• 최종편집 2024-03-28(목)
 

40.png

 

 

[시큐리티팩트=김상규 기자] SK쉴더스는 최근 국내 기업만을 타깃으로 랜섬웨어 공격을 수행하고 있는 ‘귀신(Gwisin)’ 랜섬웨어 그룹의 공격 전략과 대응 방안을 25일 공개했다. 


SK쉴더스에서 침해사고분석과 대응을 전담하고 있는 Top-CERT(탑서트)는 귀신 랜섬웨어 그룹의 공격유형/기법, 특장점 등을 사이버 공격 라이프 사이클에 맞춰 세분화해 분석했다. 

 

귀신 랜섬웨어 공격은 기업의 내부 시스템 최초 침투 후 내부 구조 확인, 정보 유출, 랜섬웨어 감염까지 평균 21일밖에 걸리지 않는 것으로 조사됐다. 


기존 지능형 지속 위협(APT) 공격이 최소 67일 걸린 것에 비해 상당히 짧은 시간 내 공격을 정확하고 조직적으로 수행하는 것으로 알려져 고도화된 해킹 기술을 보유하고 있는 것으로 Top-CERT는 판단했다. 또한 이들은 ‘복호화 키 전달’, ‘기밀 데이터 공개’, ‘보안 취약점 보고서 제공’ 등 3단계에 걸쳐 금전을 요구해 더욱 악랄해진 수법으로 공격을 수행하고 있는 것으로 분석됐다.

 

귀신 랜섬웨어 그룹은 다크웹을 통해 공격 대상의 임직원 계정 정보를 입수하는데 노력을 기울였으며 피싱 메일 발송, 크리덴셜 스터핑(무차별 대입 방식) 등의 공격 방법을 사용해 공격 대상의 가상사설망(VPN) 정보, 이메일 정보 등을 획득한 것으로 나타났다. 


이렇게 획득한 정보를 통해 초기 공격 거점을 확보하고 악성코드를 업로드 해 기업 내부 네트워크를 장악한 후 내부 기밀 데이터를 탈취한 것으로 파악됐다. 이 과정에서 내부 파일을 암호화한 뒤 복호화의 대가와 유출 자료를 공개한다는 협박을 지속적으로 이어가며 금전을 추가로 요구해 피해 규모를 확대시키기도 했다. 

 

SK쉴더스 Top-CERT는 귀신 랜섬웨어에 대비하기 위해 단일 시스템이 아닌 다차원의 방어 체계를 갖추어야 한다고 강조했다. 


기업은 자사내 구축된 시스템의 취약점을 주기적으로 진단해 초기 공격 유입 경로를 차단해야 한다. 기업 내부 뿐 아니라 협력업체에서 보유하고 있는 보안/운영 솔루션에 대한 점검도 필수적이다. 기존의 패턴 기반의 탐지 패턴으로는 고도화된 랜섬웨어 공격에 대비하기 어렵기 때문에 EDR 솔루션을 도입해 행위 기반 탐지와 차단 체계를 강화해야 한다. 


24시간 365일 보안 장비 모니터링을 통해 주기적으로 위협을 탐지하고 보안 체계를 강화하는 보안 관제 운영 도입도 고려해볼 수 있다. 

 

김병무 SK쉴더스 클라우드사업본부장은 “귀신 랜섬웨어는 국내 기업을 타깃으로 해 고도화된 공격을 펼치면서도 기업 해킹을 통해 얻은 정보를 악용해 개인에게까지 피해를 확대한다는 점에서 그 수법이 매우 악랄하다”며 “점점 진화하고 있는 랜섬웨어 공격에 대응하기 위해 일차원적인 대책 마련이 아닌, 심층적인 원인 분석과 종합적인 보안 전략을 수립해 나가야 한다”고 밝혔다.

 

 

태그

전체댓글 0

  • 58801
비밀번호 :
메일보내기닫기
기사제목
국내 기업 타킷 ‘귀신 램섬웨어’ 주의보…SK쉴더스 보고서 발간
보내는 분 이메일
받는 분 이메일