카스퍼스키, 랜섬웨어 '건라' 분석...두바이 병원 등 공격 작성일 07-22 32 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">올 4월 처음 활동 포착...2022년 발견 Conti서 파생 코드 25% 유사</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="BRJDWG9HNO"> <p contents-hash="12e071fdef549deff8b8e7fdf31cf95b5e0e5774bc6c286a3246765c42152aec" dmcf-pid="beiwYH2Xcs" dmcf-ptype="general">(지디넷코리아=방은주 기자) 글로벌 사이버 보안기업 카스퍼스키(한국지사장 이효은)는 최근 국내 기관 공격에 사용된 것으로 추정되는 ‘Gunra(건라)’ 랜섬웨어에 대한 기술 분석 결과를 22일 발표했다.</p> <p contents-hash="14cf72cbe33e293a94895d7442fe399041de0f278721a8214aaac2e0cdec2011" dmcf-pid="KdnrGXVZom" dmcf-ptype="general">'Gunra'는 올 4월 처음 활동이 포착된 신종 랜섬웨어다. 2022년 유출된 'Conti' 랜섬웨어의 소스코드를 기반으로 파생된 것으로 밝혀졌다. 이 랜섬웨어는 보건의료, 보험, IT 인프라 관리기업 등 고부가 산업군을 정조준하고 있는 고도화된 위협으로 평가된다고 카스퍼스키는 밝혔다.</p> <p contents-hash="a373f52ed86362b3f0533650977767f590fda62de769e383ad83b5f898aea0a7" dmcf-pid="9JLmHZf5ar" dmcf-ptype="general">Conti에서 재탄생한 공격 도구</p> <p contents-hash="3cfb5eaca33e1fc86a7b41fde7b718b30e126ae33a08dc38ea4dedae5cb7a28f" dmcf-pid="2iosX541gw" dmcf-ptype="general">카스퍼스키의 위협 어트리뷰션 엔진(KTA, Kaspersky Threat Attribution Engine)을 통해 Gunra 랜섬웨어의 주요 구성 코드를 비교한 결과, 약 25% 이상이 과거 콘티(Conti) 랜섬웨어 코드와 구조적으로 유사함을 확인했다. Gunra는 Conti의 특성을 이어받아 다중 스레드 기반 암호화 처리, 서비스 및 보안 프로세스 강제 종료 루틴, 네트워크 공유 탐색 로직을 그대로 계승했다.</p> <p contents-hash="8272b804b40e1b58e5a78c8ed1e0f72ba11d2ce305004751a51494da340e53c5" dmcf-pid="VngOZ18toD" dmcf-ptype="general">암호화 구조: ChaCha20 + RSA-2048의 하이브리드 방식</p> <p contents-hash="ee3962ab112064b5736ecb973896b789ffefb5feb0d3863c58264a96c8a6296d" dmcf-pid="fLaI5t6FgE" dmcf-ptype="general">Gunra는 감염된 시스템 내 모든 파일에 대해 ChaCha20 대칭키 암호화 알고리즘을 사용해 파일 내용을 암호화하고, 그 키를 다시 RSA-2048 공개키로 비대칭 암호화하는 방식으로 작동한다. 이중 암호화 구조로 피해자는 복호화 키 없이는 데이터 복원이 이론상 불가능하다. 모든 암호화 파일의 헤더에는 'GRNC'라는 고유 식별자가 삽입, 감염 여부를 빠르게 파악할 수 있는 표식 역할을 한다.</p> <p contents-hash="e30952c8e53eeac9506b934da0411773b2f8f9e5ba1274aebf79bbe85f8a8698" dmcf-pid="4oNC1FP3kk" dmcf-ptype="general">암호화 대상 파일은 문서(.docx, .xlsx), DB 파일(.sql, .sqlite), 가상머신 이미지(.vmdk, .vhdx) 등 기업 핵심 자산이 포함되며, .dll, .lnk, .sys 등 운영체제에 치명적인 영향을 주는 파일은 의도적으로 제외하여 협상을 유도하는 전략이 명확히 드러났다고 덧붙였다.</p> <figure class="figure_frm origin_fig" contents-hash="146b1b456d82104b0f4a791f678995984380ab48a1700b58d4356c2e7ea24041" dmcf-pid="8gjht3Q0jc" dmcf-ptype="figure"> <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202507/22/ZDNetKorea/20250722143058182uamv.jpg" data-org-width="640" dmcf-mid="qp8oOCphcI" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202507/22/ZDNetKorea/20250722143058182uamv.jpg" width="658"></p> </figure> <p contents-hash="da2d8a95baf7cef02d1064b02120c5a384d6298f1411cfe1319ded20c91fbf51" dmcf-pid="6aAlF0xpgA" dmcf-ptype="general">감염 후: 폴더별 랜섬노트 및 협박 시나리오 실행</p> <p contents-hash="28e542019c3a4d6cf20993b9495685b6ed705732c2a28d15686097e0d12781c8" dmcf-pid="PMdEyYKGcj" dmcf-ptype="general">감염이 완료되면, Gunra는 시스템 내 각 폴더마다 ‘R3ADM3.txt’라는 랜섬노트를 자동 생성한다. 