한국기업만 노리는 그놈들…'귀신 랜섬웨어' 정체는?

[아이뉴스24 김혜경 기자] 지난해 하반기 국내에서 처음으로 탐지된 '귀신(Gwisin)' 랜섬웨어가 올해도 한국 기업을 겨냥해 제작‧유포되고 있는 가운데 지난주를 기점으로 해외 분석가들도 분석 보고서를 내놓고 있다. 현재까지 국내기업 4곳이 해당 랜섬웨어의 공격 대상이 된 것으로 알려졌다.

전문가들은 공격자가 한글 키보드 사용에 능숙하고, 랜섬노트(협박 메시지)에 국내 사이버보안 유관기관을 랜섬노트 언급했다는 점 등으로 미뤄봤을 때 국내 사정에 능통한 해커가 가담했을 것으로 추정하고 있다. 지난해와 올해 타깃 기업 업종이 달라졌다는 점을 감안했을 때 다른 산업군에도 확대될 가능성을 배제할 수 없어 주의가 요구된다.

9일 한국인터넷진흥원(KISA)에 따르면 귀신 랜섬웨어 피해 사례가 처음으로 신고된 것은 지난해 9월이다. 앞서 이스트시큐리티 시큐리티대응센터(ESRC)는 지난해 3분기 랜섬웨어 공격 동향 보고서를 통해 한국 기업 맞춤형인 귀신 랜섬웨어가 탐지됐다고 발표한 바 있다.

지난달 말 안랩 ASEC도 최근 국내 기업을 겨냥한 해당 랜섬웨어 피해가 늘고 있다며 특정 기업을 대상으로 제작‧유포되고 있다고 전했다.

올해 4월 국내 헬스케어업체 A사에서 전산 장애가 발생했다. 회사 측은 내부 경보 시스템을 통해 이를 인지한 후 전체 서버를 차단했고, 원인 분석 과정에서 사이버 공격 시도 가능성도 제기된 바 있다. 지난달 말에는 국내 제약업체 B사가 랜섬웨어 공격을 받아 업무 수행에 차질을 빚었다. 해당 업체 2곳과 또 다른 제약업체 C사 등 현재까지 총 4곳이 귀신 랜섬웨어 공격을 받은 것으로 알려졌다.

ESRC 센터장 문종현 이사는 해당 랜섬웨어 피해 사례가 해외에서는 발견되지 않고 있다는 점과 공격자가 국내 사정에 능통하다는 점, 내부 침투 패턴 등을 분석했을 때 북한 연계 해커 조직의 소행일 가능성도 배제할 수 없다고 전했다.

문 이사는 "지난해 발견된 귀신 랜섬웨어를 분석했보니 공격자가 다크웹인 토르(Tor) 네트워크 접속 시 사용하는 계정은 한글을 영문으로 변환한 단어였다"며 "서버를 뚫고 들어가 내부 시스템에 악성파일을 유포하는 수법을 사용한 것으로 보이는데 이같은 유형은 과거 북한 연계 해커들이 악성파일을 유포한 방식과 유사하다"고 설명했다.

이어 "공휴일이나 새벽 시간을 이용해 공격 시도했다는 점도 주목해야 한다"며 "아직까지 기존 북한발 악성 프로그램과 연관성은 포착되지 않고 있어 모든 가능성을 열어두고 들여다보는 중"이라고 덧붙였다.

3단계에 걸쳐 몸값을 요구하는 등의 수법을 쓰고 있다는 점도 특징이다. SK쉴더스 관계자는 "일반적으로 2중으로 몸값을 갈취하는 사례가 대부분인데 귀신 랜섬웨어는 ▲복호화 키 전달 ▲중요‧개인정보 미공개 ▲침투경로‧취약점 리포트 등 3단계에 걸쳐 협박과 협상을 진행하고 있다"고 분석했다.

이 관계자는 "기업의 액티브 디렉토리(AD) 서버를 겨냥한 단순한 해킹 공격이 아닌 공격 대상 기업의 시스템 허점을 장기간 분석하고 해당 취약점을 집중적으로 공격하는 행태를 보이고 있다"고 말했다.

미국 위협 인텔리전스기업 '리버싱랩스(ReversingLabs)'에 따르면 귀신 랜섬웨어는 위도우와 리눅스용 모두 탐지됐다. 리버싱랩스는 "'귀신락커 리눅스(GwisinLocker.Linux)'는 지금까지 알려지지 않은 새로운 랜섬웨어"라며 "북한에 기반을 둔 위협 행위자로 추정된다"고 분석했다.

또 "데이터 절도 관련 이중 갈취 방식 사용 등은 해당 조직이 정교한 사이버 공격 능력을 보유하고 있음을 보여준다"며 "다른 산업 부문에도 확대될 가능성이 크다"고 전했다.

KISA 관계자는 "피해 신고를 한 기업들의 업종 등에서 확인된 공통점은 없다"며 "'귀신'이라는 한국적인 이름을 사용한다는 점과 랜섬노트에서 국내 기관을 언급하면서 협박한다는 점 등으로 미뤄봤을 때 공격자가 국내 사정을 잘 알고 있을 것으로 추정하고 있다"고 말했다.

김혜경 기자의 다른 기사 보기

• RaaS 패권 노리는 '락빗' 랜섬웨어…"올해 1Q 46%"

• 이스트시큐리티 "2분기 랜섬웨어 차단 감소…위협은 여전"