“콘티 뒤잇는 신종 랜섬웨어 확산”…금융·의료 표적, 글로벌 대응 촉각

콘티 랜섬웨어 소스코드를 계승한 신종 랜섬웨어 건라(Gunra)가 금융·의료 등 글로벌 핵심 산업을 겨냥, IT·바이오 산업의 사이버 보안 환경을 크게 흔들고 있다. 최근 SGI서울보증이 건라 공격을 받아 사흘간 업무 차질을 빚은 데 이어, 같은 조직이 한 달 전 두바이의 아메리칸 호스피탈에도 해킹 공격을 가한 것으로 드러나 시장에 긴장감이 높아졌다. 업계는 이 같은 고도화된 위협이 ‘기간산업 보안 경쟁’의 분수령이 될 것으로 보고 있다.

카스퍼스키의 신종 랜섬웨어 기술 보고서에 따르면, 건라는 2022년 유출된 콘티(Conti) 랜섬웨어 코드를 25% 이상 차용해 진화한 형태다. 콘티는 러시아어권 그룹의 대규모 공격 도구로 악명을 떨쳤으나 조직 해체 후에도 소스코드가 암시장에 유출돼 새로운 랜섬웨어 확산의 동인이 되고 있다.

건라 조직은 활동 기간은 짧지만 두바이 아메리칸 호스피탈 해킹(40TB 환자 데이터 유출)과 SGI서울보증 공격 등 공개된 주요 사건으로 글로벌 보건·금융·IT 인프라 기업을 집중적으로 타깃 삼아 피해를 확대하고 있다. 이메일 악성 문서, VPN 및 공개 취약점, 원격 데스크톱(RDP) 공격 등 다양한 침투 경로를 병행하며, 각 폴더별 자동 생성되는 랜섬노트로 피해자에게 협상 유도와 다크웹 공개 협박을 강하게 동원했다.

기술적으로 건라는 파일 이중 암호화(ChaCha20+RSA-2048) 방식으로 복구 난도를 높였으며, 기업 핵심 자산 파일만을 정밀 선별해 암호화, 협상 가치의 극대화를 노렸다. 동시에 시스템 운영에 치명적인 파일군은 일부러 남겨둬, 협상 구도를 유지하는 전략이 감지된다.

국내외 유사 사례는 의료·금융·보험 등 개인정보와 자산 가치가 높은 분야에서 집단적으로 재현 중이며, 미국·유럽에서도 컨티 파생형 랜섬웨어의 위협도가 급상승하고 있다. 한국 정부와 글로벌 보안기업은 “최신 보안 업데이트 및 백업, 다중인증 강화가 필수”라고 진단하는 중이다.

아울러 엔드포인트 탐지 및 대응(EDR), 네트워크 탐지(NDR)와 IOC 기반 로그 감시 등 첨단 위협 탐지 체계 도입이 권고되고 있다. 각 기관은 다크웹 협박성 데이터 유출 사전대비를 위한 법률 자문 및 운영 반응 시나리오도 미리 마련해야 한다는 지적이다.

이효은 카스퍼스키 한국지사장은 “건라는 RaaS(서비스형 랜섬웨어) 시장의 새로운 진화로, 고위험 산업군에 대한 정교한 공격이 이어질 가능성이 높다”고 경고했다. 산업계는 이번 신종 위협에 대응하는 보안 체계 강화와 빠른 정보 공유의 중요성을 강조하고 있다. 기술과 제도, 실질적 대응 역량 간 균형이 결국 사이버 보안 경쟁의 분기점이 될 것으로 보인다.