.gif)
SGI서울보증 공격 배후로 ‘건라’ 랜섬웨어 조직 주목
고가치 산업군 정조준…전세계적 피해 확산
[보안뉴스 여이레 기자] SGI서울보증이 전산 시스템 전체가 마비되는 대규모 랜섬웨어 해킹 공격을 당하면서 공격의 배후로 추정되는 ‘건라’(GUNRA)가 주목받고 있다. SGI 측은 국회에 제출한 보고서를 통해 랜섬웨어 그룹의 정체는 불확실하지만 이들이 건라의 공격패턴과 유사점이 있음을 인정한 바 있다.
[자료: gettyimagesbank]
건라는 지난 4월 등장한 신종 랜섬웨어 조직으로 제조·헬스케어·정보기술(IT)·소비자 서비스 등 고가치 산업군을 정조준해 빠른 속도로 공격 대상을 확대해 왔다.
이들은 러시아 기반 해킹 그룹 ‘위저드 스파이더’(Wizard Spider)가 개발한 랜섬웨어 ‘콘티’(Conti)의 소스코드를 기반으로 기술을 발전시켰다. 내부 구조와 범죄 생태계 역시 콘티 계열 조직의 특징을 그대로 계승했다는 것이 전문가들의 공통된 분석이다.
콘티 계열에서 파생된 신생 조직답게 러시아 해커 네트워크 및 랜섬웨어 카르텔 구조 하에서 조직별 역할 분담과 함께 대행 서비스까지 운영하는 등 ‘사이버 범죄의 기업화’ 현상이 뚜렷하다.
건라의 공격은 이메일 피싱, 악성문서·압축파일, 허위 소프트웨어 업데이트 유포 등 다양한 경로로 시작된다. 감염 이후엔 네트워크 전체로 순식간에 확산될 수 있다.
이들은 C/C++로 개발된 고도화된 악성코드와 안티포렌식·탐지회피 기능을 대거 탑재한 랜섬웨어를 주무기로 내세워 보안망을 우회하고 감염 시스템의 데이터까지 완전히 암호화한 뒤 몸값을 요구한다.
감염된 기업 데이터 파일에 ‘.ENCRT’라는 확장자를 붙이고 각 폴더마다 ‘R3ADM3.txt’라는 랜섬노트를 생성한다. 이 랜섬노트에는 피해자와 ‘매니저’가 소통하는 메신저 역할을 하는 토르(Tor) 기반 협상 포털 접속 안내가 적혀 있다. 다만 SGI는 정체가 불확실한 랜섬웨어 그룹이 ‘이메일’을 통해 접촉해 왔다는 입장이다.
건라에 의한 피해 사례는 2025년 봄 이후 브라질, 일본, 이집트, 파나마, 이탈리아, 아랍에미레이트(UAE) 등 전 세계로 확산되고 있다. 실제 UAE의 한 대형 의료기관에서는 4억5000만 건이 넘는 환자정보 유출을 빌미로 막대한 금전을 요구하기도 했다. 피해 기업들은 업무 중단, 데이터 유출·사업 신뢰도 하락, 법적·금전적 리스크 등 2차 피해까지 겪고 있다.
보안전문가들은 “건라를 비롯한 러시아계 신종 랜섬웨어 조직들은 국경과 업종에 구애받지 않고 치밀하게 공격 대상을 선정한다”며 “데이터 백업, 최첨단 보안체계 강화, 전사적 대응 역량 강화가 필요한 시점”이라고 강조했다.
한편, 콘티 랜섬웨어 조직은 2022년 해체됐으나 기존 콘티 계열 인력과 소스코드는 건라와 같은 다양한 신흥 랜섬웨어 조직으로 분화 및 재조직됐다.
대표적인 콘티 기반 랜섬웨어 조직들로는 △고도화된 암호화와 협박 전술을 구사하는 블랙바스타(BlackBasta) △협상가, 정보 분석가 등 기존 콘티 조직원들과 인적 네트워크를 공유하며 다양한 공격 전술을 활용하는 하이브(Hive) △데이터 유출 특화 조직 카라쿠르트(KaraKurt)와 바카르콜(Bazarcall) 등이 있다.
