PowerShell·GPO 악용해 보안 무력화 후 도메인 전체 장악, 다중 OS 대상 범용 공격 수행
랜섬웨어 생태계 확장 속 공격 속도전 심화... 2026년 1분기 2059건 디지털 갈취 발생

[보안뉴스 김형근 기자] 글로벌 보안 기업 체크포인트(Check Point)는 ‘더 젠틀맨’(The Gentlemen) 랜섬웨어 조직이 배후에서 조종하는 시스템BC(SystemBC) C2 서버를 추적한 결과, 1570개 넘는 기업의 네트워크가 감염된 사실을 확인했다고 밝혔다.


[출처: gettyimagesbank]

2025년 7월 등장한 이 조직은 데이터 유출 사이트에 이미 320개 이상의 피해 기업을 공개하며, 단기간에 가장 왕성하게 활동하는 위협 세력으로 급부상했다. 이들은 고(Go) 언어 기반의 로커를 사용해 윈도우, 리눅스, NAS, BSD 등 기종을 가리지 않고 무차별적으로 타격하는 고도의 범용성을 과시한다.

특히 공격 과정에서 윈도우 디펜더(Windows Defender)를 무력화하기 위해 파워쉘 스크립트를 밀어 넣어 실시간 감시를 중단시키고 방화벽을 강제로 해제한다. 공격자들은 그룹정책개체(GPO)를 악용해 도메인 전체를 장악하는 수법을 쓰며, 보안 벤더별 맞춤형 전술을 구사하는 등 타깃 환경을 정밀하게 사전에 정찰한다.

시스템BC 프록시 멀웨어를 통해 SOCKS5 네트워크 터널을 구축하고, 암호화된 통신으로 보안망의 감시를 회피하며 추가 악성 페이로드를 주입한다.

체크포인트의 엘리 스마드자(Eli Smadja) 팀장은 이들이 기존 범죄 생태계보다 파격적인 수익 배분을 제안하며 유능한 파트너들을 끌어모으고 있다고 경고했다.

최근 랜섬웨어 공격은 방어자의 대응이 늦은 밤이나 주말을 틈타 단 몇 시간 만에 초기 침투부터 전체 암호화까지 끝내는 속도전을 특징으로 한다. 카이버(Kyber)나 아키라(Akira) 같은 신흥 랜섬웨어들도 가세하면서 2026년 1분기에만 2059건 이상의 중대한 디지털 갈취 사건이 발생하는 등 위기가 심화되고 있다.

수사 당국의 압박에도 불구하고 이들은 브랜드 이름을 바꾸거나 인프라를 공유하는 치밀한 재생산 전략을 통해 위협을 세계로 확산시키고 있다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>