韓 맞춤형 랜섬웨어 '귀신' 5곳 털었다…과감한 지능범 '경고' [데이터링]

[아이뉴스24 김혜경 기자] 지난해 하반기 국내에서 처음 탐지된 한국 맞춤형 '귀신(Gwisin)' 랜섬웨어가 올해도 기승이다. 다른 랜섬웨어 그룹과 비교했을 때 상당히 높은 수준의 공격 기법과 협상 기술을 보유하고 있다는 평가다. 각별한 주의가 요구되는 이유다.

특히, 올해 말 공격을 감행하거나 목표물을 변경해 공공기관, 국가 주요 기반시설을 공격할 가능성도 배제할 수 없다는 게 최근 업계 분석이다.

1일 국내 보안업계에 따르면 지난해부터 올해까지 귀신 랜섬웨어 공격을 받은 곳은 총 5곳으로 알려졌다. 이중 1곳은 협상, 복구 등의 절차가 마무리됐으며 나머지 4곳의 대응은 현재 진행형이다.

전문가들은 공격자가 ▲한국 기업을 타깃으로 한다는 점 ▲한글 키보드 사용에 능숙하다는 점 ▲국내 사이버보안 유관기관을 랜섬노트(협박 메시지)에 언급했다는 점 등으로 미뤄봤을 때 한국어를 사용하는 조직이거나 국내 사정에 능통한 해커가 가담했을 것으로 추정하고 있다.

올해 4월 헬스케어업체 A사에서 전산 장애가 발생했다. 회사 측은 내부 경보 시스템을 통해 이를 인지한 후 전체 서버를 차단했고, 원인 분석 과정에서 사이버 공격 시도 가능성도 제기된 바 있다. 7월 말에는 국내 제약업체 B사가 랜섬웨어 공격을 받아 업무 수행에 차질을 빚었다.

익명을 요구한 한 보안 전문가는 "기술 수준이 상당히 높을 뿐만 아니라 내부 시스템 스캔 후 주저하지 않고 공격하는 과감한 행동력을 보이고 있다"며 "몸값 협상 절차까지 상당히 주도면밀하게 이뤄진다"고 말했다.

이어 "지난해 4월 처음으로 탐지됐고 하반기 침해사고가 발생했다"며 "올해는 1~2월과 3~4월, 7월에 피해 사례가 연이어 불거졌는데 이 같은 간격으로 봤을 때 올해 말 다시 공격이 이어질 가능성도 배제할 수 없을 것"이라고 덧붙였다.

또 피해 기업만 협박하는 것이 아닌 해당 업체가 보유한 개인정보를 이용해 개별 고객에 문자를 발송한다는 점도 특징이다. 이 전문가는 "몸값 협상이 제대로 이뤄지지 않을 경우 고객에 해킹 사실을 고지해 우회적으로 협박하는 것"이라며 "극히 드문 경우"라고 설명했다. 일종의 심리적인 압박 수단이라는 분석이다.

한국랜섬웨어침해대응센터가 파악한 귀신 랜섬웨어 관련 최초 피해는 지난해 8월 발생했다. 같은해 9월 한국인터넷진흥원(KISA)에도 피해가 접수된 바 있다.

침해대응센터 관계자는 "랜섬웨어 자체도 대단히 정교하지만 협상 기술도 세련됐다"며 "지난해 피해 신고 접수를 받고 기업 측과 대응하는 과정에서 이들 조직은 천만 달러(한화 약 135억5천만원)를 몸값으로 요구했다"고 설명했다.

이 관계자는 "귀신 랜섬웨어는 시스템 침투 후 짧게는 45일, 길게는 90일에 걸쳐 기업을 탐지한다"며 "이들은 기업의 매출 규모까지 분석해 자신들의 기대치보다 낮은 수준의 금액을 제시할 경우 타사와 비교하는 방식으로 협박하기도 한다"고 말했다.

귀신 랜섬웨어 그룹은 3단계에 걸쳐 금전을 요구한다. 첫 번째는 복호화 키와 프로그램은 제공하지만 데이터는 돌려주지 않으며, 백도어도 삭제 불가능하다. 두 번째는 데이터 회수와 백도어 삭제가 가능하며, 세 번째는 취약점 분석 보고서를 제공한다.

이 관계자는 "현재 일반백업은 삭제되고 있으므로 랜섬웨어를 방어할 수 있는 백업이 필요하다"며 "랜섬웨어 수준을 봤을 때 이들 조직이 만약 공공기관이나 국가 주요 기반 시설을 겨냥한다면 감당할 수 있을지 우려된다"고 전했다.