한국 기업만 노린다?…국내서 확산되는 '귀신' 랜섬웨어 [데이터링]


"국내 사정 능통한 공격자, 조직 내 포함됐을 가능성 높아"

[아이뉴스24 김혜경 기자] 최근 국내에서 '귀신(Gwisin)' 랜섬웨어 움직임이 연이어 포착되면서 기업들의 각별한 주의가 요구된다. 한국 기업을 겨냥해 제작‧유포되고 있으며, 공격자가 한글 키보드 사용에 능숙하고 사이버보안 유관기관을 랜섬노트에 표기했다는 점 등으로 미뤄봤을 때 국내 사정에 능통한 해커가 랜섬웨어 조직 내 포함됐을 것으로 업계는 추정하고 있다.

귀신 랜섬웨어 감염 이후 변경되는 바탕화면 [사진=안랩 ]

1일 보안업계에 따르면 귀신 랜섬웨어는 지난해 하반기 국내에서 처음으로 탐지됐으며, 현재까지 국외에서 발생한 피해 사례는 없는 것으로 알려졌다. 앞서 이스트시큐리티 시큐리티대응센터(ESRC)는 지난해 3분기 랜섬웨어 공격 동향 보고서를 통해 한국 기업 맞춤형인 귀신 랜섬웨어가 탐지됐다고 발표한 바 있다.

지난달 말 안랩 ASEC도 최근 국내 기업을 겨냥한 해당 랜섬웨어 피해가 늘고 있다며 특정 기업을 대상으로 제작‧유포되고 있다고 전했다. 안랩 관계자는 "귀신 랜섬웨어는 '매그니베르(Magniber)' 랜섬웨어와 동일하게 윈도우 설치 패키지 파일인 MSI 설치 파일 형태로 동작하지만 이 외에는 공통점이 없다"며 "파일을 암호화한 후 확장자를 변경하는데 이때 대상 조직의 이름을 차용하고 랜섬웨어 설치 전 내부 시스템을 장악한다는 점이 특징"이라고 설명했다.

초기에는 단순 랜섬웨어를 배포하는 형태였다면 최근에는 특정 취약점을 집중적으로 공략하거나 3단계에 걸쳐 몸값을 요구하는 등의 수법을 쓰고 있다는 점도 특징이다.

SK쉴더스 관계자는 "일반적으로 2중으로 몸값을 갈취하는 사례가 대부분인데 귀신 랜섬웨어는 ▲복호화 키 전달 ▲중요‧개인정보 미공개 ▲침투경로‧취약점 리포트 등 3단계에 걸쳐 협박과 협상을 진행하고 있다"고 분석했다.

이 관계자는 "기업의 액티브 디렉토리(AD) 서버를 겨냥한 단순한 해킹 공격이 아닌 타깃 기업의 시스템 허점을 장기간 분석하고 해당 취약점을 집중적으로 공격하는 행태를 보이고 있다"고 전했다.

귀신 랜섬웨어는 금융‧제조‧IT 등 다양한 유형의 기업을 대상으로 공격을 감행한 것으로 알려졌다. 불특정 다수를 겨냥한 공격이 아닌 특정 기업·조직을 노린 정황은 있지만 이들의 공격 범위를 단정짓기는 어렵다는 의견도 나온다.

또 해당 랜섬웨어 조직은 협상 과정에서 한국 기업의 정서를 이용해 몸값을 갈취하는 등 국내 사정에 능통한 것으로도 알려졌다.

SK쉴더스 관계자는 "공격자가 한글 키보드 사용에 능숙하고 랜섬노트에 국가정보원과 경찰청, SK인포섹(현 SK쉴더스) 등 국내 사이버보안 유관기관‧기업을 언급하고 있다는 점을 미뤄봤을 때 국내 상황을 잘 알고 있는 해커가 포함됐을 것으로 추정하고 있다"고 말했다.

/김혜경 기자(hkmind9000@inews24.com)







포토뉴스