UPDATED. 2022-12-09 19:57 (금)
국내 기업 노리는 '귀신 랜섬웨어' 주의 "다차원 방어 체계 갖춰야"
국내 기업 노리는 '귀신 랜섬웨어' 주의 "다차원 방어 체계 갖춰야"
  • 박광하 기자
  • 승인 2022.08.25 17:50
  • 댓글 0
이 기사를 공유합니다

SK쉴더스 Top-CERT
공격 수법·대응 방안 공개
SK쉴더스 Top-CERT가 '귀신 랜섬웨어' 공격 전략과 대응 방안을 공개했다. [자료=SK쉴더스]
SK쉴더스 Top-CERT가 '귀신 랜섬웨어' 공격 전략과 대응 방안을 공개했다. [자료=SK쉴더스]

[정보통신신문=박광하기자]

국내 기업만을 대상으로 랜섬웨어 공격을 벌이는 그룹이 맹렬하게 활동하고 있는 것으로 드러났다. 공격에 소요되는 기간이 대폭 짧아졌으며, 공격을 조직적으로 수행하는 점이 특징이다. 피해 방지를 위해서는 다차원의 방어 체계를 갖춰야 한다는 게 정보보호 전문기업의 의견이다.

SK쉴더스(대표이사 박진효)는 최근 국내 기업만을 타깃으로 랜섬웨어 공격을 수행하고 있는 '귀신(Gwisin)' 랜섬웨어 그룹의 공격 전략과 대응 방안을 담은 리포트를 최근 공개했다.

SK쉴더스에서 침해사고 분석과 대응을 전담하고 있는 탑서트(Top-CERT)는 귀신 랜섬웨어 그룹의 공격 유형·기법, 특장점 등을 사이버 공격 라이프 사이클에 맞춰 세분화해 분석했다.

지난해부터 국내 의료기관, 제약사, 금융기관 등 국내 불특정 다수의 기업을 대상으로 공격을 진행하고 있는 귀신 랜섬웨어 그룹은 한국에서 사용되는 단어인 '귀신'을 사용해 주목받고 있다.

또한, 랜섬웨어 공격 시 메시지를 남기는 랜섬 노트에 국내 보안 유관기관을 비롯해 SK쉴더스에 신고하지 말라는 내용이 있어 한국어를 사용하는 조직이거나, 국내 사정에 능통한 해커가 가담했을 것으로 추정하고 있다.

귀신 랜섬웨어 그룹이 북한과 관련된 것으로 보는 시각도 있다.

그간 랜섬웨어 공격은 해외 조직을 중심으로 이뤄진 것에 비해 국내 기업만을 타깃으로 한 대형 공격은 이번이 처음이다.

귀신 랜섬웨어 공격은 기업의 내부 시스템 최초 침투 후 내부 구조 확인, 정보 유출, 랜섬웨어 감염까지 평균 21일밖에 걸리지 않는 것으로 조사됐다.

귀신(Gwisin) 랜섬웨어 공격 전략 분석 리포트 표지. [자료=SK쉴더스]
귀신(Gwisin) 랜섬웨어 공격 전략 분석 리포트 표지. [자료=SK쉴더스]

기존 지능형 지속 위협(APT, Advanced Persistence Threat) 공격이 최소 67일 걸린 것에 비해 상당히 짧은 시간 내 공격을 정확하고 조직적으로 수행하는 것으로 알려져 고도화된 해킹 기술을 보유하고 있는 것으로 Top-CERT는 판단했다.

또한 이들은 '복호화 키 전달', '기밀 데이터 공개', '보안 취약점 보고서 제공' 등 3단계에 걸쳐 금전을 요구해 더욱 악랄해진 수법으로 공격을 수행하고 있는 것으로 분석됐다.

이에 SK쉴더스는 20여년간 축적한 위협 인텔리전스 데이터와 Top-CERT의 분석 역량을 더해 귀신 랜섬웨어 그룹을 분석하고 공격 전략과 대응 방안이 담긴 리포트를 발표했다.

특히, 귀신 랜섬웨어 그룹이 사용한 전략과 전술을 사이버 공격 라이프 사이클에 맞춰 각 단계별 예방·대응 방안에 대해 상세히 기술했다.

해킹 징후를 사전에 발견해 탐지하고, 해킹 공격이 발생했을 시 상황별 조치 방안을 공유해 랜섬웨어 공격으로부터 피해를 최소화할 수 있도록 내용을 구성했다.

우선, 귀신 랜섬웨어 그룹은 다크웹을 통해 공격 대상의 임직원 계정 정보를 입수하는 데 노력을 기울였으며 피싱 메일 발송, 무차별 대입 방식(크리덴셜 스터핑) 등의 공격 방법을 사용해 공격 대상의 가상사설망(VPN)·이메일 정보 등을 획득한 것으로 나타났다.

이렇게 획득한 정보를 통해 초기 공격 거점을 확보하고 악성코드를 업로드해 기업 내부 네트워크를 장악한 후 내부 기밀 데이터를 탈취한 것으로 파악됐다.

이 과정에서 내부 파일을 암호화한 뒤 복호화의 대가와 유출 자료를 공개한다는 협박을 지속적으로 이어가며 금전을 추가로 요구해 피해 규모를 확대시키기도 했다.

뿐만 아니라, 이들은 피해 기업으로부터 획득한 개인정보를 기반으로 다크웹 검색 사이트를 개설해 수많은 개인에게까지 협박을 시도하고 금전을 요구하는 행태를 보이고 있는 것으로 조사됐다.

귀신 랜섬웨어 공격 그룹은 피해 기업으로부터 금전을 획득하기 위해 동원할 수 있는 모든 방법을 사용하고 기업 담당자와 개인을 압박해 목적을 이루고 있어 각별한 주의가 요구된다.

SK쉴더스 Top-CERT는 귀신 랜섬웨어에 대비하기 위해 단일 시스템이 아닌 다차원의 방어 체계를 갖춰야 한다고 강조했다.

먼저, 기업 내 구축된 시스템의 취약점을 주기적으로 진단해 초기 공격 유입 경로를 차단해야 한다.

기업 내부뿐만 아니라 협력업체에서 보유하고 있는 보안·운영 솔루션에 대한 점검도 필수적이다.

기존의 패턴 기반의 탐지 패턴으로는 고도화된 랜섬웨어 공격에 대비하기 어렵기 때문에 엔드포인트 침입 탐지·대응(EDR) 솔루션을 도입해 행위 기반 탐지와 차단 체계를 강화해야 한다.

24시간 365일 보안 장비 모니터링을 통해 주기적으로 위협을 탐지하고 보안 체계를 강화하는 보안 관제 운영 도입도 고려해 볼 수 있다.

또한 △다크웹 모니터링 △VPN 취약점 패치 △웹 방화벽, 접근제어 솔루션 구축 등 보안 단계별 방어 요소를 마련해 랜섬웨어 감염 전 탐지하고 차단할 수 있는 대책을 마련해야 한다.

귀신 랜섬웨어 공격 분석 리포트는 SK쉴더스 웹사이트 내 '고객지원-다운로드-Report'를 통해 확인할 수 있다.

김병무 SK쉴더스 클라우드사업본부장은 "귀신 랜섬웨어는 국내 기업을 타깃으로 해 고도화된 공격을 펼치면서도 기업 해킹을 통해 얻은 정보를 악용해 개인에게까지 피해를 확대한다는 점에서 그 수법이 매우 악랄하다"며 "점점 진화하고 있는 랜섬웨어 공격에 대응하기 위해 일차원적인 대책 마련이 아닌, 심층적인 원인 분석과 종합적인 보안 전략을 수립해 나가야 한다"고 밝혔다.

한편, SK쉴더스는 올해 3월 국내외 주요 기업과 함께 랜섬웨어 대응 협의체 '카라(KARA, Korea Anti-Ransomware Alliance)'를 발족한 바 있다.

현재 '랜섬웨어 대응 센터'를 운영 중으로 해킹 사고 발생 시 랜섬웨어 대응 프로세스에 따라 기술정보 공유, 모의 훈련, 자가점검 도구 등을 제공하고 있다.

SK쉴더스는 앞으로도 ESG 경영 실천의 일환으로 주요 사이버 위협 정보와 대비책을 공유하는 활동을 지속해 나갈 예정이다.


관련기사

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.

  • [인터넷 신문 등록 사항] 명칭 : ㈜한국정보통신신문사
  • 등록번호 : 서울 아04447
  • 등록일자 : 2017-04-06
  • 제호 : 정보통신신문
  • 대표이사·발행인 : 문창수
  • 편집인 : 이민규
  • 편집국장 : 박남수
  • 서울특별시 용산구 한강대로 308 (한국정보통신공사협회) 정보통신신문사
  • 발행일자 : 2022-12-09
  • 대표전화 : 02-597-8140
  • 팩스 : 02-597-8223
  • 청소년보호책임자 : 이민규
  • 사업자등록번호 : 214-86-71864
  • 통신판매업등록번호 : 제 2019-서울용산-0472호
  • 정보통신신문의 모든 콘텐츠(영상,기사, 사진)는 저작권법의 보호를 받은바, 무단 전재·복사·배포 등을 금합니다.
  • Copyright © 2011-2022 정보통신신문. All rights reserved. mail to webmaster@koit.co.kr
인터넷신문위원회 abc협회 인증 ND소프트