"SK쉴더스에 신고하지마"…국내 기업만 때리는 해커 '귀신' 주의보

SK쉴더스 '귀신' 공격 전략과 대응방안 담은 보고서 공개(SK쉴더스 제공)

귀신(Gwisin) 랜섬웨어 감염 화면(SK쉴더스 보고서 갈무리)

(서울=뉴스1) 오현주 기자 = 최근 국내 기업만을 공격하는 랜섬웨어 집단 '귀신'(Gwisin)에 대한 주의가 요구된다.

SK그룹 보안기업 SK쉴더스는 신흥 해커 조직 '귀신'의 공격 전략과 대응 방안을 담은 보고서를 25일 공개했다.

귀신은 지난해부터 △의료기관 △제약사 △금융기관 등을 대상으로 랜섬웨어 공격을 가한 집단이다.

랜섬웨어는 컴퓨터 데이터에 암호를 걸어 쓸 수 없는 상태로 만든 뒤 현금이나 암호화폐를 요구하는 행위다.

SK쉴더스는 '귀신'을 한국어를 사용하는 조직 또는 국내 사정에 능통한 해커가 참여한 집단으로 보고 있다.

실제로 해커는 랜섬웨어 공격 시 메시지를 남기는 일명 '랜섬 노트'에 '국내 보안 유관기관과 SK쉴더스에 신고하지 말라'는 내용을 담았기 때문이다. 국내 기업만을 타깃으로 한 최초의 대형 공격이라는 것도 눈여겨볼 부분이다.

조직은 피싱(phishing) 메일 등을 보내 기업 임직원 정보를 빼낸 다음, 기업 내부 네트워크를 장악해 기밀 데이터를 뺏고 금전을 요구한 것으로 분석됐다. 구체적으로 귀신은 △복호화 키 전달 △기밀 데이터 △보얀 취약점 보고서 제공 등 3단계에 걸쳐 피해 기업들을 협박했다.

이들은 랜섬웨어 공격까지 평균 21일이 걸린다는 점에서 고도화된 해킹 기술을 가진 것으로 관측된다. 기존 지능형 지속 위협(ATP) 공격이 최소 67일이 걸린 것과 비교하면 상당히 짧은 시간이다.

귀신 랜섬웨어 공격에 대비하기 위해서는 다차원의 방어 체계가 필요하다고 SK쉴더스 측은 설명했다. △기업·협력업체 내부 보안·운영 솔루션 점검 △엔트포인트 침임 탐지 및 대응(EDR) 솔루션 도입 △24시간 365일 보안 장비 모니터링이 권고된다.

김병무 SK쉴더스 클라우드사업본부장은 “귀신 랜섬웨어는 국내 기업을 타깃으로 한 고도화된 공격을 펼치면서도 기업 해킹을 통해 얻은 정보를 악용해 개인에게까지 피해를 확대한다는 점에서 수법이 매우 악랄하다"며 "진화하는 랜섬웨어에 대응하기 위해 심층 분석과 종합 보안 전략을 수립해 나가야 한다"고 말했다.