지난달 9일 예스24에서 해커의 랜섬웨어 공격으로 인한 충격이 채 가시기도 전에 SGI서울보증도 랜섬웨어 공격으로 인한 해킹 사고가 발생한 것으로 알려졌다. SGI서울보증은 이달 14일에 ‘서비스 장애’를 처음으로 공지한 이래 사흘째 이 문제를 해결하지 못하고 있다. 

앞서 SGI서울보증은 “이번 랜섬웨어 공격은 올해 4월에 처음으로 등장한 ‘GUNRA(건라)’ 그룹으로 파악됐으며, 회사로 접촉을 시도해 왔다”는 내용이 담긴 보고서를 제출한 것으로 알려졌다.

한 보안전문가는 SGI서울보증 측이 밝힌 ‘건라’라는 이름에 대해 “오랜 시간 랜섬웨어를 모니터링해 왔지만, 이 그룹에 대해서는 전혀 본 적이 없다”며 “잘 알려지지 않았던 그룹이거나 신생그룹일 가능성이 높다”고 말했다. 이어 해당 랜섬웨어 그룹이 운영하는 사이트에 올라온 피해자 목록에서도 SGI서울보증에 대한 이름은 현재 보이지 않는다고 말했다.

이 그룹의 사이트에 게재된 공격한 회사의 목록에는 일본 기업 1개와 함께 총 14개 기업 목록이 올라와 있다. 이들은 대부분 브라질이나 이집트 등 잘 알려지지 않은 나라를 공격해 왔다. 다만 우리나라 기업의 이름은 보이지도 않고, 아직 SGI서울보증에 대한 정보를 판매한다는 글도 확인되지는 않고 있다.

이 전문가는 “신생 랜섬웨어 그룹들은 유명한 랜섬웨어 그룹과는 달리 보안에 대한 모니터링이 소홀할 수밖에 없다”라며 “따라서 신생 그룹들의 랜섬웨어 공격 가능성이 더욱 높아졌고 그들의 성향은 파악되지 않은 만큼 사용자가 조심할 수밖에 없다”고 강조했다.

이들의 TTP(tactics, techniques and procedures)를 분석해 봤을 때, 기존 랜섬웨어 그룹과는 별다른 차이는 없었다. 특히 SGI 측은 일요일 새벽에 랜섬웨어에 감염됐다. 이에 대해 이 전문가는 “그 시간대에 업무용 메일을 누군가가 클릭하고 첨부파일을 열어봤다는 것인데, 쉬는 날에 업무용 메일을 열어봤다는 것이 내부자의 소행일 가능성도 있어 보인다”며 “아직까지 복구가 안 됐다는 것은 PC만이 아닌 서버에도 영향을 미치지 않았나 의심이 된다”고 덧붙였다.

신생 랜섬웨어 공격그룹의 확산과 함께 보안 리스크의 우려는 더욱 증가하고 있다. 기본적으로 랜섬웨어가 PC에 설치되기 위해서는 인증절차를 거쳐야 하는 만큼, 인증이나 권한 관리에 허점이 있는지 파악하는 것이 필요하다. 데이터 보안업계 관계자는 "물리적으로 스토리지를 두 개로 나누어 백업을 해 두는 것도 잊지 않아야 한다"고 조언했다.