SGI서울보증 랜섬웨어 해킹를 통해 알아보는 예방수칙

# 랜샘웨어(RansomWare) 란 ?

몸값(Ransom)과 소프트웨어(Software)가 합쳐진 용어로 해커가 사용자 PC를 인질로 삼아 금품(최근엔 비트코인 요구)을 요구하는 보안 공격을 의미 합니다.  랜섬웨어에 걸리게 되며 컴퓨터에 저장된 데이터에 바이러스 감염되고, 해커는 모든 파일에 암호를 걸어 PC사용자는 자신의 파일을 열어 볼 수 없게 됩니다.    해커들은 이를 노리고 금품을 요구하게 됩니다.  일단 걸리게 되면 복구가 불가능 하거나 용량에 따라 어마한 비용이 들고 또한 완벽한 복구가 불가능 하기 때문에 사용자들의 세심한 주의가 필요합니다.

 

2025년 7월 14일 새벽, SGI서울보증은 원인을 알 수 없는 경로를 통해 건라(Gunra)계열의 랜섬웨어에 감염됐습니다.  건라(Gunra)는 콘티v2(Conti v2)기반의 신종 랜섬웨어로 2025년 4월 첫 등장했습니다.  건라(Gunra)는 보통 5일 이내 협상에 응하지 않을 경우 파일 복호화 키 제공 거부 및 유출 데이터를 다크웹에 공개하는 협박하는 방법을 사용 합니다.

관계자에 따르면 공격자는 감염 직후 보안 백신 및 데이터베이스 관련 주요 프로세스를 먼저 종료시켜 방어 체계를 무력화 하고 이후 시스템 전체 드라이브를 순회하며 파일을 탐색한 뒤 크기 조건에 따라 세밀하게 구성된 암호화를 수행한 것으로 나타났습니다.

1MB 이하 파일은 전체 암호화를 진행, 1MB~5MB 사이 파일은 앞부분 1MB만 부분 암호화했습니다.  5MB 이상 파일은 전체 크기의 7%를 기준으로 3개 지점(청크)을 암호화했으며, 암호화 알고리즘은 ChaCha8 + RSA 복합 방식을 탑재해 단순 복호화 로는 복원이 불가능하며 높은 연산 난이도를 요구하는 암호화 였습니다.

공격자는 시스템 복원 기능을 방해하기 위해 쉐도우 복사본 삭제 명령(WMIC.exe를 활용한 명령어 실행)까지 실행했으며 특정조건이 충족되면 암호화 작업을 중단하도록 하는 명령어(stopmarker) 파일이 발견될 경우 해당 디렉토리의 암호화를 중단하는 조건도 포함  돼 있었습니다.

▶︎ Stopmarker 란 ? 특정 조건이 충족되면 암호화 작업을 중단하도록 설정된 파일 또는 명령을 의미합니다. 주로 랜섬웨어 공격에서 사용되며, 공격 대상 시스템에 특정 파일이 존재할 경우 암호화 과정을 중단하거나, 다른 행동을 수행하도록 설정됩니다. 

공격자는 파일을 암호화해 랜섬웨어 공격으로 암호화된 파일에 추가되는 확장자(ENCRT) 확장자를 붙였고 톡스(Tox) ID를 통해 협상 접촉을 시도한 것으로 알려졌다. 보안 전문가들은 건라(Gunra) 랜섬웨어 조직이 자료 암호화와 유출 협박을 병행하는 이중 협박 방식을 사용하므로 이미 SGI서울보증의 민감 데이터가 외부로 유출됐을 가능성도 배제할 수 없는 상황이라고 분석하고 있습니다. 다만 현재까지 유출 여부와 2차 피해에 대한 분석은 금융보안원과 관련 기관을 중심으로 진행 중입니다.

▶︎ ENCRT 란 ? 랜섬웨어 공격으로 암호화된 파일에 추가되는 확장자입니다. 공격자는 파일을 암호화한 후, '.ENCRT' 확장자를 붙이고 복구를 위한 몸값을 요구합니다. 주로 랜섬웨어 조직이 자료 암호화와 유출 협박을 병행하는 이중 협박 방식을 사용하며, 공격자는 톡스(Tox) ID를 통해 협상 접촉을 시도합니다.