.jpg)
[3줄 요약]
1. 건라, 다크웹에 게시한 SGI서울보증 관련 게시물 삭제
2. 데이터 판매 노리는 일반적 랜섬웨어 사건과 다른 행보
3. 데이터 삭제하기로 협상했거나, 암호화 데이터 해독 성공했을 가능성 제기
[보안뉴스 조재호 기자] 해킹 그룹 ‘건라’가 SGI서울보증에서 탈취한 데이터와 관련, 다크웹에 올렸던 게시물을 최근 삭제했다. 지난달 13.2 테라바이트(TB)에 달하는 대규모 데이터 탈취를 주장한 이후 한 달 만이다.
앞서 8월 12일 건라는 SGI서울보증의 오라클 DB에서 13.2TB 규모의 데이터를 탈취했다며, 이 데이터를 함께 분석할 해커를 찾는다는 내용의 게시물을 올렸다.
▲건라의 다크웹페이지 [자료: 보안뉴스]
당시 이들은 “우리는 방대한 분량의 보험 데이터베이스를 확보했지만, 분석 인력이 충분하지 않다. 당신이 원한다면 합류해 분석해 달라”(We have huge amount of insurance database. But not enough database analyze staff. If you want please join us to analyze this database)는 메시지를 다크웹에 게시했다.
그러나 이달 초 건라는 SGI서울보증을 다크웹에 있는 피해자 목록에서 제외했다. 데이터 공개를 위해 함께 분석을 수행할 사람을 모집하다 돌연 모든 행보를 멈춘 것이다.
통상 랜섬웨어 공격자들은 시스템에 침투해 데이터를 암호화하고 업무를 마비시킨 후, 복호화 키 제공을 빌미로 금전을 갈취한다. 또 기업 및 고객 데이터를 탈취해 유출한다고 협박하며 다시 돈을 요구한다. 자신들이 정한 기한을 넘기면 인질로 확보한 데이터를 다크웹에 공개하거나 팔아버리는 것이 일반적이다.
이런 가운데, 스스로 게시물을 내린 건라의 움직임을 두고 몸값을 받았기 때문 아니냐는 등 여러 추측도 나온다. 한 정보보호 전문가는 “건라가 데이터 해석을 마치고 새로운 협상을 위해 기존 게시물을 삭제했거나, 협상으로 몸값을 받고 데이터를 삭제한 것일 수 있다”며 “다만, 수익을 위해 활동하는 범죄 집단인만큼 후자에 더 무게가 실린다”고 말했다.
건라는 올해 4월 활동이 포착된 신규 랜섬웨어 조직이다. 리눅스 버전 백신 보급률이 낮은 등 악성코드 대응에 취약한 국내 기업도 주요 타겟이 되고 있다. 건라는 최근 최근 중견 전자부품 제조 기업 삼화콘덴서 시스템에 침입했다며, 회사 내부 문건 등 114GB 분량의 데이터를 다크웹에 공개했다.
또 다른 보안 업계 전문가는 “SGI서울보증은 초기 버전 랜섬웨어 취약점을 이용해 자체 복호화에 성공한 매우 드문 케이스”라며 “삼화콘덴서 등 국내를 타겟으로 한 공격이 추가된 만큼 경각심을 가지고 대응해야 할 것”이라고 말했다.
건라의 데이터 탈취에 대해 SGI서울보증은 “대용량 내부 정보가 유출된 정황은 확인된 바 없다”는 입장이다. 이번 피해자 목록 삭제와 게시물 삭제에 대해서도 “확인된 부분은 없다”고 밝혔다.
[조재호 기자(sw@boannews.com)]
1. 건라, 다크웹에 게시한 SGI서울보증 관련 게시물 삭제
2. 데이터 판매 노리는 일반적 랜섬웨어 사건과 다른 행보
3. 데이터 삭제하기로 협상했거나, 암호화 데이터 해독 성공했을 가능성 제기
[보안뉴스 조재호 기자] 해킹 그룹 ‘건라’가 SGI서울보증에서 탈취한 데이터와 관련, 다크웹에 올렸던 게시물을 최근 삭제했다. 지난달 13.2 테라바이트(TB)에 달하는 대규모 데이터 탈취를 주장한 이후 한 달 만이다.
앞서 8월 12일 건라는 SGI서울보증의 오라클 DB에서 13.2TB 규모의 데이터를 탈취했다며, 이 데이터를 함께 분석할 해커를 찾는다는 내용의 게시물을 올렸다.
▲건라의 다크웹페이지 [자료: 보안뉴스]
당시 이들은 “우리는 방대한 분량의 보험 데이터베이스를 확보했지만, 분석 인력이 충분하지 않다. 당신이 원한다면 합류해 분석해 달라”(We have huge amount of insurance database. But not enough database analyze staff. If you want please join us to analyze this database)는 메시지를 다크웹에 게시했다.
그러나 이달 초 건라는 SGI서울보증을 다크웹에 있는 피해자 목록에서 제외했다. 데이터 공개를 위해 함께 분석을 수행할 사람을 모집하다 돌연 모든 행보를 멈춘 것이다.
통상 랜섬웨어 공격자들은 시스템에 침투해 데이터를 암호화하고 업무를 마비시킨 후, 복호화 키 제공을 빌미로 금전을 갈취한다. 또 기업 및 고객 데이터를 탈취해 유출한다고 협박하며 다시 돈을 요구한다. 자신들이 정한 기한을 넘기면 인질로 확보한 데이터를 다크웹에 공개하거나 팔아버리는 것이 일반적이다.
이런 가운데, 스스로 게시물을 내린 건라의 움직임을 두고 몸값을 받았기 때문 아니냐는 등 여러 추측도 나온다. 한 정보보호 전문가는 “건라가 데이터 해석을 마치고 새로운 협상을 위해 기존 게시물을 삭제했거나, 협상으로 몸값을 받고 데이터를 삭제한 것일 수 있다”며 “다만, 수익을 위해 활동하는 범죄 집단인만큼 후자에 더 무게가 실린다”고 말했다.
건라는 올해 4월 활동이 포착된 신규 랜섬웨어 조직이다. 리눅스 버전 백신 보급률이 낮은 등 악성코드 대응에 취약한 국내 기업도 주요 타겟이 되고 있다. 건라는 최근 최근 중견 전자부품 제조 기업 삼화콘덴서 시스템에 침입했다며, 회사 내부 문건 등 114GB 분량의 데이터를 다크웹에 공개했다.
또 다른 보안 업계 전문가는 “SGI서울보증은 초기 버전 랜섬웨어 취약점을 이용해 자체 복호화에 성공한 매우 드문 케이스”라며 “삼화콘덴서 등 국내를 타겟으로 한 공격이 추가된 만큼 경각심을 가지고 대응해야 할 것”이라고 말했다.
건라의 데이터 탈취에 대해 SGI서울보증은 “대용량 내부 정보가 유출된 정황은 확인된 바 없다”는 입장이다. 이번 피해자 목록 삭제와 게시물 삭제에 대해서도 “확인된 부분은 없다”고 밝혔다.
[조재호 기자(sw@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg)