
2023년 6월, 사이버 범죄 조직인 클롭(Clop) 랜섬웨어 그룹은 MOVEit 파일 전송 소프트웨어의 취약점을 악용하여 다수의 기업과 기관을 공격했습니다.
이들은 SQL 인젝션을 통해 악성 파일을 업로드하고, 이를 실행하여 데이터를 암호화하거나 탈취했습니다.
이러한 공격에 대응하기 위해서는 소프트웨어의 최신 보안 패치 적용, 웹 애플리케이션 방화벽 도입, 파일 업로드 제한 및 검사, 로그 모니터링, 네트워크 세그멘테이션 등의 기술적 방안이 필요합니다.
클롭(Clop) 랜섬웨어 그룹은 2019년부터 활동을 시작한 사이버 범죄 조직으로, 주로 대규모 기업과 기관을 대상으로 랜섬웨어 공격을 수행해 왔습니다. 이들은 단순한 데이터 암호화에 그치지 않고, 탈취한 데이터를 공개하겠다고 협박하여 피해자에게 이중의 압박을 가하는 것으로 알려져 있습니다.

이번 공격에서 클롭 그룹은 MOVEit 파일 전송 소프트웨어의 SQL 인젝션 취약점을 악용했습니다.
SQL 인젝션은 웹 애플리케이션의 입력값을 통해 악의적인 SQL 코드를 주입함으로써 데이터베이스를 조작하거나 민감한 정보를 탈취하는 공격 기법입니다.
공격 과정은 다음과 같습니다:
- 취약점 탐색: 클롭 그룹은 MOVEit 소프트웨어의 특정 버전에 존재하는 SQL 인젝션 취약점을 식별했습니다.
- 악성 파일 업로드: 이 취약점을 통해 human2.aspx라는 이름의 악성 ASPX 파일을 서버에 업로드했습니다. 이 파일은 원격에서 공격자가 명령을 실행할 수 있도록 설계되었습니다.
- 원격 코드 실행: 업로드된 악성 파일을 통해 서버에서 명령을 실행하여 데이터를 암호화하거나 탈취했습니다.
이 공격으로 인해 다수의 기업과 기관이 데이터 유출 및 서비스 중단과 같은 심각한 피해를 입었습니다.
특히, 민감한 정보가 외부로 유출되어 기업의 신뢰도 하락과 금전적 손실을 초래했습니다.

공격이 발생한 후, 피해 기업들은 다음과 같은 대응 조치를 취했습니다:
- 긴급 패치 적용: MOVEit 소프트웨어의 제조사는 즉각적으로 취약점을 수정한 보안 패치를 배포하였으며, 기업들은 이를 신속하게 적용했습니다.
- 시스템 점검 및 복구: 침해된 시스템을 격리하고, 백업 데이터를 활용하여 시스템을 복구했습니다.
- 보안 강화: 향후 유사한 공격을 방지하기 위해 웹 애플리케이션 방화벽을 도입하고, 파일 업로드에 대한 보안 정책을 강화했습니다.
예방을 위한 기술적 방안:
이러한 공격을 예방하기 위해서는 다음과 같은 기술적 조치가 필요합니다:
- 정기적인 보안 패치 적용: 소프트웨어와 시스템의 최신 보안 패치를 주기적으로 적용하여 알려진 취약점을 제거해야 합니다.
- 웹 애플리케이션 방화벽(WAF) 도입: SQL 인젝션과 같은 웹 공격을 탐지하고 차단할 수 있는 WAF를 구축하여 공격을 사전에 방지해야 합니다.
- 파일 업로드 보안 강화: 서버에 업로드되는 파일의 유형과 크기를 제한하고, 업로드된 파일에 대한 정밀 검사를 수행하여 악성 파일의 실행을 방지해야 합니다.
- 실시간 로그 모니터링: 서버 로그를 실시간으로 모니터링하고, 비정상적인 접근이나 파일 업로드 시도를 탐지하여 신속하게 대응할 수 있도록 해야 합니다.
- 네트워크 세그멘테이션: 중요 시스템과 일반 시스템을 분리하여 공격 발생 시 피해 범위를 최소화해야 합니다.
'보안 소식' 카테고리의 다른 글
바이든 행정부의 새로운 사이버보안 행정명령: 미국 정부 공급업체의 안전성 입증 요구 (0) | 2025.01.20 |
---|---|
미국의 새로운 사이버 보안 행정 명령: 국가 보안 강화 및 혁신 촉진 (0) | 2025.01.20 |
SW 공급망 보안 가이드라인 1.0 완벽 해설서 (3) | 2024.05.20 |
당신이 지금 쓰고 있는 소스코드 편집기는 이미 해킹당했다. (해커에게 공격당한 컴포넌트 취약점) (4) | 2024.04.04 |
메타에서 만든 스레드 (Meta Thread)는 무엇이며, 보안에 문제는 없을까? (0) | 2023.12.19 |