랜섬웨어는 여전히 가장 위협적인 사이버 공격입니다. 팔로알토 네트웍스가 2023년 5월 발간한 ‘유닛42 랜섬웨어 및 갈취(Extortion) 보고서’에 따르면, 최근 랜섬웨어 및 데이터 갈취 위협 행위자들은 예전보다 더욱 공격적인 전술을 펼치고 있습니다. 특히 수위 높은 괴롭힘을 동반하는 경우는 2021년보다 20배 이상 증가했습니다.
일반적으로 랜섬웨어 공격의 영향을 가장 많이 받는 국가는 미국이지만, 우리나라도 마냥 안전하지만은 않습니다. SK쉴더스가 민간 랜섬웨어 대응 협의체 KARA(Korea Anti Ransomware Alliance)와 발간한 ‘2023년 4월 KARA 랜섬웨어 동향 보고서’에 따르면, 2023년 1분기 국내에서 발생한 랜섬웨어 공격 횟수는 933건에 달합니다. 특히 2월과 3월 사이 랜섬웨어 피해자 수가 급격하게 증가했으며, 국내 기업을 타깃으로 한 랜섬웨어도 발견됐습니다.
표적 공격의 대상은 한 번의 공격으로 더 많은 이익을 얻을 수 있는 ‘기업’, 그중에서도 액티브 디렉토리(Active Directory, AD)가 될 가능성이 높습니다. AD에는 기업이 관리하는 모든 엔드포인트가 연결되어 있어, AD 관리자 계정만 탈취하면 시스템 전체를 장악할 수 있기 때문입니다.
AD 서버를 타깃으로 하는 랜섬웨어는 실제로 다수 목격되고 있습니다. 예를 들어, 2019년 상반기에는 러시아 해킹 집단인 TA505가 장기간 국내 금융권 시스템 탈취를 목적으로 설계한 랜섬웨어 공격을 수행한 것이 알려지며 화제가 됐습니다. 더 최근에는 국내 대기업 중 한 곳의 해외 지사 PC가 해킹돼 AD를 통해 국내 시스템이 감염되고 기밀문서가 유출되는 사고가 보고되기도 했습니다.
사실 그동안 국내에서는 AD 서버를 타깃으로 한 랜섬웨어를 큰 위협으로 여기지 않았습니다. 대부분 공격은 AD 사용이 더 대중화된 해외에서 이루어졌기 때문입니다. 하지만 윈도우 10 마이그레이션, SaaS의 SSO(Single-Sign-On), VDI(Virtual Desktop Infrastructure) 등 AD로 PC를 관리하는 기업이 증가하면서 국내 기업 역시 AD 타깃의 랜섬웨어 대응 전략을 고민해야 할 시기입니다.
AD가 매력적인 공격 타깃인 이유
AD는 마이크로소프트가 제공하는 디렉토리 서비스 기능으로, 기업에서 정책, 소프트웨어, 업데이트를 전 직원의 PC에 일괄적으로 적용할 때 사용하는 운영 아키텍처입니다. AD 서버에는 사용자 계정과 사용자 그룹, 네트워크, 자원 등의 정보가 저장되어 있어, 관리자는 중앙에서 여러 시스템을 유기적으로 관리할 수 있습니다.
AD가 공격자에게 매력적인 이유가 바로 이 때문입니다. 기업의 전체 시스템을 중앙 관리하는 만큼, AD 서버만 탈취하면 기업의 시스템 전체를 탈취하는 셈입니다. 그렇다고 해서 AD를 사용하지 말아야 하는 것은 아닙니다. 시스템 관리나 보안 측면에서 AD는 분명한 강점이 있고, AD가 공격자의 주 타깃이 된 이상 AD를 철저히 보호하면 더 효율적으로 랜섬웨어를 막을 수 있습니다.
“지피지기 백전불태” 랜섬웨어가 AD를 공격하는 방법
랜섬웨어가 AD를 어떻게 공격하는지 구체적으로 살펴보고, 역으로 대응 방안을 생각해봅시다. 앞서 언급한 TA505의 사례입니다. TA505 그룹은 몇 년에 걸쳐 금융 기관의 임직원을 대상으로 피싱 메일을 보냈습니다. 메일에는 엑셀 4.0 매크로, VBA 매크로, 인코딩된 바이너리가 포함된 hmtl 등 백신을 우회하는 문서가 첨부되어 있습니다.
