유통 대기업 A사 공격 클롭 랜섬웨어 분석보고서 공개

유통 대기업 A사 공격 클롭 랜섬웨어 분석보고서 공개 AhnLab ASEC l 2021-01-04     2020년 11월, 보안 업계뿐 아니라 국내 산업군 전체를 떠들썩하게 한 사건이 발생했다. 굴지의 유통 대기업 A사 시스템이 ‘클롭 랜섬웨어’(CLOP Ransomware)’에 감염된 것이다. A사 관계자를 인용한 언론 보도에 따르면, 전체 오프라인 매장 중 약 절반가량이 영향을 받아 영업에 차질을 빚은 것으로 나타났다. 이 사건은 랜섬웨어가 기업의 규모를 가리지 않는다는 점, 나아가 이러한 공격이 국내 산업에 현실로 다가왔다는 사실을 깨닫게 했다.     먼저, A사 공격 사례를 다루기에 앞서 클롭 랜섬웨어에 대한 분석이 선행될 필요가 있다. 클롭 랜섬웨어의 공격 과정과 변화 추이에 대해 파악하면 실제 사례를 훨씬 더 명확하게 이해할 수 있기 때문이다.   클롭 랜섬웨어 공격 대상과 과정 공격 대상 클롭 랜섬웨어는 Active Directory(AD)를 운영하고 있는 기업을 공격 대상으로 삼았다. AD는 중앙화된 관리를 통해 다수의 윈도우 시스템을 효율적으로 관리할 수 있도록 해주기 때문에 개인 사용자보다 기업에서 주로 사용된다. 공격자는 이점을 악용해 AD 서버 관리 권한을 탈취하 고 기업 내 다수의 시스템을 공격했다.   안랩은 2019년 랜섬웨어에 의한 피해를 369개 기업, 13,497개 시스템(PC 및 서버)로 파악하고 있다. 다만, 집계된 숫자는 기업 대상 공격이므로 파악되지 않은 피해 시스템까지 포함하면 이보다 훨씬 더 많을 것으로 예상된다.   공격 대상은 공공기관, 교육, 방송, 금융/증권/보험, 제조업, IT, 유통, 통신 업체 등 다양했으며 특정 업계에 국한되지 않았다. 비율로 보면 2019년 상반기 기준, 랜섬웨어 피해의 대부분이 제조업 (53%)에서 발생하였으며 금융 (15%), 정보서비스 (11%), 도소매 (9%) 분야가 그 뒤를 이었다.   공격자는 기업을 타겟팅 하기 위해 정교하게 제작한 스피어피싱 공격을 활용했다. 이메일 수신자를 명확하게 지정해 공격을 시도했고, 본문 내용은 공격 대상의 사용 언어에 맞게 정교하게 작성했다. 한 가지 주목할 점은 공격자가 비 러시아 국가를 공격 대상으로 삼은 점이다. 키보드 레이아웃과 문자 캐릭터셋을 확인하고 러시아나 독립 국가 연합(CIS)인 경우, 클롭 랜섬웨어가 동작하지 않도록 했다.   랜섬웨어 변종 다음은 2019년 상반기에 발견된 클롭 랜섬웨어 변종 수 변화이다. 2019년 2월에 클롭 랜섬웨어 변종이 다수 발견되었다. 참고로, 클롭 랜섬웨어 랜섬노트 ‘ClopReadMe.txt’가 인터넷 Pastebin.com 에 최초 공개되었던 시점은 2019년 2월 8일이다.     [그림 1] 클롭 랜섬웨어 2019년 변종 변화   공격 과정 공격은 크게 준비, 장악, 실행 단계로 진행된다. 세부적으로 보면 총 10단계까지 있다. 클롭 랜섬웨어의 실제 배포와 실행은 공격의 가장 마지막 단계라고 보면 된다. 큰 틀에서의 3단계 그리고 세부적으로 나눈 10단계를 요약하면 아래와 같다.     [표 1] 클롭 랜섬웨어의 공격 과정   클롭 랜섬웨어의 변화 추이 과거와 비교했을 때, 클롭 랜섬웨어는 암호화 방식과 서비스형 동작 등 본질적으로는 크게 변하지 않았다. 차이점이 있다면 프로세스 종료 루틴 및 암호화 제외 경로에서 문자열 대신 CRC를 구한 후 비교하는 방식으로 변경되었다.   최근 클롭 랜섬웨어의 변화 다만, 2020년 하반기 수집된 클롭 랜섬웨어에서는 추가적인 변화가 확인되었다. 과거 버전의 경우 암호화된 파일의 뒷부분에 시그니처와 함께 공개키로 암호화된 대칭키가 덧붙여지는 형태였다면, 최근 확인된 클롭 랜섬웨어는 동일한 이름에 “.Cllp” 확장자를 붙여 새로 생성한 파일에 시그니처와 암호화된 키를 저장한다.     [그림 2] 기존 클롭 랜섬웨어 - 암호화된 파일 뒤에 추가된 대칭키     [그림 3] 최근 발견된 클롭 랜섬웨어 - .Cllp 파일에 대칭키 저장   또한 다른 프로세스들을 종료하는 루틴과 볼륨 섀도우 카피(윈도우 기본 기능으로 특정한 시각의 파일, 폴더 또는 볼륨의 복사본을 저장해둔 것)를 삭제하는 루틴이 사라졌다. 하지만 프로세스들을 종료하는 루틴을 전담하는 동일한 인증서를 가진 파일이 함께 확인되었고, 클롭 랜섬웨어 바이너리 자체가 아닌 추가 파일에서 이러한 기능을 담당하는 형태로 변경되었다는 점을 추정할 수 있다.     [그림 4] 프로세스 종료 기능을 가진 파일 발견   패킹 방식도 변경된 점 중 하나이다. 클롭 랜섬웨어는 FlawedAmmyy 등의 다른 악성코드들과 같은 패커 외형을 갖는다. 즉 파일 진단을 우회하기 위해 원본 바이너리를 인코딩해서 갖고 있으며 패커가 실행되면서 메모리 상에서 디코딩 된 원본 바이너리를 실행한다.   랜섬노트의 변화 2019년에는 클롭 랜섬웨어 랜섬노트 파일 내용에 큰 변화가 없었다. 파일들이 암호화되었다는 점을 알리고, 주의 사항과 공격자의 이메일 연락처가 주 내용이다. 하지만 2020년 10월 경부터 확인된 클롭 랜섬웨어는 암호화된 파일을 복구하기 위한 연락처 외에도 기업의 민감한 데이터를 딥웹에 공개하겠다는 내용을 포함하기 시작됐다.     [그림 5] 정보 유출 협박 내용이 포함된 랜섬노트   유통 대기업 A사 공격 분석 이제 앞서 살펴본 클롭 랜섬웨어 공격 관련 분석 정보를 토대로 A사에 감행된 공격에 대해 간략히 살펴보자.   우선 기존의 클롭 랜섬웨어와 같이, A사 공격에 사용된 클롭 랜섬웨어는 복구가 불가능하다. 해당 랜섬웨어는 대칭키 알고리즘을 이용해 각각의 파일을 암호화한 후, 바이너리 내부에 존재하는 공개키로 대칭키를 암호화했다. 따라서, 해당 공개키에 상응하는 개인키를 알지 못하면 암호화된 파일들을 복구할 수 없다.   다만 암호화된 키를 저장하는 방식에 차이가 존재한다. 앞서, 클롭 랜섬웨어의 변화 추이에서 살펴본 것처럼 초기 버전은 암호화된 파일 뒷부분에 특정 시그니처와 함께 암호화된 키가 붙어있는 구조였다. 하지만, 최근 확인된 클롭 랜섬웨어는 암호화된 파일과 동일한 파일명 (정상 파일명 유지) 뒤에 ‘.Cllp’ 확장자를 붙인 추가 파일을 생성해 해당 .Cllp 파일에 관련 키를 저장한다. A사 공격에 활용된 클롭 랜섬웨어 역시 후자에 해당된다.   공격자가 가진 비밀키를 알 수 없어 파일 복구가 불가능하지만, 이전과 다르게 볼륨 섀도우 카피 삭제 명령어가 존재하지 않는다. 따라서 시스템에 랜섬웨어 감염 전의 복원 지점이 존재할 경우 윈도우 복원 기능을 이용하여 감염 전의 상태로 되돌리는 것이 가능하다.     [그림 6] 감염된 파일과 복구된 파일   또한, A사 공격에 사용된 클롭 랜섬웨어 파일은 다음과 같이 유효한 디지털 서명 인증서 정보를 포함하고 있다.     [그림 7] A사 공격 클롭 랜섬웨어 사용 인증서   안랩은 A사 공격 클롭 랜섬웨어와 동일한 인증서를 가진 파일들을 다수 확인했다. 분석 결과에 따르면, 해당 인증서를 가진 또 다른 파일들은 10월부터 유포되고 있었고 랜섬웨어뿐 아니라 Windows Defender 안티 바이러스 제품을 무력화하기 위한 파일로도 제작되었다. 즉, 동일 그룹이 동일한 인증서로 클롭 랜섬웨어 외에 다양한 악성코드를 제작한다는 사실을 유추할 수 있다.   클롭 랜섬웨어 분석 정보와 A사 공격에 활용된 클롭 랜섬웨어에 대한 자세한 사항은 ASEC이 발간한 ‘CLOP 랜섬웨어 공격 보고서’를 통해 확인할 수 있다.   ▶보고서 전문 바로가기