'한국 맞춤형' 귀신 랜섬웨어 주의보…"침투 후 감염까지 67→21일" [데이터링]

[아이뉴스24 김혜경 기자] 지난해 하반기 국내에서 처음으로 탐지된 '귀신(Gwisin)' 랜섬웨어가 올해 들어 활개를 치고 있다. 한국기업만 공격한다는 점과 기존 지능형지속위협(APT) 공격 대비 랜섬웨어 감염 시간이 짧은 것으로 파악되는 등 이들 조직이 정교한 사이버 공격 기술을 보유한 것으로 분석돼 각별한 주의가 요구된다.

28일 SK쉴더스 탑서트(Top-CERT)에 따르면 귀신 랜섬웨어 공격 기간은 내부 시스템 침투 후 감염까지 평균 21일 소요되는 것으로 분석됐다. SK쉴더스는 보고서를 통해 "기존 APT 공격이 67일 걸린다는 점을 감안했을 때 이는 짧은 수준"이라며 "감염 이전 모든 공격 행위를 삭제하는 등 공격자는 수준 높은 해킹 기술을 보유하고 있다고 판단된다"고 전했다.

한국인터넷진흥원(KISA)에 귀신 랜섬웨어 피해 사례가 처음으로 신고된 것은 지난해 9월이다. 앞서 이스트시큐리티는 지난해 3분기 랜섬웨어 공격 동향 보고서를 통해 한국기업 맞춤형 랜섬웨어가 탐지됐다고 발표한 바 있다. 지난달 말 안랩 ASEC도 국내 기업을 겨냥한 해당 랜섬웨어 피해가 늘고 있다며 특정 기업을 대상으로 제작‧유포되고 있다고 전했다.

현재까지 알려진 피해 기업은 4곳이다. 지난달 말 국내 제약업체 A사가 랜섬웨어 공격을 받아 업무 수행에 차질을 빚었다. 4월에는 헬스케어 기업인 B사에서 전산 장애가 발생했고, 원인 분석 과정에서 사이버 공격 시도 가능성이 제기된 바 있다. 해당 업체 2곳과 지난해 KISA에 신고 접수된 C사를 비롯해 또 다른 제약업체 D사도 귀신 랜섬웨어 공격을 받은 것으로 알려졌다.

전문가들은 공격자가 ▲국내 기업을 타깃으로 한다는 점 ▲한글 키보드 사용에 능숙하다는 점 ▲국내 사이버보안 유관기관을 랜섬노트(협박 메시지)에 언급했다는 점 등으로 미뤄봤을 때 한국어를 사용하는 조직이거나 국내 사정에 능통한 해커가 가담했을 것으로 추정하고 있다.

공격자는 계정 정보를 입수하기 위해 ▲공격 대상 임직원 정보 구매 ▲계정 유출 기능 악성코드가 내포된 피싱 메일 발송 ▲크리덴셜 스터핑(Credential Stuffing) 등의 방식을 이용했다고 SK쉴더스는 설명했다.

크리덴셜 스터핑이란 다크웹에서 유통되는 계정 정보를 기반으로 다른 사이트 계정을 해킹하는 무차별 대입 공격이다. 계정 정보를 활용한 가상사설망(VPN) 접근과 노출된 관리자 페이지, 워터링 홀(Watering Hole) 등 다양한 취약 요소들을 공격한 것으로 보인다.

SK쉴더스에 따르면 공격자는 국내 솔루션의 패치 관리 시스템(PMS) 기능을 악용해 원격제어(RAT) 악성코드를 내부 네트워크에 유포했다. SK쉴더스는 "이들은 한국 IP의 C&C(Command & Control) 서버를 이용해 랜섬웨어 실행 전 피해 시스템의 정보를 유출했다"며 "파일 암호화 이후 복호화 대가와 함께 유출된 자료를 공개하겠다고 협박하는 등 추가적으로 금전을 요구했다"고 설명했다.

또 "현재 진화된 귀신 랜섬웨어는 안전모드로 재부팅해 랜섬웨어를 실행시키는 기능이 추가됐다"며 "타깃형 APT 공격을 막아내기란 사실상 불가능에 가깝다. 각 단계별 보안 요소를 마련해 공격자가 목표를 달성하기 전 탐지하고 차단하는 것이 중요하다"고 강조했다.

미국 위협 인텔리전스기업 '리버싱랩스(ReversingLabs)'도 보고서를 통해 "귀신락커 리눅스(GwisinLocker.Linux)는 지금까지 알려지지 않은 새로운 랜섬웨어"라며 "이중 갈취 방식 사용 등은 해당 조직이 정교한 사이버 공격 능력을 보유하고 있다는 것을 의미한다. 다른 산업 부문에도 확대될 가능성이 크다"고 전했다.

김혜경 기자의 다른 기사 보기

• 美 국토안보부 수석 "10초마다 랜섬웨어 공격 탐지…민·관협력 중요"

• 한국 기업만 노린다?…국내서 확산되는 '귀신' 랜섬웨어