2024.03.29 (금)

  • 흐림동두천 1.0℃
  • 흐림강릉 1.3℃
  • 서울 3.2℃
  • 대전 3.3℃
  • 대구 6.8℃
  • 울산 6.6℃
  • 광주 8.3℃
  • 부산 7.7℃
  • 흐림고창 6.7℃
  • 흐림제주 10.7℃
  • 흐림강화 2.2℃
  • 흐림보은 3.2℃
  • 흐림금산 4.4℃
  • 흐림강진군 8.7℃
  • 흐림경주시 6.7℃
  • 흐림거제 8.0℃
기상청 제공
상세검색
닫기

문화 넓게 보기

이번엔 웹문서! 클롭 랜섬웨어 누리편지 공격 기승

슬기로운 컴퓨터ㆍ손말틀(휴대전화) 쓰기를 위한 귀띔

[우리문화신문=이한영 기자]  국내 기업을 표적으로 퍼뜨리는 클롭(CLOP) 랜섬웨어가 파일 형태를 지속적으로 변경하는 가운데, 최근에는 웹문서(HTML) 파일로 위장한 형태가 늘어나고 있다. 누리편지(이메일)에 덧붙인 웹문서 파일을 누를 때 각별한 주의가 필요하다.

 

 

안랩 시큐리티대응센터(이하 ASEC)에 따르면 클롭 랜섬웨어는 올해 초 누리편지에 엑셀(xls) 파일을 첨부하여 유포되었으며, 5월말 경부터 스크립트(HTML)을 첨부하는 방식으로 변화했다. 또한 6월에는 웹문서 파일을 다양하게 변화시켜 유포 중인 것으로 파악되었다.

 

최근 발견된 클롭랜섬웨어는 계약서, 견적서, 국세청 등 기업 사용자의 관심을 끄는 내용으로 위장했으며, [그림 1]과 같이 서명까지 덧붙이는 등 정교하게 만든 스크립트를 통해 유포되고 있다.

 

 

특히 공격자는 웹문서를 실행했을 때 ▲ 악성 엑셀 다운로드 경로로 리다이렉션(웹 페이지를 하나 이상의 인터넷 주소로 만들어주는 웹 기법) ▲HTML 문서에 한글로 제목으로 작성 ▲ 웹문서에 웹주소가 아닌 애

미(Ammyy) 악성코드를 다운로드하는 엑셀 객체 포함 등 다양한 방법을 시도하고 있다.

 

 

 

ASEC 분석팀 한명욱 연구원은 “최근 웹문서 첨부파일을 이용한 클롭 랜섬웨어의 공격이 계속 시도되고 있을 뿐만 아니라 그 수법도 다양하고 정교해져 사용자들의 각별한 주의가 필요하다.”고 말했다. 그러나 “공격자가 클롭 랜섬웨어의 유포 방식을 웹문서로 완전히 전환한 것은 아니다.”라며 “동일한 날짜에 엑셀, 문서 내 하이퍼링크, 웹문서 등을 이용한 공격도 확인된 만큼 공격자가 악성코드 유포를 위해 다양한 방식을 사용하고 있다고 해석하는 것이 적절하다.”고 설명했다.

 

클롭 랜섬웨어는 중앙 관리 서버에 침투한 후 관리 서버에 연결된 시스템에 악성코드를 삽입 및 감염시킨다. 곧 컴퓨터 운영체제 정보, 권한, 사용자 이름, 컴퓨터 이름 등의 기본 정보를 얻어 사용자의 컴퓨터에 대한 원격제어를 가능하게 하며, 이를 통해 내부 시스템을 지속적으로 침해할 가능성이 높다. 따라서 클롭 랜섬웨어에 감염되지 않도록 주의해야 하며, 기업의 중요 데이터는 오프라인 백업을 해둘 것을 권장한다.

 

클롭 랜섬웨어에 관한 보다 자세한 내용은 ASEC 블로그에서 확인할 수 있다.

► ASEC 블로그 바로 가기

 

                                                                                       AhnLab 분석팀 제공