국내 기업 특정해 노리는 ‘귀신’ 랜섬웨어, 공격 전략과 대응방안 분석해보니

고도화된 기술로 ‘복호화 키 전달-기밀 공개-보안 취약점 보고서 제공’ 절차 통해 금전 요구
SK쉴더스 탑서트, 귀신 랜섬웨어 그룹 공격 전략과 대응방안 25일 공개

[보안뉴스 김영명 기자] 지난해부터 국내 의료기관, 제약사, 금융기관 등 국내 불특정 다수의 기업을 대상으로 공격을 진행해 온 귀신(Gwisin) 랜섬웨어 그룹은 한국어 ‘귀신’을 사용하며, 랜섬노트에 국내 보안 유관기관을 비롯해 SK쉴더스에 신고하지 말라는 내용이 포함됐다. 이에 따라 한국어를 사용하는 조직 또는 국내 사정에 능통한 해커가 가담했을 것으로 추정하고 있다. 랜섬웨어 공격이 해외 조직을 중심으로 이뤄진 것에 비해 국내 기업만을 타깃으로 한 대형 공격은 처음 있는 일이다.

▲SK쉴더스-귀신(Gwisin) 랜섬웨어 공격 전략 분석 리포트 표지[이미지=SK쉴더스]

이러한 가운데 SK쉴더스(대표 박진효)는 최근 국내 기업만을 타깃으로 랜섬웨어 공격을 수행하고 있는 ‘귀신’ 랜섬웨어 그룹의 공격 전략과 대응방안을 25일 공개했다. SK쉴더스에서 침해사고 분석과 대응을 전담하고 있는 Top-CERT(탑서트)는 귀신 랜섬웨어 그룹의 공격 유형과 기법, 특장점 등을 사이버 공격 라이프사이클에 맞춰 세분해 분석했다.

귀신 랜섬웨어 공격은 기업의 내부 시스템 최초 침투 후 내부 구조 확인, 정보 유출, 랜섬웨어 감염까지 평균 21일밖에 걸리지 않는 것으로 조사됐다. 기존 APT 공격이 최소 67일 걸린 것에 비해 상당히 짧은 시간 내 공격을 정확하고 조직적으로 수행해 고도화된 해킹 기술을 보유한 것으로 탑서트는 판단했다. 이들은 ‘복호화 키 전달’, ‘기밀 데이터 공개’, ‘보안 취약점 보고서 제공’ 등 3단계에 걸쳐 금전을 요구하며 수법이 더욱 악랄해진 것으로 분석됐다.

▲SK쉴더스 탑서트, ‘귀신 랜섬웨어’ 공격 전략과 대응방안 공개[이미지=SK쉴더스]

시스템 취약점 정기 진단, EDR 솔루션 도입, 보안관제 도입 등 다중 보안시스템 구축 필요
SK쉴더스는 20여년간 축적한 위협 인텔리전스 데이터와 탑서트의 분석 역량을 더해 귀신 랜섬웨어 그룹을 분석하고 공격 전략과 대응방안이 담긴 리포트를 발표했다. 특히, 귀신 랜섬웨어 그룹이 사용한 전략과 전술을 사이버 공격 라이프사이클에 맞춰 단계별 예방·대응방안을 상세히 기술했다. 해킹 징후를 사전에 발견해 탐지하고, 해킹 공격 발생 시 상황별 조치 방안을 공유해 랜섬웨어 공격으로부터 피해를 최소화하도록 내용을 구성했다.

귀신 랜섬웨어 그룹은 다크웹을 통해 공격 대상의 임직원 계정정보 확보에 노력했으며, 피싱 메일 발송, 크리덴셜 스터핑(무차별 대입 방식) 등의 공격 방법을 사용해 공격 대상의 VPN 정보, 이메일 정보 등을 획득한 것으로 나타났다. 획득한 정보는 초기 공격거점 확보와 악성코드 업로드 통로로 활용해 기업 내부 네트워크 장악 후 내부 기밀 데이터를 탈취한 것으로 파악됐다. 이 과정에서 내부 파일을 암호화한 뒤 복호화의 대가와 유출 자료 공개 협박을 지속해서 이어가며 금전을 추가로 요구하기도 했다.

이 그룹은 피해 기업으로부터 획득한 개인정보를 기반으로 다크웹 검색 사이트를 개설해 수많은 개인에게도 협박을 시도하고 금전을 요구하는 행태를 보였다. 귀신 랜섬웨어 공격 그룹은 피해 기업으로부터 금전을 획득하기 위해 동원할 수 있는 모든 방법을 사용하고 기업 담당자와 개인을 압박해 주의가 요구된다.

SK쉴더스 탑서트는 귀신 랜섬웨어에 대비하기 위해 다차원의 방어 체계를 갖출 것을 강조했다. 먼저, 기업 내 구축된 시스템의 취약점을 주기적으로 진단해 초기 공격 유입 경로를 차단해야 한다. 기업 내부뿐만 아니라 협력업체에서 보유하고 있는 보안·운영 솔루션의 점검도 필수다. 기존의 패턴 기반의 탐지 패턴으로는 고도화된 랜섬웨어 공격에 대비하기 어렵기 때문에 EDR(엔드포인트 침입 탐지 및 대응) 솔루션을 도입해 행위 기반 탐지와 차단 체계를 강화해야 한다. 24시간 365일 보안 장비 모니터링을 통해 주기적으로 위협을 탐지하고 보안 체계를 강화하는 보안관제 도입도 고려하는 것이 좋다.

랜섬웨어 감염 전 탐지 및 차단 대책으로는 △다크웹 모니터링 △VPN 취약점 패치 △웹 방화벽과 접근제어 솔루션 구축 등 보안 단계별 방어 요소를 마련해야 한다. 자세한 대응방안과 귀신 랜섬웨어 공격 분석 리포트는 SK쉴더스 홈페이지에서 확인할 수 있다.

김병무 SK쉴더스 클라우드사업본부장은 “귀신 랜섬웨어는 국내 기업을 타깃으로 해 고도화된 공격을 펼치면서도 기업 해킹을 통해 얻은 정보를 악용해 개인에게까지 피해를 확대한다는 점에서 그 수법이 매우 악랄하다”며 “점점 진화하고 있는 랜섬웨어 공격에 대응하기 위해 심층적인 원인 분석과 종합적인 보안 전략을 수립해야 한다”고 밝혔다.

한편, SK쉴더스는 올해 3월 국내외 주요 기업과 함께 랜섬웨어 대응 협의체 ‘카라(KARA, Korea Anti-Ransomware Alliance)’를 발족했다. 또한, 랜섬웨어 대응센터도 운영하며 해킹 사고 발생 시 랜섬웨어 대응 프로세스에 따라 기술정보 공유, 모의 훈련, 자가점검 도구 등을 제공하고 있다. SK쉴더스는 앞으로도 ESG경영 실천의 하나로 주요 사이버 위협 정보와 대비책을 공유하는 활동을 지속해 나갈 예정이다.
[김영명 기자(sw@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)