TA505의 랜섬웨어 공격 경로 <출처 : 금융보안원>
사용자가 첨부 문서를 열면 PC가 악성코드에 감염되고, 해당 악성코드는 C&C 서버와 통신해 랜섬웨어 공격을 위한 추가 악성코드를 다운로드합니다. 다운로드된 악성코드는 감염된 PC의 작업 그룹을 탐색하고, 작업 그룹이 ‘WORKGROUP’일 경우에는 개인 PC로 판단해 악성 행위를 중단하고 흔적을 지웁니다. 하지만 작업 그룹이 AD 서버 도메인 값일 경우 기업 PC로 판단하고 SMB 취약점을 이용해 AD 서버 관리자 계정을 탈취합니다.
공격자는 탈취한 관리자 계정을 사용해서 시스템에 연결된 PC에 클롭(Clop) 랜섬웨어를 전파해 중요 정보를 유출하거나, 데이터를 암호화합니다. 특히 클롭 랜섬웨어에는 국내의 특정 백신을 삭제하거나 랜섬웨어 탐지용 파일을 무력화하는 코드가 포함돼 있어 기업의 보안망을 쉽게 우회할 수 있습니다.
AD를 노리는 랜섬웨어 대부분은 TA505 사례와 유사한 경로로 진행됩니다. ‘직원의 PC 탈취 → PC에 연결된 시스템 탐색(횡적 이동) → AD 관리자 계정 탈취 → AD 서버 장악 및 데이터 유출과 암호화’ 순서입니다. 즉, 처음부터 직원 PC가 해킹되지 않거나, 해킹되더라도 횡적 이동을 차단하거나, 탈취된 관리자 계정의 AD 서버 접근을 차단할 수 있다면 랜섬웨어 위협을 최소화할 수 있습니다.
랜섬웨어 공격의 시발점은 직원의 PC, 즉 엔드포인트입니다. 엔드포인트를 중심으로 랜섬웨어 대응이 이뤄진다면 위험을 효과적으로 완화할 수 있습니다. ‘AD 보안 중심의 효과적인 랜섬웨어 방어 전략 - 2부’에서는 엔드포인트 기반 접근 통제로 시작하는 AD 보안에 대해 알아보겠습니다.
AD 관리 및 보호에 어려움을 겪고 계시거나 관련 솔루션에 대해 궁금한 점이 있으시면 언제든 퀘스트소프트웨어코리아로 문의 주시기 바랍니다.
랜섬웨어는 여전히 가장 위협적인 사이버 공격입니다. 팔로알토 네트웍스가 2023년 5월 발간한 ‘유닛42 랜섬웨어 및 갈취(Extortion) 보고서’에 따르면, 최근 랜섬웨어 및 데이터 갈취 위협 행위자들은 예전보다 더욱 공격적인 전술을 펼치고 있습니다. 특히 수위 높은 괴롭힘을 동반하는 경우는 2021년보다 20배 이상 증가했습니다.
일반적으로 랜섬웨어 공격의 영향을 가장 많이 받는 국가는 미국이지만, 우리나라도 마냥 안전하지만은 않습니다. SK쉴더스가 민간 랜섬웨어 대응 협의체 KARA(Korea Anti Ransomware Alliance)와 발간한 ‘2023년 4월 KARA 랜섬웨어 동향 보고서’에 따르면, 2023년 1분기 국내에서 발생한 랜섬웨어 공격 횟수는 933건에 달합니다. 특히 2월과 3월 사이 랜섬웨어 피해자 수가 급격하게 증가했으며, 국내 기업을 타깃으로 한 랜섬웨어도 발견됐습니다.
표적 공격의 대상은 한 번의 공격으로 더 많은 이익을 얻을 수 있는 ‘기업’, 그중에서도 액티브 디렉토리(Active Directory, AD)가 될 가능성이 높습니다. AD에는 기업이 관리하는 모든 엔드포인트가 연결되어 있어, AD 관리자 계정만 탈취하면 시스템 전체를 장악할 수 있기 때문입니다.
AD 서버를 타깃으로 하는 랜섬웨어는 실제로 다수 목격되고 있습니다. 예를 들어, 2019년 상반기에는 러시아 해킹 집단인 TA505가 장기간 국내 금융권 시스템 탈취를 목적으로 설계한 랜섬웨어 공격을 수행한 것이 알려지며 화제가 됐습니다. 더 최근에는 국내 대기업 중 한 곳의 해외 지사 PC가 해킹돼 AD를 통해 국내 시스템이 감염되고 기밀문서가 유출되는 사고가 보고되기도 했습니다.