[여이레 기자(gore@boannews.com)]
고가치 산업군 정조준…전세계적 피해 확산
[보안뉴스 여이레 기자] SGI서울보증이 전산 시스템 전체가 마비되는 대규모 랜섬웨어 해킹 공격을 당하면서 공격의 배후로 추정되는 ‘건라’(GUNRA)가 주목받고 있다. SGI 측은 국회에 제출한 보고서를 통해 랜섬웨어 그룹의 정체는 불확실하지만 이들이 건라의 공격패턴과 유사점이 있음을 인정한 바 있다.
[자료: gettyimagesbank]
건라는 지난 4월 등장한 신종 랜섬웨어 조직으로 제조·헬스케어·정보기술(IT)·소비자 서비스 등 고가치 산업군을 정조준해 빠른 속도로 공격 대상을 확대해 왔다.
이들은 러시아 기반 해킹 그룹 ‘위저드 스파이더’(Wizard Spider)가 개발한 랜섬웨어 ‘콘티’(Conti)의 소스코드를 기반으로 기술을 발전시켰다. 내부 구조와 범죄 생태계 역시 콘티 계열 조직의 특징을 그대로 계승했다는 것이 전문가들의 공통된 분석이다.
콘티 계열에서 파생된 신생 조직답게 러시아 해커 네트워크 및 랜섬웨어 카르텔 구조 하에서 조직별 역할 분담과 함께 대행 서비스까지 운영하는 등 ‘사이버 범죄의 기업화’ 현상이 뚜렷하다.
건라의 공격은 이메일 피싱, 악성문서·압축파일, 허위 소프트웨어 업데이트 유포 등 다양한 경로로 시작된다. 감염 이후엔 네트워크 전체로 순식간에 확산될 수 있다.
이들은 C/C++로 개발된 고도화된 악성코드와 안티포렌식·탐지회피 기능을 대거 탑재한 랜섬웨어를 주무기로 내세워 보안망을 우회하고 감염 시스템의 데이터까지 완전히 암호화한 뒤 몸값을 요구한다.
감염된 기업 데이터 파일에 ‘.ENCRT’라는 확장자를 붙이고 각 폴더마다 ‘R3ADM3.txt’라는 랜섬노트를 생성한다. 이 랜섬노트에는 피해자와 ‘매니저’가 소통하는 메신저 역할을 하는 토르(Tor) 기반 협상 포털 접속 안내가 적혀 있다. 다만 SGI는 정체가 불확실한 랜섬웨어 그룹이 ‘이메일’을 통해 접촉해 왔다는 입장이다.
건라에 의한 피해 사례는 2025년 봄 이후 브라질, 일본, 이집트, 파나마, 이탈리아, 아랍에미레이트(UAE) 등 전 세계로 확산되고 있다. 실제 UAE의 한 대형 의료기관에서는 4억5000만 건이 넘는 환자정보 유출을 빌미로 막대한 금전을 요구하기도 했다. 피해 기업들은 업무 중단, 데이터 유출·사업 신뢰도 하락, 법적·금전적 리스크 등 2차 피해까지 겪고 있다.
보안전문가들은 “건라를 비롯한 러시아계 신종 랜섬웨어 조직들은 국경과 업종에 구애받지 않고 치밀하게 공격 대상을 선정한다”며 “데이터 백업, 최첨단 보안체계 강화, 전사적 대응 역량 강화가 필요한 시점”이라고 강조했다.
한편, 콘티 랜섬웨어 조직은 2022년 해체됐으나 기존 콘티 계열 인력과 소스코드는 건라와 같은 다양한 신흥 랜섬웨어 조직으로 분화 및 재조직됐다.
대표적인 콘티 기반 랜섬웨어 조직들로는 △고도화된 암호화와 협박 전술을 구사하는 블랙바스타(BlackBasta) △협상가, 정보 분석가 등 기존 콘티 조직원들과 인적 네트워크를 공유하며 다양한 공격 전술을 활용하는 하이브(Hive) △데이터 유출 특화 조직 카라쿠르트(KaraKurt)와 바카르콜(Bazarcall) 등이 있다.
[여이레 기자(gore@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
