‘귀신(Gwisin)랜섬웨이‘ 해킹 단체는 ?

[디지털비즈온 이호선 기자] 귀신(GWISIN) 은 한국의 기업 및 제약 회사를 노리는 랜섬웨어 그룹으로 2021년 3분기 신규 랜섬웨어 공격자 보고서에서 처음 언급 되었지만 상대적으로 낮은 인지도를 유지해 왔다.

한국랜섬웨어침해대응센터와 안랩자료에 따르면 한국 기업을 타깃으로 한 '귀신(GWISIN)' 랜섬웨어 피해 사례가 잇따라 지난 8월에 확인됐다.

현재까지 피해가 확인된 기업은 모두 상장사다. 랜섬웨어 작명부터 협상에 이르기까지 한국 정서, 기업 현황을 알고 있는 정황이 곳곳에서 드러났다. 조직에 한국인이 포함됐을 가능성도 있다.

보안업계에 따르면 지난해부터 올해까지 귀신 랜섬웨어 공격을 받은 곳은 총 5곳으로 알려졌다. 이중 1곳은 협상, 복구 등의 절차가 마무리됐으며 나머지 4곳의 대응은 현재 진행형이다.

침해대응센터 관계자는 "랜섬웨어 자체도 대단히 정교하지만 협상 기술도 세련됐다"며 "지난해 피해 신고 접수를 받고 기업 측과 대응하는 과정에서 이들 조직은 천만 달러(한화 약 135억5천만원)를 몸값으로 요구했다"고 설명했다.

이 관계자는 "귀신 랜섬웨어는 시스템 침투 후 짧게는 45일, 길게는 90일에 걸쳐 기업을 탐지한다"며 "이들은 기업의 매출 규모까지 분석해 자신들의 기대치보다 낮은 수준의 금액을 제시할 경우 타사와 비교하는 방식으로 협박하기도 한다"고 말했다.

◇SK쉴더스, 귀신 랜섬웨어 대응 방안 공개

SK쉴더스는 최근 국내 기업만을 타깃으로 랜섬웨어 공격을 수행하고 있는 ‘귀신(Gwisin)’ 랜섬웨어 그룹의 공격 전략과 대응 방안을 지난달 25일 공개했다.

SK쉴더스에서 침해사고분석과 대응을 전담하고 있는 Top-CERT(탑서트)는 귀신 랜섬웨어 그룹의 공격유형·기법, 특장점 등을 사이버 공격 라이프 사이클에 맞춰 세분화해 분석했다.

보고서에서 SK쉴더스는 귀신 랜섬웨어 그룹이 한국어를 구사하는 그룹이거나 국가를 잘 아는 해커가 있는 그룹으로 추정했다.

귀신 랜섬웨어 공격은 기업의 내부 시스템 최초 침투 후 내부 구조 확인, 정보 유출, 랜섬웨어 감염까지 평균 21일밖에 걸리지 않는 것으로 조사됐다.

기존 APT(지능형 지속 위협, Advanced Persistence Threat) 공격이 최소 67일 걸린 것에 비해 상당히 짧은 시간 내 공격을 정확하고 조직적으로 수행하는 것으로 알려져 고도화된 해킹 기술을 보유하고 있는 것으로 Top-CERT는 판단했다.

또한 이들은 ‘복호화 키 전달’, ‘기밀 데이터 공개’, ‘보안 취약점 보고서 제공’ 등 3단계에 걸쳐 금전을 요구해 더욱 악랄해진 수법으로 공격을 수행하고 있는 것으로 분석됐다.

SK쉴더스 Top-CERT는 귀신 랜섬웨어에 대비하기 위해 단일 시스템이 아닌 다차원의 방어 체계를 갖추어야 한다고 강조했다. 먼저, 기업 내 구축된 시스템의 취약점을 주기적으로 진단해 초기 공격 유입 경로를 차단해야 한다.

기업 내부 뿐 아니라 협력업체에서 보유하고 있는 보안/운영 솔루션에 대한 점검도 필수적이다. 기존의 패턴 기반의 탐지 패턴으로는 고도화된 랜섬웨어 공격에 대비하기 어렵기 때문에 EDR(엔드포인트 침입 탐지 및 대응) 솔루션을 도입해 행위 기반 탐지와 차단 체계를 강화해야 한다고 SK 쉴더스는 보고서에서 밝혔다.

◇The Readable news, 북한 정부가 후원하는 해킹 단체로 추정

사이버보안뉴스 ‘리드에이블(The Readable)’ 에 따르면 사이버보안 연구원들이 남한의 방위산업을 겨냥한 해킹 활동을 적발하고 책임을 북한 정부가 후원하는 해킹 단체로 분석했다.

사이버보안업체 이스트시큐리티 시큐리티대응센터(ESTsecurity Security Response Center)의 보고서에 따르면 해킹 시도는 지난 8월 22일 한미가 하반기 실시한 합동군사훈련인 을지프리덤쉴드(Ulchi Freedom Shield)를 시작한 8월 22일에 처음 탐지됐다면서, 8월 한미 국방부 공동보도자료에 따르면 이번 훈련은 지난 몇 년간 북한의 미사일 시험발사 규모와 규모가 커진 데 따른 대응이라고 밝혔다.

◇ReversingLabs, 귀신 그룹은 북한 기반의 위협 행위자임을 시사

멀웨어 분석및 헌팅회사인 '리버싱랩스(ReversingLabs)' 에 따르면 '귀신락커 리눅스(GwisinLocker.Linux)'는 지금까지 거의 알려지지 않은 위협 행위자의 새로운 랜섬웨어 변종으로 유명하다고 언급했다.

악성코드가 한국의 저명한 기업에만 집중하고 한국 법 집행 기관에 대한 언급과 몸값 메모에 한국어(한글) 스크립트를 사용하는 것은 위협 행위자가 한국 언어와 문화에 익숙하다는 것을 암시했다고 추정했다.

이는 북한이 남한 정부 기관과 민간 기업을 표적으로 삼기 위해 랜섬웨어를 비롯한 공격적인 해킹을 적극적으로 사용하고 있다는 점을 감안할 때 귀신 그룹이 북한 기반의 위협 행위자임을 시사할 수 있다고 분석했다.