사실 그동안 국내에서는 AD 서버를 타깃으로 한 랜섬웨어를 큰 위협으로 여기지 않았습니다. 대부분 공격은 AD 사용이 더 대중화된 해외에서 이루어졌기 때문입니다. 하지만 윈도우 10 마이그레이션, SaaS의 SSO(Single-Sign-On), VDI(Virtual Desktop Infrastructure) 등 AD로 PC를 관리하는 기업이 증가하면서 국내 기업 역시 AD 타깃의 랜섬웨어 대응 전략을 고민해야 할 시기입니다.
AD가 매력적인 공격 타깃인 이유
AD는 마이크로소프트가 제공하는 디렉토리 서비스 기능으로, 기업에서 정책, 소프트웨어, 업데이트를 전 직원의 PC에 일괄적으로 적용할 때 사용하는 운영 아키텍처입니다. AD 서버에는 사용자 계정과 사용자 그룹, 네트워크, 자원 등의 정보가 저장되어 있어, 관리자는 중앙에서 여러 시스템을 유기적으로 관리할 수 있습니다.
AD가 공격자에게 매력적인 이유가 바로 이 때문입니다. 기업의 전체 시스템을 중앙 관리하는 만큼, AD 서버만 탈취하면 기업의 시스템 전체를 탈취하는 셈입니다. 그렇다고 해서 AD를 사용하지 말아야 하는 것은 아닙니다. 시스템 관리나 보안 측면에서 AD는 분명한 강점이 있고, AD가 공격자의 주 타깃이 된 이상 AD를 철저히 보호하면 더 효율적으로 랜섬웨어를 막을 수 있습니다.
“지피지기 백전불태” 랜섬웨어가 AD를 공격하는 방법
랜섬웨어가 AD를 어떻게 공격하는지 구체적으로 살펴보고, 역으로 대응 방안을 생각해봅시다. 앞서 언급한 TA505의 사례입니다. TA505 그룹은 몇 년에 걸쳐 금융 기관의 임직원을 대상으로 피싱 메일을 보냈습니다. 메일에는 엑셀 4.0 매크로, VBA 매크로, 인코딩된 바이너리가 포함된 hmtl 등 백신을 우회하는 문서가 첨부되어 있습니다.
TA505의 랜섬웨어 공격 경로 <출처 : 금융보안원>
사용자가 첨부 문서를 열면 PC가 악성코드에 감염되고, 해당 악성코드는 C&C 서버와 통신해 랜섬웨어 공격을 위한 추가 악성코드를 다운로드합니다. 다운로드된 악성코드는 감염된 PC의 작업 그룹을 탐색하고, 작업 그룹이 ‘WORKGROUP’일 경우에는 개인 PC로 판단해 악성 행위를 중단하고 흔적을 지웁니다. 하지만 작업 그룹이 AD 서버 도메인 값일 경우 기업 PC로 판단하고 SMB 취약점을 이용해 AD 서버 관리자 계정을 탈취합니다.
공격자는 탈취한 관리자 계정을 사용해서 시스템에 연결된 PC에 클롭(Clop) 랜섬웨어를 전파해 중요 정보를 유출하거나, 데이터를 암호화합니다. 특히 클롭 랜섬웨어에는 국내의 특정 백신을 삭제하거나 랜섬웨어 탐지용 파일을 무력화하는 코드가 포함돼 있어 기업의 보안망을 쉽게 우회할 수 있습니다.
AD를 노리는 랜섬웨어 대부분은 TA505 사례와 유사한 경로로 진행됩니다. ‘직원의 PC 탈취 → PC에 연결된 시스템 탐색(횡적 이동) → AD 관리자 계정 탈취 → AD 서버 장악 및 데이터 유출과 암호화’ 순서입니다. 즉, 처음부터 직원 PC가 해킹되지 않거나, 해킹되더라도 횡적 이동을 차단하거나, 탈취된 관리자 계정의 AD 서버 접근을 차단할 수 있다면 랜섬웨어 위협을 최소화할 수 있습니다.
랜섬웨어 공격의 시발점은 직원의 PC, 즉 엔드포인트입니다. 엔드포인트를 중심으로 랜섬웨어 대응이 이뤄진다면 위험을 효과적으로 완화할 수 있습니다. ‘AD 보안 중심의 효과적인 랜섬웨어 방어 전략 - 2부’에서는 엔드포인트 기반 접근 통제로 시작하는 AD 보안에 대해 알아보겠습니다.
AD 관리 및 보호에 어려움을 겪고 계시거나 관련 솔루션에 대해 궁금한 점이 있으시면 언제든 퀘스트소프트웨어코리아로 문의 주시기 바랍니다.