카스퍼스키 “‘콘티’에서 파생된 신종 랜섬웨어 건라…국내 기관도 피해”

카스퍼스키 로고

카스퍼스키가 최근 국내 기관을 노린 사이버 공격에 사용된 것으로 보이는 신종 랜섬웨어 ‘건라(Gunra)’에 대한 기술 분석 결과를 22알 발표했다.

건라는 지난 4월부터 활동이 시작된 랜섬웨어로, 2022년 유출된 콘티(Conti) 랜섬웨어의 소스코드를 기반으로 개발됐다. 카스퍼스키의 분석에 따르면, 전체 코드의 약 25%가 콘티와 구조적으로 유사하며, 다중 스레드 암호화, 보안 서비스 종료, 네트워크 공유 탐색 등 주요 기능도 유사한 것으로 나타났다.

건라는 ChaCha20과 RSA-2048을 조합한 하이브리드 암호화 구조를 사용하고, 암호화된 파일에는 ‘GRNC’ 식별자를 삽입한다. 주요 타깃은 보건의료, 보험, IT 인프라 등 고가치 산업군으로, 감염 시 각 폴더마다 랜섬노트(R3ADM3.txt)를 생성해 협상 사이트 접속을 유도한다. 협상 미응답 시 다크웹에 정보를 공개하겠다는 협박을 담고 있다.

감염 경로는 피싱 이메일, 취약한 VPN(가상 사설망) 소프트웨어 및 공개된 RDP(Remote Desktop Protocol)를 통한 접근 등이며, 실제로 지난 6월에는 두바이 아메리칸 호스피탈이 피해를 입고 40TB 이상의 환자 정보가 유출된 사례가 확인됐다.

카스퍼스키는 ▲RDP 포트 제한 및 다단계 인증 설정 ▲정기 백업 ▲EDR·NDR 솔루션에 최신 Yara 룰 적용 ▲IOC 기반 로그 모니터링 등을 대응 방안으로 권고하고 있다.

이효은 카스퍼스키 한국지사장은 “건라는 단순한 포스트-콘티 위협이 아니라 인공지능(AI) 기반 자동화 공격 체계의 진화를 보여주는 사례”라며 “고급 랜섬웨어 기술의 재활용과 정교화는 향후 대형 기관과 기간 산업에 대한 위협이 더욱 심화될 가능성을 시사한다”고 말했다.

- Copyright ⓒ 조선비즈 & Chosun.com -