[디지털데일리 김보민기자] 신종 랜섬웨어 '건라(Gunra)'가 한국 기업을 연속 공격하고 있다는 분석이 나왔다. 첫 활동이 포착된 이후 1년이 채 되지 않아, 공격 방식과 대응 방안을 파악하는 것이 중요하다는 의견이 나온다.

20일 글로벌 사이버보안 기업 그룹아이비(Group-IB)의 9월 위협 분석 보고서에 따르면, 랜섬웨어 조직 건라는 지난 10일 공작기계 기업 '화천기계(Hwacheon Machinery America, Inc)'의 데이터를 유출했다. 공격자는 데이터를 탈취했다는 증거를 공개하며, 몸값을 비롯한 요구사항을 충족하지 않을 시 민감 데이터를 공개하겠다고 위협했다.

화천기계 사고가 수면 위로 올라온 지 약 일주일 전에도 위협은 계속됐다. 건라는 지난 3일 삼화콘덴서(Samwha Capacitor Group) 데이터를 유출했다. 8월에는 SGI서울보증이 공격을 받았다.

건라는 지난 4월 처음 활동이 포착된 랜섬웨어로, 2022년 유출된 콘티(Conti) 랜섬웨어의 소스코드를 기반으로 파생됐다. 일각에서는 '포스트 콘티(Post-Conti)'라고 부르기도 한다. 콘티의 특성을 이어받은 만큼 다중 스레드 기반 암호화 처리, 서비스 및 보안 프로세스 강제 종료 루틴, 네트워크 공유 탐색 로직을 계승했다.

최근에는 윈도 버전을 넘어 리눅스 버전까지 배포된 점이 확인되고 있다. 보안업계에서는 건라 조직이 활동 영역을 확장하려는 움직임을 보인 것이라고 평가 중이다. 공격 산업군도 다양해지고 있다. 특히 보건 의료, 보험, 정보기술(IT) 인프라 관리 기업 등 고가치 산업군을 조준하는 것으로 알려졌다.

건라 운영자들은 다크웹에 구축한 인프라를 통해, 자신들이 공격에 성공한 기업에 대한 감염 사실을 알리는 사이트를 운영하고 있다. 최근에는 40테라바이트(TB) 이상의 민감 환자 데이터가 유출된 두바이 내 아메리칸호스피탈두바이의 피해 사실을 블로그에 게시한 바 있다.

그룹아이비는 건라 랜섬웨어의 공격이 고도화된 만큼, 예방과 사후 대응에 집중해야 한다고 제언했다. 그룹아이비는 "피해를 입은 경우, 경험이 풍부한 사건 대응 팀과 즉시 대응하는 것이 필수적"이라며 "자체 내부 대응 능력이 있더라도 특정 위협에 대처할 수 있는 제3자와 함께 내부 자원을 보강해야 한다"고 제언했다.

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -