/pixabay
/pixabay

| 한스경제=전시현 기자 | 신종 랜섬웨어 ‘건라’가 한국 기업을 연이어 공격하고 있다는 분석이 나왔다. 활동이 포착된 지 1년도 되지 않았지만 공격 수법이 빠르게 진화하며, 보안 업계는 대응책 마련이 시급하다고 경고했다.

20일 글로벌 사이버보안 기업 그룹아이비(Group-IB)의 9월 위협 분석 보고서에 따르면, 건라 조직은 이달 10일 공작기계 기업 화천기계의 데이터를 탈취했다고 주장했다. 공격자는 데이터를 빼냈다는 증거를 다크웹에 공개하며, 요구 조건이 수용되지 않으면 민감 정보를 유출하겠다고 협박했다.

불과 일주일 전인 3일에도 삼화콘덴서가 피해 대상이 됐으며, 지난 8월에는 SGI서울보증이 공격을 당했다. 짧은 기간에 주요 기업들을 연속 타깃으로 삼은 셈이다.

건라는 지난 4월 처음 발견된 랜섬웨어로, 2022년 유출된 콘티 랜섬웨어의 소스코드를 기반으로 만들어졌다. 업계에서는 ‘포스트 콘티’라는 별칭으로 부른다. 콘티의 특성을 그대로 이어받아 다중 스레드 기반 암호화, 보안 프로세스 강제 종료, 네트워크 공유 탐색 등 고도화된 기능을 보유한 것이 특징이다.

최근에는 윈도 운영체제뿐 아니라 리눅스 버전까지 배포되면서 공격 범위를 넓히고 있다. 특히 보건 의료, 보험, IT 인프라 관리 기업 등 고가치 산업군을 정조준하며 타격력을 높이는 모습이다. 실제로 건라 운영자들은 다크웹 블로그에 자신들의 공격 성과를 게시하는데, 최근에는 두바이 아메리칸호스피탈에서 40테라바이트(TB)가 넘는 환자 데이터가 유출됐다며 이를 공개한 바 있다.

보안업계는 건라의 공격 수법이 정교해지고 있는 만큼 선제적 대응이 절실하다고 지적한다. 그룹아이비는 “피해를 입은 경우 경험 많은 사건 대응팀과 즉각 협력하는 것이 필수”라며 “내부 대응 역량이 있더라도 외부 전문 인력을 활용해 방어 체계를 보강해야 한다”고 강조했다.

전시현 기자

키워드

#보안 #건라 #그룹아이비 #삼화콘덴서 #랜섬웨어 #화천기계
저작권자 © 한스경제 무단전재 및 재배포 금지