최근 국내에서 이른바 ‘귀신(Gwisin)’ 랜섬웨어 공격이 연이어 포착되면서 기업들의 보안망에 비상이 걸렸다. 한국 기업들을 목표로 하여 제작·유포 되고 있으며, 공격자가 한글 키보드 사용에 능숙하고 사이버보안 유관기관을 랜섬노트에 표기했다는 점 등을 미뤄봤을 때 국내 사정을 훤히 꿰뚫고 있는 해커가 공격 조직 내에 포함됐을 것으로 추정되고 있다.

1일 보안업계에 따르면 귀신 랜섬웨어가 처음으로 탐지된 것은 지난해 하반기 국내에서 나타났으며 현재까지 국외에서 해당 랜섬웨어 공격은 보고되지 않고 있다. 앞서 이스트시큐리티 시큐리티대응센터(ESRC)는 지난해 3분기 랜섬웨어 공격 동향 보고서를 통해 한국 기업이 주요 타겟으로 한 랜섬웨어인 귀신 랜섬웨어가 탐지됐다고 발표했었다.

지난달 말 안랩 ASEC도 최근 국내 기업을 겨냥해 공격하고 있는 해당 랜섬웨어 피해가 늘고 있다면서 특정 기업을 대상으로하여 제작·유포되고 있다고 전했다. 안랩관계자는 “귀신 랜섬웨어는 ‘매그니베르’랜섬웨어와 동일하게 윈도우 설치 패키지 파일인 MSI설치 파일 형태로 작동한다는 공통점을 가지고 있지만, 그 외에는 어떤 기존의 랜섬웨어와도 공통점이 없다” 면서 “파일을 암호화한 후 확장자를 변경하는데, 이때 대상 조직의 이름을 차용하고 랜섬웨어 설치 전 내부 시스템을 장악하는 것이 특징” 이라고 덧붙였다.

초기에는 단순하게 랜섬웨어를 배포하는 방식이었지만 최근에는 특정 취약점을 찾아내 집중적으로 공략하거나 3단계에 걸쳐 몸값을 요구하는 등의 수법을 쓰고 있다는 점도 특징이다. SK쉴더스 관계자는 “일반적으로 2중으로 몸값을 갈취하는 사례가 대부분인데 귀신 랜섬웨어는 ▼복호화 키 전달 ▼중요·개인정보 미공개 ▼침투경로 및 취약점 리포트 등 3단계에 걸쳐 협박과 협상을 진행하고 있다”고 분석했다.

이 관계자는 “기업 내의 액티브 디텍토리(AD) 서버를 겨냥한 단순한 해킹 공격이 아니라 타깃 기업의 시스템 허점을 장기간 분석하고 해당 취약점을 집중적으로 공격하는 형태를 보이고 있다”고 전했다.

귀신 랜섬웨어는 금융,제조,IT 등 다양한 유형의 기업을 대상으로 공격을 감행한 것으로 알려지고 있다. 불특정 다수를 겨냥한 무작위 공격이 아닌 특정 기업과 조직을 노려 공격한 정황이 있기는 하지만 이들의 공격 범위를 단정짓기는 어렵다는 것이 전문가들의 설명이다.

또 귀신 랜섬웨어 조직은 협상 과정에서도 한국 기업들의 정서를 이용하여 돈을 요구하는 등 국내 기업들의 사정에도 능통한 것으로 알려지고 있다. SK쉴더스 관계자는 “해당 랜섬웨어 조직이 한글 키보드 사용에 능숙하고 랜섬노트에 국가정보원과 경찰청, SK인포섹(SK쉴터스 과거 이름) 등 국내 사이버보안 유관 기업, 기업을 언급하고 있다는 점을 미뤄봤을 때 국내 사이버 보안 시스템 상황을 잘 알고 있는 해커가 포함되어 있을 것으로 추정되고 있다”고 설명했다.

랜섬웨어는 바이러스와 달리 윈도우를 재설치하더라도 보유중인 모든 문서, 영상, 이미지를 비롯한 모든 파일을 사용할 수 없게 만들며, 요구한 돈을 지불하더라도 복구해주지 않는 경우도 많기 때문에 무엇보다도 예방이 중요하다. 모르는 연락처로 온 메일의 첨부파일이나 확인되지 않은 링크 및 단축링크에 대해 각별한 주의가 필요하다고 전문가들은 조언했다.