'귀신(Gwisin)' 랜섬웨어가 3주 만에 기업 시스템을 장악하는 것으로 확인됐다. 일반 랜섬웨어 감염 기간의 약 3분의 1에 불과하다. 귀신 랜섬웨어는 개인 협박에도 이용되는 것으로 나타났다.
SK쉴더스는 귀신 랜섬웨어 그룹의 공격 전략과 대응 방안을 25일 공개했다.
귀신 랜섬웨어는 지난해부터 국내 의료기관, 제약사, 금융기관 등 국내 불특정 다수 기업을 대상으로 공격을 진행하고 있다. 한국에서 사용되는 단어인 '귀신'을 사용해 주목받고 있다. 랜섬웨어 공격 시 메시지를 남기는 랜섬 노트에 국내 보안 유관기관을 비롯해 SK쉴더스에 신고하지 말라는 내용이 있어 한국어를 사용하는 조직이거나, 국내 사정에 능통한 해커가 가담했을 것으로 추정하고 있다. 그간 랜섬웨어 공격은 해외 조직을 중심으로 이뤄진 것에 비해 국내 기업만을 타깃으로 한 대형 공격은 이번이 처음이다.
SK쉴더스에서 침해사고 분석과 대응을 전담하고 있는 Top-CERT(탑서트)는 귀신 랜섬웨어 그룹의 공격 유형/기법, 특장점 등을 사이버 공격 라이프 사이클에 맞춰 세분화했다.
분석 결과에 따르면 귀신 랜섬웨어 공격은 기업의 내부 시스템 최초 침투 후 내부 구조 확인, 정보 유출, 랜섬웨어 감염까지 평균 21일밖에 걸리지 않는 것으로 조사됐다. 기존 APT 공격이 최소 67일가량 소요된 것을 감안하면 짧은 시간 내 정확하고 조직적으로 공격을 수행한 것이다. 탑서트는 이를 귀신 랜섬웨어 조직이 고도화된 해킹 기술을 보유하고 있는 방증이라고 밝혔다.
귀신 랜섬웨어 그룹은 다크웹을 통해 공격 대상의 임직원 계정 정보를 입수하는 데 노력을 기울였다. 피싱 메일 발송, 크리덴셜 스터핑(무차별 대입 방식) 등의 공격 방법을 사용해 공격 대상의 VPN(가상사설망) 정보, 이메일 정보 등을 획득했다.
획득 정보를 통해 초기 공격 거점을 확보하고 악성코드를 올려 기업 내부 네트워크를 장악한 후 내부 기밀 데이터를 탈취했다. 이 과정에서 내부 파일을 암호화한 뒤 복호화의 대가와 유출 자료를 공개한다는 협박을 지속해서 이어가며 금전을 추가로 요구했다. 획득한 개인정보를 기반으로 다크웹 검색 사이트를 개설, 개인에게까지 금전 요구 협박을 한 것도 이번 조사를 통해 처음으로 드러났다.
탑서트는 단일 시스템이 아닌 다차원의 방어 체계를 갖추어야 한다고 강조했다. 기업 내 구축된 시스템의 취약점을 주기적으로 진단해 초기 공격 유입 경로를 차단할 것을 주문했다.
또 협력업체에서 보유하고 있는 보안·운영 솔루션에 대한 점검도 주문했다. 기존의 패턴 기반의 탐지 패턴으로는 고도화된 랜섬웨어 공격에 대비하기 어려우므로 엔드포인트 침입 탐지·대응(EDR) 솔루션을 도입해 행위 기반 탐지와 차단 체계를 강화해야 한다고 강조했다.
또한 △다크웹 모니터링, △VPN 취약점 패치, △ 웹 방화벽, 접근제어 솔루션 구축 등 보안 단계별 방어 요소를 마련해 랜섬웨어 감염 전 탐지하고 차단할 수 있는 대책을 마련해야 한다고 조언했다.
김병무 SK쉴더스 클라우드사업본부장은 “귀신 랜섬웨어는 국내 기업을 타깃으로 해 고도화된 공격을 펼치면서도 기업 해킹을 통해 얻은 정보를 악용해 개인에게까지 피해를 확대한다는 점에서 그 수법이 매우 악랄하다”며 “진화하는 랜섬웨어 공격에 대응하기 위해 심층적 원인 분석과 종합적 보안 전략을 수립해야 한다”고 당부했다.
최호기자 snoop@etnews.com