이 파일은 피해자가 Tor 기반 협상 사이트(.onion)에 접속하도록 유도하며, 협상이 이뤄지지 않을 경우 다크웹 상 자신들의 전용 블로그에 피해 정보를 공개하겠다는 협박 문구를 포함하고 있다.</p> <p contents-hash="1dd80c1a994a155bc8291d055559db3b321635df0092904ce01f20053673d774" dmcf-pid="QRJDWG9HkN" dmcf-ptype="general">실제로 Gunra 운영자들은 다크웹에 구축한 인프라를 통해 자신들이 공격에 성공한 기업에 대한 감염 사실을 알리는 사이트를 운영하고 있으며, 최근 40TB 이상의 민감한 환자 데이터가 유출된 두바이 내 아메리칸 호스피탈 두바이(American Hospital Dubai)의 피해 사실 또한 해당 블로그에 게시됐다.</p> <p contents-hash="b8c03122520667175373e6b44fbc51765de359d1908c774c62e5a021efbceb30" dmcf-pid="xeiwYH2Xoa" dmcf-ptype="general">감염 경로 및 공격 체인: 취약한 엔드포인트가 주요 진입점</p> <p contents-hash="3d574f1362b031bb1963f613da4fb1b12194f29b08db77a5fc80aad6636d6dd6" dmcf-pid="yGZBRdOJgg" dmcf-ptype="general">Gunra는 다양한 초기 접근 기법을 사용하며, 스피어 피싱 이메일을 통한 악성 문서 및 매크로 실행, 패치되지 않은 VPN 소프트웨어 및 공개 취약점(CVE) 이용, 인터넷에 노출된 RDP(Remote Desktop Protocol)에 대한 비밀번호 크래킹 또는 취약점 공격 등 세 가지 방법을 자주 활용했다.</p> <p contents-hash="ef503298efe5f4414ff997bad0ea7c58227c6716c1f22757c01880727f3ed917" dmcf-pid="WH5beJIijo" dmcf-ptype="general">카스퍼스키는 Gunra 랜섬웨어 감염을 막기 위해 다음과 같은 대응을 권고했다. 첫째, RDP 포트 제한 및 다단계 인증(MFA) 활성화 둘째, 전체 시스템 백업 및 오프사이트 백업 저장 셋째, <span>EDR과 NDR 등에 최신 Yara 룰 반영, 넷째, IOC 기반 로그 모니터링 강화 등이다.</span></p> <p contents-hash="584b8ab69e33e1ca2cf51961e5693e8e43f3028f973ff300272e499cbc0c40e3" dmcf-pid="YX1KdiCnjL" dmcf-ptype="general">또 협박성 다크웹 유출에 대응하기 위한 법적 자문 체계와 데이터 유출 대응 시나리오 수립도 병행해야 한다고 강조했다.</p> <p contents-hash="24831b84b18ccede7ebd0f709ca18c4c1dc53f32d17a13320dfd6ca8b2d22b28" dmcf-pid="GZt9JnhLAn" dmcf-ptype="general">카스퍼스키 이효은 한국지사장은 “Gunra는 RaaS 시장의 또다른 진화된 버전이다. 단순한 포스트-Conti 위협이 아니라, Ransomware-as-a-Service(RaaS) 시장의 실질적인 진화를 보여주는 대표 사례"라며 "고급 랜섬웨어 기술 재활용과 정교화는 대형 기관과 기간 산업 등 고위험 산업군을 대상으로 한 집중적 위협이 향후에도 지속될 가능성이 높다”고 밝혔다.</p> <p contents-hash="a6299a9e83aeb5a326980bf301d840feb6a67911841644151f2842d3863d1322" dmcf-pid="H5F2iLloNi" dmcf-ptype="general">한편 카스퍼스키(Kaspersky)는 1997년 설립된 글로벌 사이버 보안 및 디지털 프라이버시 기업이다.</p> <p contents-hash="af022bbd0673b51e6aa6da511d3314e77f3c90d80a478180b3a0cf3a22975407" dmcf-pid="X13VnoSgAJ" dmcf-ptype="general">방은주 기자(ejbang@zdnet.co.kr)</p> </section> </div> <p class="" data-translation="true">Copyright © 지디넷코리아. 무단전재 및 재배포 금지.</p> 관련자료 이전 뮤지컬 ‘미세스 다웃파이어’ 파워 라인업…10년 만에 복귀 황정민부터 ‘천의 얼굴’ 정성화·정상훈까지 07-22 다음 '슬림'해지더니 이정도일 줄은…"벽돌폰" 갤럭시Z폴드의 반전 07-22 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.