“국정원에 알리지 말고 돈 보내”…귀신해킹 비상

최훈길 기자I 2022.08.25 21:08:22

SK쉴더스, 귀신 랜섬웨어 공격 분석 리포트
韓 기업들만 노린 해킹 처음, 3배 빠른 공격
임직원 정보 빼내 3중 협박, 수차례 자금 갈취
“매우 악랄한 수법, 24시간 기업보안 강화해야”

[이데일리 최훈길 기자] 국내 기업만을 겨냥해 사이버 공격을 하고 자금을 갈취하는 해커 집단이 출현해, 보안업계에 비상이 걸렸다. 해킹한 기업의 내부 정보를 미끼로 수차례 돈을 뜯어내고, 국가정보원 등 정부 기관에 신고하지 못하도록 협박해 기업 부담이 커지고 있다.

귀신 랜섬웨어에 감염되면 화면이 위처럼 바뀌게 된다. (사진=이데일리DB)


SK쉴더스는 25일 공개한 ‘귀신 랜섬웨어 공격 분석 리포트’에서 “3중 협박하며 금전을 갈취하는 ‘귀신 랜섬웨어’에 각별한 주의가 필요하다”며 이같이 밝혔다. 이들은 ‘귀신(GWISIN)’이라는 이름을 사용하며 국내 의료기관, 제약사, 금융기관 등 불특정 다수의 기업을 대상으로 사이버 공격을 진행 중이다. 국내 기업만을 겨냥한 대규모 랜섬웨어 공격은 이번이 처음이다.

리포트에 따르면 귀신 랜섬웨어 공격은 기업의 내부 시스템 침투, 내부 구조 확인, 정보 유출, 랜섬웨어 감염까지 평균 21일이 걸렸다. 이는 최소 67일이 걸리는 기존 지능형 지속 위협(APT·Advanced Persistence Threat)의 공격 시간보다 3배나 빠른 것이다.

이들은 ‘복호화 키 전달’, ‘기밀 데이터 공개’, ‘보안 취약점 보고서 제공’ 등 3단계에 걸쳐 수차례 금전을 요구했다. 다크웹을 통해 공격 대상의 임직원 계정 정보를 입수하고, 피싱 메일(낚시처럼 개인정보를 탈취하는 메일) 발송 등의 공격을 통해 기업의 가상사설망(VPN) 정보, 이메일 정보를 빼갔다.

이후 이들은 이렇게 얻은 정보를 통해 초기 공격 거점을 정했다. 이어 악성코드를 유포해 기업 내부 네트워크를 장악하고, 내부 기밀 데이터를 탈취했다. 이 과정에서 ‘돈을 송금하지 않으면 내부 자료를 유출할 것’이라고 지속적으로 협박했다. 다크웹 검색 사이트를 개설해 일반인들도 협박하고 금전까지 요구했다.

특히 이들은 랜섬웨어 공격 시 메시지를 남기는 랜섬 노트에 ‘국정원, 경찰청, 한국인터넷진흥원(KISA), SK쉴더스 등에 신고하지 마라’고 적시하기도 했다. SK쉴더스에서 침해사고 분석과 대응을 전담하고 있는 탑서트(Top-CERT) 관계자는 “금전을 획득하기 위해 동원할 수 있는 모든 방법을 사용하고 있어 각별한 주의가 요구된다”고 지적했다.

SK쉴더스는 △다차원의 방어 체계 △주기적인 취약점 진단 △본사뿐 아니라 협력업체 보안·운영 솔루션 점검 △24시간 365일 모니터링을 통한 보안관제 운영 등이 필요하다고 지적했다. 보안 단계별 방어 요소를 마련해 랜섬웨어 감염 전에 탐지하고 차단할 수 있는 대책도 마련해야 한다고 덧붙였다.

김병무 SK쉴더스 클라우드사업본부장은 “귀신 랜섬웨어는 국내 기업을 겨냥해 고도화된 공격을 펼치면서도 기업 해킹을 통해 얻은 정보를 악용해 개인에게까지 피해를 확대하는 점에서 수법이 매우 악랄하다”며 “진화하고 있는 랜섬웨어 공격에 대응하기 위해 일차원적인 대책 마련이 아닌 심층적인 원인 분석과 종합적인 보안 전략을 수립해 나가야 한다”고 강조했다.

SK쉴더스는 사이버보안 1위 기업으로, △사이버보안(인포섹) △융합보안(SUMiTS) △물리보안(ADT캡스) △안전 및 케어(Safety&Care) 등 4대 핵심 사업을 아우르는 ‘라이프 케어 플랫폼 기업’을 지향한다. 올해 3월 국내외 주요 기업과 함께 랜섬웨어 대응 협의체 ‘카라(KARA·Korea Anti-Ransomware Alliance)’를 발족하고, ‘랜섬웨어 대응 센터’를 운영 중이다. (사진=SK쉴더스)


주요 뉴스

ⓒ종합 경제정보 미디어 이데일리 - 상업적 무단전재 & 재배포 금지