다.

랜섬웨어를 주도하는 클롭
NCC그룹에 따르면 지난 7월 발생한 랜섬웨어 관련 공격은 총 502건이었다. 공격이 434건 발생한 6월과 비교하면 16% 증가했지만, 지난해 7월(198건)에 비하면 154%가 늘었다. 502건의 공격 중 클롭이 차지한 비중은 171건(34%)으로 가장 높았다. 락빗이 50건(10%)으로 뒤를 이었다.

락빗은 지난해 여러 랜섬웨어 공격을 벌인 조직이다. 과거 악명을 떨쳤던 조직 콘티(Conti)가 지난해 해체된 후, 락빗은 콘티의 공백을 메우고 제휴사를 유치하기 위해 프로그램을 개편했다. 이후 랜섬웨어 분야의 공격은 대부분 락빗이 주도해 왔다. 락빗은 이른바 ‘서비스형 랜섬웨어(RaaS)’ 조직으로 알려져 있다. 이는 일종의 대행 서비스로, 비용만 지급하면 랜섬웨어 공격을 할 수 있도록 서비스를 제공하는 방식이다.

2019년부터 등장한 클롭 역시 RaaS를 추구하고 있다. 러시아와 연계된 것으로 전해지며, 본격적인 랜섬웨어 공격 이전까지는 기업의 손상된 네트워크에 대한 액세스 권한을 다른 기업에 판매하는 최초 접근 권한 브로커(IAB)로 활동한 것으로 알려져 있다. 또한 금융 사기 및 피싱에 특화된 대규모 봇넷을 운영하기도 했다. CISA에 따르면 클롭과 그 계열사는 현재까지 미국에서 3,000개 이상 조직을, 전 세계적으로는 8,000개 이상 조직을 침해했다.

클롭은 널리 사용되는 엔터프라이즈 소프트웨어, 특히 MFT 애플리케이션에 대한 제로데이 취약점 공격을 개발하는 데 특화됐다. 2020년과 2021년에 엑셀리온(Accellion) 파일 전송 어플라이언스(FTA)의 취약점 공격을 벌였고, 2023년 초 포트라(Fortra)/리노마(Linoma)의 고애니웨어 MFT 서버를 공격했다. 지난 6월에는 무브잇의 제로데이 취약점을 이용해 광범위한 공격을 벌였는데, 이 공격으로 약 500개 조직이 영향을 받은 것으로 추정된다.

NCC 위협 인텔리전스 팀은 “업계 일각에서는 이번 공격과 그 광범위한 영향력이 랜섬웨어 모델의 전환을 의미한다고 보고 있다. 클롭은 무브잇의 환경에서 데이터를 탈취하고, 이와 관련된 기업으로부터 금전을 갈취하는 데 중점을 뒀다”라고 설명했다.

북미는 여전히 랜섬웨어의 가장 큰 표적
NCC의 7월 데이터에 의하면 북미 지역 기업을 표적으로 한 랜섬웨어 공격은 전체에서 가장 많은 274건(55%)을 차지했다. 유럽과 아시아가 각각 2, 3위에 올랐다.

섹터별로는 산업(전문 상품 및 서비스)이 민감한 정보와 지적 재산을 대량 보유하고 있어, 랜섬웨어 공격자뿐만 아니라 다른 위협 행위자에게 주요 표적이 됐다. 7월 중 발생한 랜섬웨어 공격의 31%(155건)가 산업 섹터을 표적으로 삼았으며, 그중 48%의 공격이 상위 3개 랜섬웨어 그룹인 클롭, 락빗, 8베이스(8Base)에서 나왔다. NCC에 의하면 산업 섹터의 뒤를 이어 소비순환재(16%), 기술(14%) 섹터가 주요 표적이 됐다.

헐은 “클롭과 락빗 같은 기존 그룹 외에 새 공격자들 영향도 커지고 있다. 이들은 새로운 전술, 기술, 절차를 도입하고 있다. 기업이 위협 환경의 변화에 발빠르게 대응하는 것이 얼마나 중요한지 보여준다”라고 말했다. ciokr@idg.co.kr
 
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.